排除加密故障 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

排除加密故障

具有传输中的数据加密的挂载失败

默认情况下,当您使用带有传输层安全性 (TLS) 的 Amazon EFS 挂载帮助程序时,它会强制执行主机名检查。某些系统不支持此功能,例如使用 Red Hat Enterprise Linux 或 CentOS 时。在这些情况下,挂载使用 TLS 的 EFS 文件系统会失败。

要采取的操作

我们建议您升级客户端上的 stunnel 版本以支持主机名检查。有关更多信息,请参阅 升级 stunnel

具有传输中的数据加密的挂载中断

客户端事件可能会导致到您的 Amazon EFS 文件系统的加密连接挂起或中断,但不太可能。

要采取的操作

如果到使用传输中的数据加密的 Amazon EFS 文件系统的连接中断,请执行以下步骤:

  1. 确保正在客户端上运行 stunnel 服务。

  2. 确认正在客户端上运行监控程序应用程序 amazon-efs-mount-watchdog。您可以使用以下命令确定是否正在运行该应用程序:

    ps aux | grep [a]mazon-efs-mount-watchdog
  3. 检查您的支持日志。有关更多信息,请参阅 获取支持日志

  4. (可选)您可以启用 stunnel 日志以及检查这些日志中的信息。您可以在 /etc/amazon/efs/efs-utils.conf 中更改日志配置以启用 stunnel 日志。但是,这样做需要卸载文件系统,然后使用挂载帮助程序重新挂载以使更改生效。

    重要

    启用 stunnel 日志可能会用完您的文件系统上的宝贵空间量。

如果仍然中断,请与该项联系。AmazonSupport。

无法创建静态加密的文件系统

您已尝试创建新的静态加密的文件系统。不过,您会收到一条错误消息,指出 Amazon KMS 不可用。

要采取的操作

在极少数情况下,可能会出现该错误:Amazon KMS在你的中暂时不可用Amazon Web Services 区域. 如果发生这种情况,请等到 Amazon KMS 恢复完全可用,然后重试以创建文件系统。

无法使用的加密文件系统

加密的文件系统持续返回 NFS 服务器错误。如果由于以下原因之一 EFS 无法从 Amazon KMS 中检索主密钥,则可能会出现这些错误:

  • 禁用了密钥。

  • 删除了密钥。

  • 撤销了 Amazon EFS 使用密钥的权限。

  • Amazon KMS 暂时不可用。

要采取的操作

首先,确认已启用 Amazon KMS 密钥。为此,您可以在控制台中查看这些密钥。有关更多信息,请参阅 。查看密钥中的Amazon Key Management Service开发人员指南.

如果未启用密钥,请将其启用。有关更多信息,请参阅 。启用和禁用密钥中的Amazon Key Management Service开发人员指南.

如果密钥处于待删除状态,该状态将禁用密钥。您可以取消删除,然后重新启用密钥。有关更多信息,请参阅 。计划和取消密钥删除中的Amazon Key Management Service开发人员指南.

如果已启用密钥,并且仍遇到问题,或者如果您在重新启用密钥时遇到问题,请与该密钥联系。AmazonSupport。