演示 对某个对应的 Amazon EFS 静态文件系统 - Amazon Elastic File System
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

演示 对某个对应的 Amazon EFS 静态文件系统

您可以在下文中找到有关如何使用 Amazon CloudWatch 和 AWS CloudTrail 强制实施静态加密的详细信息。本演练基于 AWS 白皮书使用 Amazon EFS 加密文件系统静态加密数据

实施静态加密

您的组织可能要求静态加密符合特定分类条件的所有数据,或者静态加密与特定应用程序、工作负载或环境关联的所有数据。您可以使用检测性控制为 Amazon EFS 文件系统实施静态数据加密策略。这些控制检测创建的文件系统,并验证是否启用了静态加密。

如果检测到没有静态加密的文件系统,您可以通过多种方法进行响应。这些方法包括删除文件系统和挂载目标以及通知管理员。

如果要删除未静态加密的文件系统,但希望保留数据,请先创建新的静态加密的文件系统。然后,将数据复制到新的静态加密的文件系统。在复制数据后,您可以删除未静态加密的文件系统。

检测静态未加密的文件系统

您可以创建 CloudWatch 警报监控 CloudTrail 日志中的 CreateFileSystem 事件。然后,您可以触发警报,以便在创建未静态加密的文件系统时通知管理员。

创建指标筛选器

要创建在创建未加密的 Amazon EFS 文件系统时触发的 CloudWatch 警报,请使用以下过程。

开始之前,您必须创建了一个跟踪以将 CloudTrail 日志发送到 CloudWatch Logs 日志组。有关更多信息,请参阅 https://docs.amazonaws.cn/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html 中的AWS CloudTrail User Guide将事件发送到 CloudWatch Logs

创建指标筛选条件

  1. 通过以下网址打开 CloudWatch 控制台:https://console.amazonaws.cn/cloudwatch/

  2. 在导航窗格中,选择 Logs (日志)

  3. 在日志组列表中,选择为 CloudTrail 日志事件创建的日志组。

  4. 选择 Create Metric Filter

  5. 定义日志指标筛选条件页上,选择筛选模式,然后键入以下内容:

    { ($.eventName = CreateFileSystem) && ($.responseElements.encrypted IS FALSE) }
  6. 选择 Assign Metric (分配指标)

  7. 对于 Filter Name (筛选器名称),键入 UnencryptedFileSystemCreated

  8. 对于 Metric Namespace (指标命名空间),键入 CloudTrailMetrics

  9. 对于指标名称,键入 UnencryptedFileSystemCreatedEventCount

  10. 选择 Show advanced metric settings

  11. 对于 Metric Value (指标值),键入 1

  12. 选择 Create Filter

创建警报

在创建指标筛选条件后,请使用以下过程创建一个警报。

创建警报

  1. Log_Group_Name 页面的筛选条件上,在 UnencryptedFileSystemCreated 筛选条件名称旁边选择创建警报

  2. 创建警报页上,设置以下参数:

    • 对于 Name (名称),键入 Unencrypted File System Created

    • 对于每当,请执行以下操作:

      • 设置 > = 1

      • 设置 对于:1 连续期间。

    • 对于将缺失的数据作为以下内容处理,请选择好 (未超出阈值)

    • 对于操作,请执行以下操作:

      • 对于每当此警报,请选择状态为“警报”

      • 对于发送通知到,选择 NotifyMe,选择新建列表,然后为该列表键入唯一的主题名称。

      • 对于电子邮件列表,请键入要将通知发送到的电子邮件地址。将会通过该地址接收一封电子邮件,以确认创建了该警报。

    • 对于警报预览,请执行以下操作:

      • 对于周期,请选择 1 分钟

      • 对于统计数据,请选择标准总计

  3. 选择 Create Alarm

测试创建未加密的文件系统的警报

您可以创建未静态加密的文件系统以测试警报,如下所示。

创建未静态加密的文件系统以测试警报

  1. 打开 Amazon EFS 控制台 (https://console.aws.amazon.com/efs)。

  2. 选择 Create file system (创建文件系统)

  3. VPC 列表中,选择您的默认 VPC。

  4. 选择所有可用区。确保选择了默认子网、自动 IP 地址和默认安全组。这些是您的挂载目标。

  5. 选择 Next Step

  6. 命名您的文件系统,并取消选中启用加密以创建未加密的文件系统。

  7. 选择 Next Step

  8. 选择 Create file system (创建文件系统)

您的跟踪记录 CreateFileSystem 操作,并将事件传送到您的 CloudWatch Logs 日志组。该事件会触发您的指标警报,而 CloudWatch Logs 会向您发送有关相应更改的通知。