演练:在 Amazon EFS 文件系统上实施静态加密 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

演练:在 Amazon EFS 文件系统上实施静态加密

您可以在下文中找到有关如何使用 Amazon CloudWatch 和Amazon CloudTrail。本演练基于Amazon白皮书使用 Amazon EFS 加密文件系统静态加密数据

注意

不建议使用强制创建 Amazon EFS 文件系统的方法,这些文件系统在本演练中描述了静态加密。强制创建静态加密的文件系统的首选方法是使用elasticfilesystem:Encrypted中的条件键Amazon Identity and Access Management基于身份的策略。有关更多信息,请参阅使用 IAM 强制创建加密文件系统。您可以使用此演练创建 CloudWatch 警报,以验证您的 IAM 策略是否阻止创建未加密的文件系统。

实施静态加密

您的组织可能要求静态加密符合特定分类条件的所有数据,或者静态加密与特定应用程序、工作负载或环境关联的所有数据。您可以使用侦测性控制为 Amazon EFS 文件系统实施静态数据加密策略。这些控制检测创建的文件系统,并验证是否启用了静态加密。

如果检测到没有静态加密的文件系统,您可以通过多种方法进行响应。这些方法包括删除文件系统和挂载目标以及通知管理员。

如果要删除未静态加密的文件系统,但希望保留数据,请先创建新的静态加密的文件系统。然后,将数据复制到新的静态加密的文件系统。在复制数据后,您可以删除未静态加密的文件系统。

检测静态未加密的文件系统

您可以创建 CloudWatch 警报监控CreateFileSystemevent. 然后,您可以触发警报,以便在创建未静态加密的文件系统时通知管理员。

创建指标筛选条件

要创建在创建未加密的 Amazon EFS 文件系统时触发的 CloudWatch 警报,请使用以下过程。

开始之前,您必须创建了一个跟踪以将 CloudTrail 日志发送到 CloudWatch Logs 组。有关更多信息,请参阅 。将事件发送到 CloudWatch Logs中的Amazon CloudTrail用户指南

创建指标筛选条件

  1. 通过以下网址打开 CloudWatch 控制台:https://console.aws.amazon.com/cloudwatch/

  2. 在导航窗格中,选择 Logs

  3. 在日志组列表中,选择为 CloudTrail 日志事件创建的日志组。

  4. 选择 Create Metric Filter

  5. 定义日志指标筛选条件页上,选择筛选模式,然后键入以下内容:

    { ($.eventName = CreateFileSystem) && ($.responseElements.encrypted IS FALSE) }
  6. 选择 Assign Metric (分配指标)

  7. 对于 Filter Name (筛选器名称),键入 UnencryptedFileSystemCreated

  8. 对于 Metric Namespace (指标命名空间),键入 CloudTrailMetrics

  9. 对于指标名称,键入 UnencryptedFileSystemCreatedEventCount

  10. 选择 Show advanced metric settings

  11. 对于 Metric Value (指标值),键入 1

  12. 选择 Create Filter

创建警报

在创建指标筛选条件后,请使用以下过程创建一个警报。

创建警报

  1. Log_Group_Name 页面的筛选条件上,在 UnencryptedFileSystemCreated 筛选条件名称旁边选择创建警报

  2. 创建警报页上,设置以下参数:

    • 对于 Name (名称),键入 Unencrypted File System Created

    • 对于每当,请执行以下操作:

      • 设置为 > = 1

      • 对于: 设置为 1 个连续时间段。

    • 对于将缺失的数据作为以下内容处理,请选择好 (未超出阈值)

    • 对于操作,请执行以下操作:

      • 对于每当此警报,请选择状态为“警报”

      • 对于发送通知到,选择 NotifyMe,选择新建列表,然后为该列表键入唯一的主题名称。

      • 对于电子邮件列表,请键入要将通知发送到的电子邮件地址。将会通过该地址接收一封电子邮件,以确认创建了该警报。

    • 对于警报预览,请执行以下操作:

      • 对于周期,请选择 1 分钟

      • 对于统计数据,请选择标准总计

  3. 选择 Create Alarm (创建警报)

测试创建未加密的文件系统的警报

您可以创建未静态加密的文件系统以测试警报,如下所示。

创建未静态加密的文件系统以测试警报

  1. 打开 Amazon EFS 控制台https://console.amazonaws.cn/efs

  2. 选择创建文件系统

  3. VPC 列表中,选择您的默认 VPC。

  4. 选择所有可用区。确保选择了默认子网、自动 IP 地址和默认安全组。这些是您的挂载目标。

  5. 选择 Next Step

  6. 命名您的文件系统,并取消选中启用加密以创建未加密的文件系统。

  7. 选择 Next Step

  8. 选择创建文件系统

您的跟踪记录CreateFileSystem操作,并将事件传送到您的 CloudWatch Logs 组。该事件会触发您的指标警报,而 CloudWatch Logs 会向您发送有关相应更改的通知。