排除加密故障 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

排除加密故障

具有传输中的数据加密的挂载失败

默认情况下,当您使用带有传输层安全性 (TLS) 的 Amazon EFS 挂载帮助程序时,它会强制执行主机名检查。某些系统不支持此功能,例如使用 Red Hat Enterprise Linux 或 CentOS 时。在这些情况下,挂载使用 TLS 的 EFS 文件系统会失败。

要采取的操作

我们建议您升级客户端上的 stunnel 版本以支持主机名检查。有关更多信息,请参阅升级 stunnel

具有传输中的数据加密的挂载中断

在极少数情况下,客户端事件可能会导致到 Amazon EFS 文件系统的加密连接挂起或中断。

要采取的操作

如果到使用传输中的数据加密的 Amazon EFS 文件系统的连接中断,请执行以下步骤:

  1. 确保正在客户端上运行 stunnel 服务。

  2. 确认正在客户端上运行监控程序应用程序 amazon-efs-mount-watchdog。您可以使用以下命令确定是否正在运行该应用程序:

    ps aux | grep [a]mazon-efs-mount-watchdog
  3. 检查您的支持日志。有关更多信息,请参阅获取支持日志

  4. (可选)您可以启用 stunnel 日志以及检查这些日志中的信息。您可以在 /etc/amazon/efs/efs-utils.conf 中更改日志配置以启用 stunnel 日志。但是,这样做需要卸载文件系统,然后使用挂载帮助程序重新挂载以使更改生效。

    重要

    启用 stunnel 日志可能会用完您的文件系统上的宝贵空间量。

如果仍然中断,请与AmazonSupport。

无法创建静态加密的文件系统

您已尝试创建新的静态加密的文件系统。不过,您会收到一条错误消息,指出 Amazon KMS 不可用。

要采取的操作

在极少数情况下,可能出现该错误。Amazon KMS将暂时不可用于Amazon Web Services 区域。如果发生这种情况,请等到 Amazon KMS 恢复完全可用,然后重试以创建文件系统。

无法使用的加密文件系统

加密的文件系统持续返回 NFS 服务器错误。如果由于以下原因之一 EFS 无法从 Amazon KMS 中检索主密钥,则可能会出现这些错误:

  • 禁用了密钥。

  • 删除了密钥。

  • 撤销了 Amazon EFS 使用密钥的权限。

  • Amazon KMS 暂时不可用。

要采取的操作

首先,确认已启用 Amazon KMS 密钥。为此,您可以在控制台中查看这些密钥。有关更多信息,请参阅 。查看密钥中的Amazon Key Management Service开发人员指南

如果未启用密钥,请将其启用。有关更多信息,请参阅 。启用和禁用密钥中的Amazon Key Management Service开发人员指南

如果密钥处于待删除状态,该状态将禁用密钥。您可以取消删除,然后重新启用密钥。有关更多信息,请参阅 。计划和取消密钥删除中的Amazon Key Management Service开发人员指南

如果已启用密钥,并且仍遇到问题,或者在重新启用密钥时遇到问题,请与AmazonSupport。