排除加密故障 - Amazon Elastic File System
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

排除加密故障

具有传输中的数据加密的挂载失败

默认情况下,当您使用带有传输层安全性 (TLS) 的 Amazon EFS 挂载帮助程序时,它会强制执行主机名检查。某些系统不支持此功能,例如使用 Red Hat Enterprise Linux 或 CentOS 时。在这些情况下,挂载使用 TLS 的 EFS 文件系统会失败。

措施

我们建议您升级客户端上的 stunnel 版本以支持主机名检查。有关更多信息,请参阅 升级 stunnel

具有传输中的数据加密的挂载中断

在极少数情况下,客户端事件可能会导致到您的 Amazon EFS 文件系统的加密连接挂起或中断。

措施

如果到使用传输中的数据加密的 Amazon EFS 文件系统的连接中断,请执行以下步骤:

  1. 确保正在客户端上运行 stunnel 服务。

  2. 确认正在客户端上运行监控程序应用程序 amazon-efs-mount-watchdog。您可以使用以下命令确定是否正在运行该应用程序:

    ps aux | grep [a]mazon-efs-mount-watchdog
  3. 检查您的支持日志。有关更多信息,请参阅 获取支持日志

  4. (可选)您可以启用 stunnel 日志以及检查这些日志中的信息。您可以在 /etc/amazon/efs/efs-utils.conf 中更改日志配置以启用 stunnel 日志。但是,这样做需要卸载文件系统,然后使用挂载帮助程序重新挂载以使更改生效。

    重要

    启用 stunnel 日志可能会用完您的文件系统上的宝贵空间量。

如果仍然中断,请与 AWS Support 联系。

无法创建静态加密的文件系统

您已尝试创建新的静态加密的文件系统。不过,您会收到一条错误消息,指出 AWS KMS 不可用。

措施

在极少数情况下,AWS KMS 可能在您的 AWS 区域中暂时不可用,从而出现该错误。如果发生这种情况,请等到 AWS KMS 恢复完全可用,然后重试以创建文件系统。

无法使用的加密文件系统

加密的文件系统持续返回 NFS 服务器错误。如果由于以下原因之一 EFS 无法从 AWS KMS 中检索主密钥,则可能会出现这些错误:

  • 禁用了密钥。

  • 删除了密钥。

  • 撤销了 Amazon EFS 使用密钥的权限。

  • AWS KMS 暂时不可用。

措施

首先,确认已启用 AWS KMS 密钥。为此,您可以在控制台中查看这些密钥。有关更多信息,请参阅 AWS Key Management Service Developer Guide 中的查看密钥

如果未启用密钥,请将其启用。有关更多信息,请参阅 AWS Key Management Service Developer Guide 中的启用和禁用密钥

如果密钥处于待删除状态,该状态将禁用密钥。您可以取消删除,然后重新启用密钥。有关更多信息,请参阅 AWS Key Management Service Developer Guide 中的计划和取消密钥删除

如果已启用密钥并且仍遇到问题,或者在重新启用密钥时遇到问题,请与 AWS Support 联系。