Amazon Elastic File System · Opcional: Cifrado de datos en tránsito..... 133 Tutorial: Montar un sistema de archivos desde una VPC distinta ... Tutorial: Aplicar cifrado en reposo

Amazon Elastic File SystemGuía del usuario

Amazon Elastic File System Guía del usuario

Amazon Elastic File System: Guía del usuarioCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of Contents¿Qué es Amazon Elastic File System? .................................................................................................. 1

¿Es la primera vez que usa Amazon EFS? .................................................................................... 2Cómo funciona ................................................................................................................................... 3

Información general .................................................................................................................... 3Funcionamiento de Amazon EFS con Amazon EC2 ......................................................................... 4Funcionamiento de Amazon EFS con AWS Direct Connect y la VPN administrada de AWS .................... 5Funcionamiento de Amazon EFS con AWS Backup ......................................................................... 6Resumen de implementación ....................................................................................................... 6Autenticación y control de acceso ................................................................................................. 7Coherencia de datos en Amazon EFS ........................................................................................... 7Clases de almacenamiento y administración del ciclo de vida ............................................................ 8

Configuración ..................................................................................................................................... 9Suscríbase a AWS ..................................................................................................................... 9Creación de un usuario de IAM .................................................................................................... 9

Introducción ..................................................................................................................................... 12Supuestos ................................................................................................................................ 12Temas relacionados .................................................................................................................. 13Paso 1: crear su sistema de archivos .......................................................................................... 13Paso 2: crear recursos de EC2 y lanzar una instancia .................................................................... 15Paso 3: Transferir archivos mediante DataSync ............................................................................. 16

Antes de empezar ............................................................................................................. 16Paso 4: Limpiar recursos y proteger la cuenta de AWS .................................................................. 17

Usar los recursos de EFS .................................................................................................................. 18Crear sistemas de archivos ........................................................................................................ 19

Requisitos ........................................................................................................................ 19Crear un sistema de archivos ............................................................................................. 20

Eliminar un sistema de archivos .................................................................................................. 28Mediante la consola .......................................................................................................... 29Mediante la CLI ................................................................................................................ 29Temas relacionados .......................................................................................................... 29

Crear destinos de montaje ......................................................................................................... 29Administrar destinos de montaje mediante la consola de Amazon EFS ...................................... 31Administrar destinos de montaje mediante la AWS CLI ........................................................... 33

Crear grupos de seguridad ......................................................................................................... 35Crear grupos de seguridad mediante la Consola de administración de AWS ............................... 36Crear grupos de seguridad mediante la AWS CLI .................................................................. 37

Crear políticas de sistema de archivos ......................................................................................... 37Crear y eliminar puntos de acceso .............................................................................................. 39

Eliminar un punto de acceso .............................................................................................. 41Usar sistemas de archivos ................................................................................................................. 43

Temas relacionados .................................................................................................................. 43Uso de amazon-efs-utils .................................................................................................................... 44

Información general ................................................................................................................... 44Instalación del paquete de amazon-efs-utils en Amazon Linux ......................................................... 45Instalación del paquete de amazon-efs-utils en otras distribuciones Linux .......................................... 45Actualización de stunnel ............................................................................................................ 46

Deshabilitar la comprobación del nombre de host del certificado ............................................... 48Habilitación del protocolo OCSP (Online Certificate Status Protocol) ........................................ 48

Ayudante de montaje de EFS ..................................................................................................... 49Cómo funciona ................................................................................................................. 49Uso del ayudante de montaje de EFS .................................................................................. 49Obtención de registros de soporte ....................................................................................... 49Uso de amazon-efs-utils con AWS Direct Connect y VPN ....................................................... 50Temas relacionados .......................................................................................................... 50

iii


Administrar sistemas de archivos ........................................................................................................ 51Administrar la accesibilidad de red .............................................................................................. 51

Crear o eliminar destinos de montaje en una VPC ................................................................. 53Cambiar la VPC para el destino de montaje ......................................................................... 54Actualizar la configuración de destinos de montaje ................................................................. 54

Administración de etiquetas ........................................................................................................ 55Mediante la consola .......................................................................................................... 55Uso de la CLI .................................................................................................................. 56

Transferir datos a Amazon EFS .................................................................................................. 58Clases de almacenamiento ........................................................................................................ 58

Usar clases de almacenamiento .......................................................................................... 59Administración del ciclo de vida .................................................................................................. 59

Usar una política de ciclo de vida ....................................................................................... 59Operaciones del sistema de archivos para la administración del ciclo de vida ............................. 59Precios y facturación ......................................................................................................... 60Usar la administración del ciclo de vida ................................................................................ 61

Medición de sistema de archivos y tamaños de objetos .................................................................. 62Medir los objetos del sistema de archivos de Amazon EFS ..................................................... 63Medir un sistema de archivos de Amazon EFS ..................................................................... 63

Administrar costos de los sistemas de archivos con Presupuestos de AWS ........................................ 64Requisitos previos ............................................................................................................. 65Crear un presupuesto de costos mensual para un sistema de archivos de EFS ........................... 65

Administrar el acceso a los sistemas de archivos cifrados ............................................................... 66Acciones administrativas en las claves maestras de cliente de Amazon EFS .............................. 66Temas relacionados .......................................................................................................... 67

Montar sistemas de archivos de EFS ................................................................................................... 68Solucionar problemas de versiones de kernel y AMI ....................................................................... 68Instalación de amazon-efs-utils ................................................................................................... 68Montar con el ayudante de montaje de EFS ................................................................................. 68

Montar en EC2 con el ayudante de montaje de EFS .............................................................. 69Montar con autorización IAM .............................................................................................. 69Montar con puntos de acceso de EFS ................................................................................. 70Montar automáticamente con el ayudante de montaje de EFS ................................................. 71Montar en el cliente Linux local con el ayudante de montaje de EFS a través de AWS DirectConnect y la VPN ............................................................................................................. 71

Cómo montar EFS automáticamente ............................................................................................ 72Configurar instancias EC2 para montar un sistema de archivos de EFS en el lanzamiento de lainstancia .......................................................................................................................... 72Usar /etc/fstab para montar automáticamente ........................................................................ 73

Montar desde otra cuenta o VPC ................................................................................................ 75Montar mediante IAM o puntos de acceso desde otra VPC ..................................................... 76Montar desde otra cuenta en la misma VPC ......................................................................... 78

Consideraciones de montaje adicionales ...................................................................................... 78Desmontar sistemas de archivos ......................................................................................... 79

Monitoreo de EFS ............................................................................................................................. 81Herramientas de monitoreo ........................................................................................................ 81

Herramientas automatizadas ............................................................................................... 81Herramientas de monitoreo manuales .................................................................................. 82

Monitorización con CloudWatch .................................................................................................. 82Métricas de Amazon CloudWatch para Amazon EFS .............................................................. 83Bytes comunicados en CloudWatch ..................................................................................... 85Dimensiones de Amazon EFS ............................................................................................ 85¿Cómo utilizo las métricas de Amazon EFS? ........................................................................ 85Acceder a las métricas de CloudWatch ................................................................................ 86Creación de alarmas ......................................................................................................... 87Usar cálculos de métricas con Amazon EFS ......................................................................... 89

Registro de llamadas a la API de Amazon EFS con AWS CloudTrail ................................................. 92

iv


Información de Amazon EFS en CloudTrail ........................................................................... 93Descripción de las entradas de archivos de registro de Amazon EFS ........................................ 93Entradas de archivos de registro de Amazon EFS para sistemas de archivos cifrados en reposo .... 98

Rendimiento ................................................................................................................................... 100Información general sobre desempeño ....................................................................................... 100Casos de uso de Amazon EFS ................................................................................................. 101

Big data y análisis ........................................................................................................... 101Flujos de trabajo de procesamiento multimedia .................................................................... 101Administración de contenido y servicios web ....................................................................... 101Directorios de inicio ......................................................................................................... 101

Modos de rendimiento ............................................................................................................. 101Modo de desempeño de uso general ................................................................................. 102Modo de desempeño de E/S máx. ..................................................................................... 102Uso del modo de rendimiento correcto ............................................................................... 102

Modos de desempeño ............................................................................................................. 103Transmisión por ráfagas ................................................................................................... 103Desempeño provisionado ................................................................................................. 105Uso del modo de desempeño correcto ............................................................................... 106

Consideraciones de capacidad de desempeño on-premise ............................................................ 107Diseño de alta disponibilidad ............................................................................................ 107

Consejos de rendimiento de Amazon EFS .................................................................................. 107Temas relacionados ................................................................................................................ 108

Protección de datos para Amazon EFS .............................................................................................. 109AWS Backup y EFS ................................................................................................................ 109

Funcionamiento de AWS Backup con los sistemas de archivos de EFS ................................... 110Tutoriales ....................................................................................................................................... 114

Tutorial: Crear y montar un sistema de archivos utilizando la AWS CLI ............................................ 114Antes de empezar ........................................................................................................... 115Configuración de herramientas .......................................................................................... 115Paso 1: Crear recursos de Amazon EC2 ............................................................................ 116Paso 2: Crear recursos de Amazon EFS ............................................................................ 120Paso 3: Montar y probar el sistema de archivos ................................................................... 122Paso 4: Eliminación ......................................................................................................... 125

Tutorial: Configurar un servidor web Apache y ofrecer archivos ...................................................... 126Una sola instancia EC2 para ofrecer archivos ...................................................................... 127Varias instancias EC2 para ofrecer archivos ........................................................................ 129

Tutorial: Crear subdirectorios que se pueden escribir por usuario .................................................... 132Volver a montar automáticamente al reiniciar ...................................................................... 133

Tutorial: Montar EFS en un cliente local ..................................................................................... 133Antes de empezar ........................................................................................................... 134Paso 1: Crear sus recursos de Amazon Elastic File System ................................................... 134Paso 2: Instalar el cliente NFS .......................................................................................... 135Paso 3: Montar el sistema de archivos de Amazon EFS en su cliente local ............................... 136Paso 4: Limpiar recursos y proteger la cuenta de AWS ......................................................... 137Opcional: Cifrado de datos en tránsito ................................................................................ 137

Tutorial: Montar un sistema de archivos desde una VPC distinta .................................................... 140Antes de empezar ........................................................................................................... 140Paso 1: Determinar el ID de la zona de disponibilidad del destino de montaje de EFS ................. 141Paso 2: Determinar la dirección IP del destino de montaje ..................................................... 141Paso 3: Agregar una entrada de host para el destino de montaje ............................................ 142Paso 4: Montar el sistema de archivos con el ayudante de montaje de EFS .............................. 142Paso 5: Limpiar recursos y proteger la cuenta de AWS ......................................................... 144

Tutorial: Aplicar cifrado en reposo a un sistema de archivos de Amazon EFS ................................... 144Aplicación del cifrado en reposo ........................................................................................ 144

Tutorial: Habilitar la agrupación de nodo raíz mediante IAM para NFS ............................................. 147Seguridad ...................................................................................................................................... 150

Cifrado de datos en EFS .......................................................................................................... 150

v


Cuándo usar cifrado ........................................................................................................ 150Cifrado de datos en reposo .............................................................................................. 151Cifrado de datos en tránsito .............................................................................................. 153

Identity and Access Management .............................................................................................. 155Autenticación .................................................................................................................. 155Control de acceso ........................................................................................................... 156Información general sobre la administración de acceso ......................................................... 157Control del acceso a la API .............................................................................................. 160Uso de IAM para controlar el acceso de NFS ...................................................................... 166Uso de la función vinculada a servicios de EFS ................................................................... 169

Control del acceso a la red ...................................................................................................... 171Uso de grupos de seguridad para instancias Amazon EC2 y destinos de montaje ...................... 171Puertos de origen ........................................................................................................... 172Consideraciones de seguridad para el acceso a la red .......................................................... 173Uso de los puntos de enlace de la VPC ............................................................................. 173

Usuarios, grupos y permisos en el nivel de NFS .......................................................................... 175Permisos de archivos y directorios ..................................................................................... 175Ejemplo de permisos y casos de uso del sistema de archivos de Amazon EFS ......................... 176Permisos de ID de grupo y usuario en archivos y directorios dentro de un sistema de archivos ..... 177Sin agrupación de raíz ..................................................................................................... 178Almacenamiento en caché de permisos .............................................................................. 178Cambio de propiedad de objeto del sistema de archivos ....................................................... 178Puntos de acceso de EFS ................................................................................................ 178

Trabajar con puntos de acceso ................................................................................................. 178Creación de un punto de acceso ....................................................................................... 179Montaje de un sistema de archivos mediante un punto de acceso ........................................... 179Aplicación de una identidad de usuario mediante un punto de acceso ..................................... 179Aplicación de un directorio raíz con un punto de acceso ....................................................... 180Uso de puntos de acceso en políticas de IAM ..................................................................... 181

Registro y monitorización ......................................................................................................... 182Validación de la conformidad .................................................................................................... 182Resiliencia .............................................................................................................................. 183Aislamiento de red .................................................................................................................. 183

Cuotas de EFS ............................................................................................................................... 185Cuotas de Amazon EFS que puede incrementar .......................................................................... 185

Solicitud de un aumento de cuota ...................................................................................... 186Cuotas de recursos ................................................................................................................. 186Cuotas para clientes NFS ......................................................................................................... 187Cuotas para los sistemas de archivos de Amazon EFS ................................................................. 187Características no compatibles de NFSv4 ................................................................................... 188Consideraciones adicionales ..................................................................................................... 189

Solución de problemas de Amazon EFS ............................................................................................. 190Solución de problemas generales .............................................................................................. 190

La instancia Amazon EC2 deja de responder ...................................................................... 191La aplicación deja de responder al escribir grandes cantidades de datos .................................. 191Rendimiento bajo al abrir muchos archivos en paralelo ......................................................... 191La configuración de NFS personalizada provoca retrasos de escritura ..................................... 192La creación de backup con Oracle Recovery Manager es lenta .............................................. 192

Solución de errores de operación de archivos ............................................................................. 193El comando falla con el error "Cuota de disco superada" ....................................................... 193El comando falla con "error de E/S" ................................................................................... 193El comando falla con el error "El nombre de archivo es demasiado largo" ................................. 194El comando produce el error "Archivo no encontrado" ........................................................... 194El comando falla con el error "Demasiados vínculos" ............................................................ 194El comando falla con el error "Archivo demasiado grande" ..................................................... 194

Solución de problemas de AMI y de kernel ................................................................................. 195No se puede cambiar la propiedad .................................................................................... 195

vi


El sistema de archivos sigue realizando operaciones repetidamente debido a un error del cliente .. 195Cliente con interbloqueo ................................................................................................... 195La enumeración de archivos en un directorio grande tarda mucho tiempo ................................. 196

Solución de problemas montaje ................................................................................................. 196El montaje del sistema de archivos en la instancia de Windows falla ....................................... 197Acceso denegado por el servidor ...................................................................................... 197Se produce un error de montaje automático y la instancia no responde .................................... 197Se produce un error de montaje de varios sistemas de archivos de Amazon EFS en /etc/fstab ..... 197El comando de montaje falla con el mensaje de error "wrong fs type" ...................................... 198El comando de montaje falla con el mensaje de error "incorrect mount option" .......................... 198El montaje del sistema de archivos falla de inmediato después de la creación del sistema dearchivos ......................................................................................................................... 199El montaje del sistema de archivos deja de responder y, a continuación, falla con un error detiempo de espera agotado ................................................................................................ 199El montaje del sistema de archivos que utiliza el nombre de DNS falla .................................... 200El montaje del sistema de archivos falla y emite el mensaje "nfs not responding (nfs noresponde)" ..................................................................................................................... 200El estado de ciclo de vida de destino de montaje está atascado ............................................. 200El montaje no responde ................................................................................................... 201Las operaciones en el sistema de archivos recién montado devuelven el error "bad file handle" .... 201Error de desmontaje de un sistema de archivos ................................................................... 201

Resolución de problemas de cifrado .......................................................................................... 202Error de montaje con cifrado de los datos en tránsito ........................................................... 202Interrupción del montaje con cifrado de los datos en tránsito .................................................. 202No es posible crear el sistema de archivos con cifrado en reposo ........................................... 203El sistemas de archivos cifrados no se puede usar .............................................................. 203

API de Amazon EFS ....................................................................................................................... 204Punto de enlace de la API ....................................................................................................... 204Versión de API ....................................................................................................................... 205Temas relacionados ................................................................................................................ 205Trabajo con la velocidad de las solicitudes de API de consulta para Amazon EFS ............................. 205

Sondeo .......................................................................................................................... 205Reintentos o procesamiento por lotes ................................................................................. 205Cálculo del intervalo de suspensión ................................................................................... 206

Actions .................................................................................................................................. 206CreateAccessPoint .......................................................................................................... 207CreateFileSystem ............................................................................................................ 212CreateMountTarget .......................................................................................................... 220CreateTags .................................................................................................................... 228DeleteAccessPoint ........................................................................................................... 231DeleteFileSystem ............................................................................................................ 233DeleteFileSystemPolicy .................................................................................................... 235DeleteMountTarget .......................................................................................................... 237DeleteTags ..................................................................................................................... 240DescribeAccessPoints ...................................................................................................... 243DescribeBackupPolicy ...................................................................................................... 246DescribeFileSystemPolicy ................................................................................................. 248DescribeFileSystems ........................................................................................................ 251DescribeLifecycleConfiguration .......................................................................................... 255DescribeMountTargets ..................................................................................................... 258DescribeMountTargetSecurityGroups .................................................................................. 262DescribeTags ................................................................................................................. 265ListTagsForResource ....................................................................................................... 268ModifyMountTargetSecurityGroups ..................................................................................... 270PutBackupPolicy ............................................................................................................. 273PutFileSystemPolicy ........................................................................................................ 275PutLifecycleConfiguration .................................................................................................. 279

vii


TagResource .................................................................................................................. 283UntagResource ............................................................................................................... 285UpdateFileSystem ........................................................................................................... 287

Data Types ............................................................................................................................ 291AccessPointDescription .................................................................................................... 293BackupPolicy .................................................................................................................. 295CreationInfo .................................................................................................................... 296FileSystemDescription ...................................................................................................... 297FileSystemSize ............................................................................................................... 300LifecyclePolicy ................................................................................................................ 301MountTargetDescription .................................................................................................... 302PosixUser ...................................................................................................................... 304RootDirectory .................................................................................................................. 305Tag ............................................................................................................................... 306

Información adicional ....................................................................................................................... 307Copia de seguridad con AWS Data Pipeline ................................................................................ 307

Soluciones de copia de seguridad de EFS recomendadas ..................................................... 307Solución de copia de seguridad de EFS heredada que utiliza AWS Data Pipeline ...................... 307Rendimiento de las copias de seguridad de Amazon EFS utilizando AWS Data Pipeline .............. 308Consideraciones sobre copias de seguridad de Amazon EFS utilizando AWS Data Pipeline ......... 309Supuestos para copias de seguridad de Amazon EFS utilizando AWS Data Pipeline .................. 310Cómo hacer una copia de seguridad de un sistema de archivos de Amazon EFS utilizando AWSData Pipeline .................................................................................................................. 310Recursos adicionales de backup ....................................................................................... 315

Montaje de sistemas de archivos sin el ayudante de montaje de EFS .............................................. 320Compatibilidad con NFS ................................................................................................... 320Instalación del cliente NFS ............................................................................................... 321Opciones recomendadas de montaje NFS .......................................................................... 323Montaje en Amazon EC2 con un nombre de DNS ................................................................ 324Montaje con una dirección IP ............................................................................................ 325

Historial de revisiones ...................................................................................................................... 327

viii


¿Qué es Amazon Elastic FileSystem?

Amazon Elastic File System (Amazon EFS) ofrece un sistema de archivos NFS simple, escalable, elásticoy totalmente administrado que puede utilizar con los servicios en la nube de AWS y los recursos en lasinstalaciones. Está diseñado para ajustar la escala hasta petabytes, según la demanda, sin interrumpirel funcionamiento de las aplicaciones, mediante el aumento y la reducción automática de su capacidada medida que agrega o elimina archivos. De esta manera, ya no tiene necesidad de aprovisionar yadministrar la capacidad para adaptarse al crecimiento. Amazon EFS tiene una interfaz de serviciosweb sencilla que le permite crear y configurar sistemas de archivos de forma fácil y rápida. El servicio seencarga de administrar toda la infraestructura de almacenamiento de archivos, por lo que puede evitar lacomplejidad de implementación, aplicación de parches y mantenimiento de configuraciones complejas desistemas de archivos.

Amazon EFS es compatible con la versión 4 (NFSv4.1 y NFSv4.0) del protocolo Network File System,para que las aplicaciones y herramientas que utiliza actualmente funcionen sin problemas con AmazonEFS. Varias instancias Amazon EC2 pueden tener acceso a un sistema de archivos Amazon EFSsimultáneamente, proporcionando un origen de datos común para cargas de trabajo y aplicaciones que seejecutan en más de una instancia o servidor.

Con Amazon EFS, solo paga el almacenamiento que utiliza su sistema de archivos y no hay cuotasmínimas ni costos de configuración. Amazon EFS ofrece dos clases de almacenamiento: Estándar yAcceso poco frecuente. La clase de almacenamiento Estándar se utiliza para almacenar archivos a losque se obtiene acceso frecuentemente. La clase de almacenamiento Acceso poco frecuente (IA) esuna clase de almacenamiento económica diseñada para almacenar de forma eficaz archivos de largaduración a los que se obtiene acceso con poca frecuencia. Para obtener más información, consulteClases de almacenamiento de EFS (p. 58). Los costos relacionados con el desempeño aprovisionadose determinan por los valores de desempeño que especifique. Para obtener más información, consultePrecios de Amazon EFS.

El servicio se ha diseñado para ser muy escalable, de alta disponibilidad y de larga duración. Los sistemasde archivos de Amazon EFS almacenan datos y metadatos en varias zonas de disponibilidad en unaregión de AWS. Los sistemas de archivos de EFS pueden aumentar a escala de petabytes, ofrecer altosniveles de desempeño y permitir el acceso en paralelo masivo a sus datos desde instancias Amazon EC2.

Amazon EFS ofrece semántica de acceso al sistema de archivos como, por ejemplo, un gran nivel decoherencia y bloqueo de archivos. Para obtener más información, consulte Coherencia de datos enAmazon EFS (p. 7). Amazon EFS también permite controlar el acceso a sus sistemas de archivos através de los permisos de la Portable Operating System Interface (POSIX). Para obtener más información,consulte Seguridad en Amazon EFS (p. 150).

Amazon EFS admite capacidades de autenticación, autorización y cifrado para ayudarle a cumplir susrequisitos de seguridad y cumplimiento de normas. Amazon EFS admite dos formas de cifrado parasistemas de archivos: cifrado en tránsito y cifrado en reposo. Puede habilitar el cifrado en reposo alcrear un sistema de archivos de Amazon EFS. Si lo hace, se cifran todos los datos y metadatos. Puedehabilitar el cifrado en tránsito, cuando monte el sistema de archivos. El acceso del cliente NFS a EFS estácontrolado por políticas de AWS Identity and Access Management (IAM) y políticas de seguridad de red,como grupos de seguridad. Para obtener más información, consulte Cifrado de datos en EFS (p. 150),Administración de identidad y acceso para Amazon EFS (p. 155) y Control del acceso de red a sistemasde archivo Amazon EFS para clientes NFS (p. 171).

Amazon EFS se ha diseñado para ofrecer el desempeño, IOPS y baja latencia necesarios para una ampliagama de cargas de trabajo. Con Amazon EFS, puede elegir entre dos modos de rendimiento y dos modosde desempeño:

1

https://aws.amazon.com/efs/pricing

Amazon Elastic File System Guía del usuario¿Es la primera vez que usa Amazon EFS?

• El modo predeterminado de rendimiento de uso general es ideal para casos de uso que dependen dela latencia, como entornos de servidores web, sistemas de administración de contenido, directorios deinicio y servicios de archivos generales. Los sistemas de archivos en modo E/S máxima se puedenescalar a niveles superiores de desempeño total y operaciones por segundo, con la contrapartida deque la latencia es un poco mayor en las operaciones con archivos de metadatos. Para obtener másinformación, consulte Modos de rendimiento (p. 101).

• Al utilizar el modo predeterminado de desempeño por ráfagas, el desempeño aumenta a medida quecrece su sistema de archivos. Al usar el modo de desempeño aprovisionado, puede especificar eldesempeño de su sistema de archivos, independientemente de la cantidad de datos almacenados. Paraobtener más información, consulte Rendimiento de Amazon EFS (p. 100).

Note

No se admite el uso de Amazon EFS con instancias Amazon EC2 basadas en Microsoft Windows.

¿Es la primera vez que usa Amazon EFS?Si es la primera vez que utiliza Amazon EFS, le recomendamos que lea las siguientes secciones en orden:

1. Para obtener información general del producto Amazon EFS y los precios, consulte Amazon EFS.2. Para obtener una descripción general técnica de Amazon EFS, consulte Amazon EFS: cómo

funciona (p. 3).3. Pruebe los ejercicios de introducción:

• Introducción (p. 12)• Tutoriales (p. 114)

Si desea obtener más información sobre Amazon EFS, los siguientes temas analizan el servicio másdetalladamente:

• Usar los recursos de Amazon EFS (p. 18)• Administrar sistemas de archivos de Amazon EFS (p. 51)• API de Amazon EFS (p. 204)

2

https://aws.amazon.com/efs/

Amazon Elastic File System Guía del usuarioInformación general

Amazon EFS: cómo funcionaA continuación, puede encontrar una descripción acerca de cómo funciona Amazon EFS, sus detalles deimplementación y las consideraciones de seguridad.

Temas• Información general (p. 3)• Funcionamiento de Amazon EFS con Amazon EC2 (p. 4)• Funcionamiento de Amazon EFS con AWS Direct Connect y la VPN administrada de AWS (p. 5)• Funcionamiento de Amazon EFS con AWS Backup (p. 6)• Resumen de implementación (p. 6)• Autenticación y control de acceso (p. 7)• Coherencia de datos en Amazon EFS (p. 7)• Clases de almacenamiento y administración del ciclo de vida (p. 8)

Información generalAmazon EFS proporciona almacenamiento de archivos en la nube de AWS. Con Amazon EFS, puedecrear un sistema de archivos, montar el sistema de archivos en una instancia Amazon EC2 y leer y escribirdatos en su sistema de archivos. Puede montar un sistema de archivos de Amazon EFS en su VPC, através del protocolo Network File System versiones 4.0 y 4.1 (NFSv4). Recomendamos utilizar un clienteLinux NFSv4.1 de generación actual, como los que se encuentran en las últimas AMI de Amazon Linux,Redhat y Ubuntu, junto con Amazon EFS Mount Helper. Para obtener instrucciones, consulte Uso de lasherramientas amazon-efs-utils (p. 44).

Para obtener una lista de Amazon Machine Images (AMI) de Linux de Amazon EC2 que admiten esteprotocolo, consulte Compatibilidad con NFS (p. 320). Para algunas AMI, tendrá que instalar un clienteNFS para montar su sistema de archivos en la instancia Amazon EC2. Para obtener instrucciones,consulte Instalación del cliente NFS (p. 321).

Puede acceder a su sistema de archivos de Amazon EFS de forma simultánea desde varios clientes deNFS, de manera que las aplicaciones que se escalan más allá de una única conexión puedan acceder aun sistema de archivos. Las instancias Amazon EC2 que se ejecutan en varias zonas de disponibilidaddentro de la misma región de AWS pueden acceder al sistema de archivos, de modo que muchos usuariospueden acceder y compartir un origen de datos común.

Para obtener una lista de las regiones de AWS en las que puede crear un sistema de archivos de AmazonEFS, consulte Referencia general de Amazon Web Services.

Para obtener acceso al sistema de archivos de Amazon EFS en una VPC, cree uno o varios destinosde montaje en la VPC. Un destino de montaje proporciona una dirección IP para un punto de enlace deNFSv4 en el que puede montar un sistema de archivos de Amazon EFS. El sistema de archivos se montautilizando su nombre DNS (Servicio de nombres de dominio), que se resuelve en la dirección IP del destinode montaje de EFS en la misma zona de disponibilidad que la instancia EC2. Puede crear un destino demontaje en cada zona de disponibilidad de una región de AWS. Si la VPC tiene varias subredes en unazona de disponibilidad, puede crear un destino de montaje en tan solo una de las subredes. Todas lasinstancias EC2 de la zona de disponibilidad compartirán ese destino de montaje.

3

https://docs.aws.amazon.com/general/latest/gr/rande.html#elasticfilesystem_region

Amazon Elastic File System Guía del usuarioFuncionamiento de Amazon EFS con Amazon EC2

Note

Un sistema de archivos Amazon EFS solo puede tener destinos de montaje en una VPC a la vez.

Los propios destinos de montaje están diseñados para ofrecer alta disponibilidad. A medida que diseñapara alta disponibilidad y conmutación por error en otras zonas de disponibilidad (AZ), tenga en cuentaque, aunque las direcciones IP y DNS de los destinos de montaje en cada AZ son estáticos, soncomponentes redundantes respaldados por varios recursos.

Después de montar el sistema de archivos mediante su nombre de DNS, lo podrá usar como cualquierotro sistema de archivos compatible con POSIX. Para obtener información sobre los niveles de permisosy consideraciones relacionadas, consulte Trabajar con usuarios, grupos y permisos en el nivel de NetworkFile System (NFS) (p. 175).

Puede montar los sistemas de archivos Amazon EFS en los servidores del centro de datos en lasinstalaciones cuando esté conectado a una Amazon VPC con AWS Direct Connect o AWS VPN. Puedemontar los sistemas de archivos EFS en servidores en las instalaciones para migrar conjuntos de datosa EFS, habilitar supuestos de ráfaga de nube o realizar una copia de seguridad de los datos en lasinstalaciones en EFS.

Funcionamiento de Amazon EFS con Amazon EC2La siguiente ilustración muestra una VPC de ejemplo que obtiene acceso a un sistema de archivos deAmazon EFS. Aquí, las instancias EC2 en la VPC tienen sistemas de archivos montados.

En esta ilustración, la VPC tiene tres zonas de disponibilidad y cada una tiene un destino de montajecreado en ella. Le recomendamos que obtenga acceso al sistema de archivos desde un destino demontaje dentro de la misma zona de disponibilidad. Una de las zonas de disponibilidad tiene dos subredes.Sin embargo, se crea un destino de montaje en tan solo una de las subredes. La creación de estaconfiguración funciona de la siguiente manera:

1. Cree los recursos de Amazon EC2 y lance la instancia Amazon EC2. Para obtener más informaciónsobre Amazon EC2, consulte Amazon EC2 - Alojamiento de servidores virtuales.

2. Cree su sistema de archivos de Amazon EFS.3. Conectarse a la instancia Amazon EC2 y montar el sistema de archivos de Amazon EFS.

Para conocer los pasos en detalle, consulte Introducción a Amazon Elastic File System (p. 12).

4

https://aws.amazon.com/ec2/

Amazon Elastic File System Guía del usuarioFuncionamiento de Amazon EFS con AWS

Direct Connect y la VPN administrada de AWS

Funcionamiento de Amazon EFS con AWS DirectConnect y la VPN administrada de AWS

Al utilizar un sistema de archivos de Amazon EFS montado en un servidor local, puede migrar datoslocales a la nube de AWS alojada en un sistema de archivos de Amazon EFS. También puede utilizarla transmisión por ráfagas. Es decir, puede mover los datos de sus servidores locales a Amazon EFS yanalizarlos en una flota de instancias Amazon EC2 en su Amazon VPC. A continuación, puede almacenarlos resultados de forma permanente en el sistema de archivos o mover los resultados al servidor local.

Tenga en cuenta las siguientes consideraciones al utilizar Amazon EFS con un servidor local:

• Su servidor local debe tener un sistema operativo basado en Linux. Recomendamos Linux kernel versión4.0 o posterior.

• A efectos de simplicidad, le recomendamos montar un sistema de archivos de Amazon EFS en unservidor on-premise mediante una dirección IP de destino de montaje en lugar de un nombre DNS.

No se aplica ningún costo adicional por el acceso on-premise a sus sistemas de archivos de AmazonEFS. Se le cobrará la conexión de AWS Direct Connect a su Amazon VPC. Para obtener más información,consulte Precios de AWS Direct Connect.

En la siguiente ilustración se muestra un ejemplo de cómo obtener acceso a un sistema de archivos deAmazon EFS on-premise (los servidores on-premise tienen los sistemas de archivos montados).

Puede utilizar cualquier destino de montaje en la VPC si puede conectar con esa subred del destino demontaje a través de una conexión AWS Direct Connect entre el servidor local y la VPC. Para obteneracceso a Amazon EFS desde un servidor local, añada una regla a su grupo de seguridad de destino demontaje para permitir el tráfico entrante al puerto NFS (2049) desde el servidor local.

Para crear una configuración de este tipo, debe hacer lo siguiente:

1. Establezca una conexión de AWS Direct Connect entre su centro de datos local y su Amazon VPC. Paraobtener más información sobre AWS Direct Connect, consulte AWS Direct Connect.

2. Cree su sistema de archivos de Amazon EFS.3. Monte el sistema de archivos de Amazon EFS en su servidor on-premise.

Para conocer los pasos en detalle, consulte Tutorial: Crear y montar un sistema de archivos local con AWSDirect Connect y una VPN (p. 133).

5

https://aws.amazon.com/directconnect/pricing/

https://aws.amazon.com/directconnect

Amazon Elastic File System Guía del usuarioFuncionamiento de Amazon EFS con AWS Backup

Funcionamiento de Amazon EFS con AWS BackupPara una implementación completa de copias de seguridad para sus sistemas de archivos, puede utilizarAmazon EFS con AWS Backup. AWS Backup es un servicio de copias de seguridad completamenteadministrado que permite centralizar y automatizar las copias de seguridad de los datos de los distintosservicios de AWS en la nube y locales. Con AWS Backup, puede configurar de manera centralizada laspolíticas de copia de seguridad y monitorizar la actividad de copia de seguridad de para sus recursosde AWS. Amazon EFS siempre da prioridad a las operaciones del sistema de archivos frente a lasoperaciones de copia de seguridad. Parea obtener más información sobre cómo realizar copias deseguridad de sistemas de archivos de EFS mediante AWS Backup, consulte Uso de AWS Backup conAmazon EFS (p. 109).

Resumen de implementaciónEn Amazon EFS, un sistema de archivos es el recurso principal. Cada sistema de archivos tienepropiedades como, por ejemplo, el ID, token de creación, hora de creación, tamaño del sistema dearchivos en bytes, número de destinos de montaje creados para el sistema de archivos y el estado del ciclode vida del sistema de archivos. Para obtener más información, consulte CreateFileSystem (p. 212).

Amazon EFS también admite otros recursos para configurar el recurso principal. Estos incluyen objetivosde montaje y puntos de acceso:

• Destino de montaje: para poder acceder a su sistema de archivos, debe crear destinos de montaje en laVPC. Cada destino de montaje tiene las siguientes propiedades: el ID del destino de montaje, el ID dela subred en el que se ha creado, el ID del sistema de archivos para el que se ha creado, una direcciónIP en la que se puede montar el sistema, grupos de seguridad de la VPC y el estado del destino demontaje. Puede utilizar la dirección IP o el nombre de DNS en su comando mount.

Cada sistema de archivos tiene un nombre de DNS de la siguiente forma.

file-system-id.efs.aws-region.amazonaws.com

Puede especificar el nombre de DNS de su comando mount para montar el sistema de archivos deAmazon EFS. Supongamos que crea un subdirectorio efs-mount-point fuera del directorio principalen su instancia EC2 o servidor local. A continuación, puede utilizar el comando de montaje para montarel sistema de archivos. Por ejemplo, en una AMI de Amazon Linux, puede utilizar el siguiente comandomount.

$ sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport file-system-DNS-name:/ ~/efs-mount-point

Para obtener más información, consulte Crear destinos de montaje (p. 29). En primer lugar, debeinstalar el cliente NFS en su instancia EC2. El ejercicio Introducción (p. 12) ofrece instrucciones pasoa paso.

• Puntos de acceso: Un punto de acceso aplica una ruta de usuario, grupo y sistema de archivos delsistema operativo a cualquier solicitud del sistema de archivos realizada mediante el punto de acceso. Elusuario y el grupo del sistema operativo del punto de acceso anulan cualquier información de identidadproporcionada por el cliente NFS. La ruta del sistema de archivos se expone al cliente como directorioraíz del punto de acceso. Esto garantiza que cada aplicación siempre utilice la identidad correctadel sistema operativo y el directorio correcto al acceder a conjuntos de datos basados en archivoscompartidos. Las aplicaciones que utilizan el punto de acceso solo pueden acceder a los datos de supropio directorio e inferiores. Para obtener más información, consulte Trabajar con puntos de accesoAmazon EFS (p. 178).

6

Amazon Elastic File System Guía del usuarioAutenticación y control de acceso

Los destinos de montaje y las etiquetas son subrecursos asociados a un sistema de archivos. Sólo sepueden crear en el contexto de un sistema de archivos existente.

Amazon EFS proporciona operaciones de API para que pueda crear y administrar estos recursos. Ademásde las operaciones de creación y eliminación para cada recurso, Amazon EFS también es compatible conuna operación de descripción que le permite recuperar información de recursos. Dispone de las siguientesopciones para la creación y la administración de estos recursos:

• Utilice la consola de Amazon EFS. Para ver un ejemplo, consulte Introducción (p. 12).• Utilice la interfaz de línea de comandos (CLI) de Amazon EFS. Para ver un ejemplo, consulte Tutorial:

Crear un sistema de archivos de Amazon EFS y montarlo en una instancia Amazon EC2 con la AWSCLI (p. 114).

• También puede administrar estos recursos mediante programación de la siguiente manera:• Utilice los SDK de AWS: los SDK de AWS simplifican las tareas de programación envolviendo la API

de Amazon EFS subyacente. Los clientes de SDK también autentican sus solicitudes mediante el usode claves de acceso que proporcione. Para obtener más información, consulte Código de muestra ybibliotecas.

• Llame a la API de Amazon EFS directamente desde la aplicación. Si no puede utilizar los SDK poralgún motivo, puede hacer que la API de Amazon EFS llame directamente desde su aplicación. Noobstante, tiene que escribir el código necesarios para autenticar las solicitudes si utiliza esta opción.Para obtener más información sobre API de Amazon EFS, consulte API de Amazon EFS (p. 204).

Autenticación y control de accesoDebe disponer de credenciales válidas para hacer solicitudes de API de Amazon EFS como, porejemplo, crear un sistema de archivos. Además, debe tener permisos para crear u obtener acceso alos recursos. De forma predeterminada, cuando utilice las credenciales de cuenta raíz de su cuenta deAWS, podrá crear y obtener acceso a los recursos que sean propiedad de dicha cuenta. Sin embargo, norecomendamos utilizar las credenciales de la cuenta raíz. Además, los usuarios y roles de AWS Identityand Access Management (IAM) que haya creado en su cuenta deben disponer de permisos para crear uobtener acceso a los recursos. Para obtener más información sobre los permisos, consulte Administraciónde identidad y acceso para Amazon EFS (p. 155).

La autorización de IAM para clientes NFS es una opción de seguridad adicional para Amazon EFS queutiliza IAM para simplificar la administración de acceso a clientes del sistema de archivo de red (NFS)a escala. Con autorización de IAM para clientes NFS, puede utilizar IAM para administrar el acceso aun sistema de archivos EFS de una manera escalable de forma inherente. La autorización de IAM paraclientes NFS también está optimizada para entornos en la nube. Para obtener más información sobre eluso de la autorización de IAM para clientes NFS, consulte Uso de IAM para controlar el acceso de NFS aAmazon EFS (p. 166).

Coherencia de datos en Amazon EFSAmazon EFS proporciona la semántica de coherencia "cerrar para abrir" que las aplicaciones esperan deNFS.

En Amazon EFS, las operaciones de escritura se almacenan de forma duradera en zonas de disponibilidadcuando:

• Una aplicación realiza una operación de escritura síncrona (por ejemplo, utilizando el comando de Linuxopen con la marca O_DIRECT o el comando de Linux fsync).

• Una aplicación cierra un archivo.

7

https://aws.amazon.com/code

https://aws.amazon.com/code

Amazon Elastic File System Guía del usuarioClases de almacenamiento y administración del ciclo de vida

En función del patrón de acceso, Amazon EFS ofrece mayores garantías de coherencia que la semántica"cerrar para abrir". Las aplicaciones que realizan el acceso de datos síncrono y realizan escrituras sinanexión tendrán coherencia de lectura después de escritura para acceso a datos.

Clases de almacenamiento y administración delciclo de vida

Con Amazon EFS, puede utilizar dos clases de almacenamiento para los sistemas de archivos:

• Acceso poco frecuente: la clase de almacenamiento Acceso poco frecuente (IA) es una clase dealmacenamiento económica diseñada para almacenar de forma eficaz archivos de larga duración a losque se obtiene acceso con poca frecuencia.

• Estándar: la clase de almacenamiento Estándar se utiliza para almacenar archivos a los que se obtieneacceso frecuentemente.

La clase de almacenamiento IA de EFS reduce los costos de almacenamiento de los archivos a los queno se tiene acceso todos los días. Todo ello, sin que la alta disponibilidad, alta durabilidad, elasticidady acceso al sistema de archivos POSIX que proporciona EFS se vean afectados. El almacenamientoIA de EFS es el recomendado si necesita que todo su conjunto de datos esté fácilmente accesibley desea ahorrar automáticamente costos de almacenamiento para los archivos a los que se obtieneacceso con menos frecuencia. Entre algunos ejemplos se incluye mantener los archivos accesiblespara satisfacer los requisitos de auditoría, realizar análisis históricos o realizar copias de seguridad yrecuperación. Para obtener más información sobre las clases de almacenamiento de EFS, consulte Clasesde almacenamiento de EFS (p. 58).

La administración del ciclo de vida de Amazon EFS administra automáticamente el almacenamientoeconómico de los archivos para sus sistemas de archivos. Cuando está habilitada, la administracióndel ciclo de vida migra los archivos a los que no se ha obtenido acceso durante un periodo de tiempodeterminado a la clase de almacenamiento Acceso poco frecuente (IA). Para definir dicho periodo detiempo, utilice una política de ciclo de vida. Para obtener más información sobre la administración del ciclode vida, consulte Administración del ciclo de vida de EFS (p. 59).

8

Amazon Elastic File System Guía del usuarioSuscríbase a AWS

ConfiguraciónAntes de usar Amazon EFS por primera vez, realice las siguientes tareas:

1. Suscríbase a AWS (p. 9)2. Creación de un usuario de IAM (p. 9)

Suscríbase a AWSAl inscribirse en Amazon Web Services (AWS), su cuenta de AWS se inscribe automáticamente en todoslos servicios de AWS, incluido Amazon EFS. Solo se le cobrará por los servicios que utilice.

Con Amazon EFS, paga solo el almacenamiento que usa. Para obtener más información sobre las tarifasde uso de Amazon EFS, consulte los Precios de Amazon Elastic File System. Si es cliente nuevo deAWS, puede comenzar con Amazon EFS de forma gratuita. Para obtener más información, consulte Capagratuita de AWS.

Si ya dispone de una cuenta de AWS, pase a la siguiente tarea. Si no dispone de una cuenta de AWS,utilice el siguiente procedimiento para crear una.

Para crear una cuenta de AWS

1. Abra https://portal.aws.amazon.com/billing/signup.2. Siga las instrucciones en línea.

Parte del procedimiento de inscripción consiste en recibir una llamada telefónica e indicar un código deverificación en el teclado del teléfono.

Anote su número de cuenta de AWS porque lo necesitará en la siguiente tarea.

Creación de un usuario de IAMCuando obtenga acceso a los servicios de AWS, como Amazon EFS, debe proporcionar las credencialespara que estos puedan determinar si tiene permisos de acceso a sus recursos. AWS recomienda que nouse las credenciales raíz de su cuenta de AWS para realizar solicitudes. En su lugar, cree un usuario deIAM y concédale derechos de acceso completos. Estos usuarios se denominan usuarios administradores.Puede utilizar las credenciales del usuario administrador, en lugar de las credenciales raíz de su cuenta,para interaccionar con AWS y realizar tareas, tales como crear un bucket, crear usuarios y concederlespermisos. Para obtener más información, consulte Credenciales de cuenta raíz y credenciales de usuariode IAM en la Referencia general de AWS y Prácticas recomendadas de IAM en la Guía del usuario de IAM.

Si se ha inscrito en AWS, pero no ha creado un usuario de IAM para usted, puede crearlo en la consola deIAM.

Para crearse usted mismo un usuario administrador y agregarlo a un grupo de administradores(consola)

1. Inicie sesión en la consola de IAM como el propietario de la cuenta; para ello, elija Usuario raíz yescriba su dirección de correo electrónico de la cuenta de AWS. En la siguiente página, escriba sucontraseña.

9

https://aws.amazon.com/efs/pricing/

https://aws.amazon.com/free/

https://aws.amazon.com/free/

https://portal.aws.amazon.com/billing/signup

https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html

https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html

https://console.aws.amazon.com/iam/

Amazon Elastic File System Guía del usuarioCreación de un usuario de IAM

Note

Le recomendamos que siga la práctica recomendada de utilizar el usuario de IAMAdministrator como se indica a continuación y guardar de forma segura las credencialesde usuario raíz. Inicie sesión como usuario raíz únicamente para realizar algunas tareas deadministración de servicios y de cuentas.

2. En el panel de navegación, elija Users (Usuarios) y, a continuación, elija Add user (Añadir usuario).3. En User name (Nombre de usuario), escriba Administrator.4. Marque la casilla situada junto a Consola de administración de AWS access (Acceso a la Consola de

administración de AWS). A continuación, seleccione Custom password (Contraseña personalizada) yluego escriba la nueva contraseña en el cuadro de texto.

5. (Opcional) De forma predeterminada, AWS requiere al nuevo usuario que cree una nueva contraseñala primera vez que inicia sesión. Puede quitar la marca de selección de la casilla de verificaciónsituada junto a User must create a new password at next sign-in (El usuario debe crear una nuevacontraseña en el siguiente inicio de sesión) para permitir al nuevo usuario restablecer su contraseñadespués de iniciar sesión.

6. Elija Next: Permissions.7. En Set permissions (Establecer persmisos), elija Add user to group (Añadir usuario a grupo).8. Elija Create group (Crear grupo).9. En el cuadro de diálogo Create group (Crear grupo), en Group name (Nombre del grupo) escriba

Administrators.10. Elija Filter policies (Filtrar políticas) y, a continuación, seleccione AWS managed -job function (Función

de trabajo administrada por AWS) para filtrar el contenido de la tabla.11. En la lista de políticas, active la casilla de verificación AdministratorAccess. A continuación, elija

Create group (Crear grupo).

Note

Debe activar el acceso de usuarios y roles de IAM a Facturación para poder utilizar la lospermisos AdministratorAccess para el acceso a la consola de AWS Billing and CostManagement. Para ello, siga las instrucciones que se indican en el paso 1 del tutorial sobrecómo delegar el acceso a la consola de facturación.

12. Retroceda a la lista de grupos y active la casilla de verificación del nuevo grupo. Elija Refresh si esnecesario para ver el grupo en la lista.

13. Elija Next: Tags (Siguiente: Etiquetas).14. (Opcional) Añadir metadatos al rol asociando las etiquetas como pares de clave-valor. Para obtener

más información sobre el uso de etiquetas en IAM, consulte Etiquetado de entidades de IAM en laGuía del usuario de IAM.

15. Elija Next: Review para ver la lista de suscripciones a grupos que se van a añadir al nuevo usuario.Cuando esté listo para continuar, elija Create user (Crear usuario).

Puede usar este mismo proceso para crear más grupos y usuarios y para conceder a los usuarios accesoa los recursos de la cuenta de AWS. Para obtener información sobre cómo usar las políticas que restringenlos permisos de los usuarios a recursos de AWS específicos, consulte Administración de acceso y Políticasde ejemplo.

Para iniciar sesión como este nuevo usuario de IAM, cierre la sesión de la Consola de administración deAWS y después utilice la siguiente dirección URL, donde your_aws_account_id es su número de cuenta deAWS sin los guiones (por ejemplo, si su número de cuenta de AWS es 1234-5678-9012, su ID de cuentade AWS será 123456789012):

https://your_aws_account_id.signin.aws.amazon.com/console/

10

https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html

https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_examples.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_examples.html

Amazon Elastic File System Guía del usuarioCreación de un usuario de IAM

Escriba el nombre y la contraseña del usuario de IAM que acaba de crear. Cuando haya iniciado sesión, enla barra de navegación se mostrará su_nombre_de_usuario@su_id_de_cuenta_de_aws.

Si no desea que la dirección URL de la página de inicio de sesión contenga el ID de su cuenta de AWS,puede crear un alias de cuenta. En el panel de control de IAM, busque el vínculo de inicio de sesión deusuarios de IAM: y elija Customize (Personalizar). Escriba un alias, como el nombre de su empresa. Parainiciar sesión después de crear un alias de cuenta, use la siguiente dirección URL:

https://your_account_alias.signin.aws.amazon.com/console/

Para comprobar el enlace de inicio de sesión de los usuarios de IAM de su cuenta, abra la consola de IAMy compruebe el campo AWS Account Alias (Alias de cuenta de AWS) en el panel.

11

Amazon Elastic File System Guía del usuarioSupuestos

Introducción a Amazon Elastic FileSystem

En este ejercicio de introducción, puede aprender a crear un sistema de archivos de Amazon Elastic FileSystem (Amazon EFS) de forma rápida. Como parte de este proceso, el sistema de archivos se montaen una instancia de Amazon Elastic Compute Cloud (Amazon EC2) de su nube virtual privada (VPC).También se prueba la configuración integral.

Debe realizar cuatro pasos para crear y utilizar su primer sistema de archivos de Amazon EFS:

• Cree su sistema de archivos de Amazon EFS.• Cree sus recursos de Amazon EC2, inicie su instancia y monte el sistema de archivos.• Transfiera archivos a su sistema de archivos EFS utilizando AWS DataSync.• Limpiar los recursos y proteger su cuenta de AWS.

Temas• Supuestos (p. 12)• Temas relacionados (p. 13)• Paso 1: Crear su sistema de archivos de Amazon EFS (p. 13)• Paso 2: Crear sus recursos de EC2 y lanzar la instancia EC2 (p. 15)• Paso 3: Transferir archivos a Amazon EFS utilizando AWS DataSync (p. 16)• Paso 4: Limpiar recursos y proteger la cuenta de AWS (p. 17)

Note

La nueva consola de administración de Amazon EFS no está disponible en las siguientes regionesde AWS: Región Europa (Milán), Región de África (Ciudad del Cabo), Regiones de Pekín yNingxia o AWS GovCloud (US). Si accede a la consola de Amazon EFS en estas regiones, puedeacceder a la documentación del usuario del entorno de dicha consola aquí: Guía del usuario deAWS Elastic File System.

SupuestosPara este ejercicio, suponemos lo siguiente:

• Usted ya está familiarizado con el uso de la consola de Amazon EC2 para lanzar instancias.• Sus recursos de Amazon VPC, Amazon EC2 y Amazon EFS están todos en la misma región de AWS.

Esta guía utiliza la región EE.UU. Oeste (Oregón) (us-west-2).• Dispone de una VPC predeterminada en la región de AWS que utiliza para este ejercicio de introducción.

Si no dispone de una VPC predeterminada, o si desea montar el sistema de archivos desde unanueva VPC con grupos de seguridad nuevos o existentes, puede seguir utilizando este ejercicio deintroducción. Para ello configure Uso de grupos de seguridad para instancias Amazon EC2 y destinos demontaje (p. 171).

12

Amazon Elastic File System Guía del usuarioTemas relacionados

• No ha cambiado la regla predeterminada de acceso de entrada para el grupo de seguridadpredeterminado.

Puede utilizar las credenciales de usuario raíz de su cuenta de AWS para iniciar sesión en la consola yprobar el ejercicio de introducción. Sin embargo, AWS Identity and Access Management (IAM) recomiendaque no utilice las credenciales de usuario raíz de la cuenta. En su lugar, cree un usuario administradoren su cuenta y utilice esas credenciales para administrar los recursos de su cuenta. Para obtener másinformación, consulte Configuración (p. 9).

Temas relacionadosEsta guía también ofrece un tutorial para realizar un ejercicio de introducción similar utilizando comandosde la AWS Command Line Interface (AWS CLI) para hacer las llamadas a la API de Amazon EFS. Paraobtener más información, consulte Tutorial: Crear un sistema de archivos de Amazon EFS y montarlo enuna instancia Amazon EC2 con la AWS CLI (p. 114).

Paso 1: Crear su sistema de archivos de AmazonEFS

En este paso, creará un sistema de archivos de Amazon EFS que tenga la configuración recomendada delservicio mediante la consola de Amazon EFS.

Para crear su sistema de archivos de Amazon EFS

1. Abra la consola de administración de Amazon EFS en https://console.aws.amazon.com/efs/.2. Seleccione Create file system (Crear sistema de archivos) para abrir el cuadro de diálogo Create file

system (Crear sistema de archivos).

3. (Opcional) Escriba un nombre para el sistema de archivos.4. En Virtual Private Cloud (VPC), elija su VPC o mantenga la VPC predeterminada.5. Seleccione Create (Crear) para crear un sistema de archivos que utilice la siguiente configuración

recomendada del servicio:

• Copias de seguridad automáticas activadas. Para obtener más información, consulte Uso de AWSBackup con Amazon EFS (p. 109).

13

https://console.aws.amazon.com/efs/

Amazon Elastic File System Guía del usuarioPaso 1: crear su sistema de archivos

• Destinos de montaje. Amazon EFS crea destinos de montaje con la siguiente configuración:• Un destino de montaje en cada una de las zonas de disponibilidad de la región en la que se crea

el sistema de archivos.• Se encuentra en las subredes predeterminadas de la VPC seleccionada.• Mediante el grupo de seguridad predeterminado de la VPC. Puede administrar los grupos de

seguridad después de que se haya creado el sistema de archivos.

Para obtener más información, consulte Administrar la accesibilidad de red del sistema dearchivos (p. 51).

• Modo de rendimiento de uso general. Para obtener más información, consulte Modos derendimiento (p. 101).

• Modo de desempeño por ráfagas. Para obtener más información, consulte Modos dedesempeño (p. 103).

• Cifrado de datos en reposo habilitado mediante la clave predeterminada para Amazon EFS (aws/elasticfilesysystem). Para obtener más información, consulte Cifrado de datos en reposo (p. 151).

• Administración del ciclo de vida habilitada con una política de 30 días. Para obtener másinformación, consulte Administración del ciclo de vida de EFS (p. 59).

Después de crear el sistema de archivos, puede personalizar la configuración del sistema de archivos,con la excepción del modo de cifrado y rendimiento.

Si desea crear un sistema de archivos con una configuración personalizada, seleccione Customize(Personalizar). Para obtener más información acerca de la creación de un sistema de archivos conuna configuración personalizada, consulte Crear un sistema de archivos mediante la consola deAmazon EFS (p. 21).

6. La página File systems (Sistemas de archivos) aparece con un banner en la parte superior en elque se muestra el estado del sistema de archivos que ha creado. Aparece un enlace para accedera la página de detalles del sistema de archivos en el banner cuando el sistema de archivos estédisponible.

14

Amazon Elastic File System Guía del usuarioPaso 2: crear recursos de EC2 y lanzar una instancia

Paso 2: Crear sus recursos de EC2 y lanzar lainstancia EC2

Note

No puede usar Amazon EFS con instancias Amazon EC2 basadas en Microsoft Windows.

Antes de poder lanzar y conectarse a una instancia Amazon EC2, tiene que crear un par de claves, amenos que ya disponga de una. Puede crear un par de claves utilizando la consola de Amazon EC2 y, acontinuación, puede lanzar la instancia EC2.

Para crear un par de claves

• Siga los pasos de Configuración con Amazon EC2 en la Guía del usuario de Amazon EC2 parainstancias de Linux para crear un par de claves. Si ya tiene un par de claves, no es necesario crearuno nuevo. Puede utilizar su par de claves existente en este ejercicio.

Para lanzar la instancia EC2 y montar un sistema de archivos de EFS

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Elija Launch Instance.3. En Step 1: Choose an Amazon Machine Image (AMI) (Paso 1: Elegir una Amazon Machine Image

(AMI)), busque una AMI de Amazon Linux en la parte superior de la lista y elija Select (Seleccionar).4. En el Step 2: Choose an Instance Type (Paso 2: Elegir un tipo de instancia), seleccione Next:

Configure Instance Details (Siguiente: Configurar detalles de la instancia).5. En el Step 3: Configure Instance Details (Paso 3: Configurar los detalles de la instancia), proporcione

la siguiente información:

• En Network (Red), elija la entrada de la misma VPC que anotó al crear su sistema de archivos deEFS en Paso 1: Crear su sistema de archivos de Amazon EFS (p. 13).

• En Subnet (Subred), elija una subred predeterminada en cualquier zona de disponibilidad.• En File systems (Sistemas de archivos), asegúrese de que el sistema de archivos de EFS que ha

creado en Paso 1: Crear su sistema de archivos de Amazon EFS (p. 13) esté seleccionado.La ruta que se muestra junto al ID del sistema de archivos es el punto de montaje que utilizarála instancia EC2, que puede cambiar. Elija Add to user data (Añadir a los datos de usuario) paramontar el sistema de archivos cuando se lance EC2.

• En Advanced Details (Detalles avanzados), confirme que los datos de usuario están presentes enUser data (Datos de usuario).

6. Elija Next: Add Storage (Siguiente: Añadir almacenamiento).7. Elija Next: Add Tags.8. Asigne un nombre a la instancia y elija Next: Configure Security Group (Siguiente: Configurar grupo de

seguridad).9. En Step 6: Configure Security Group (Paso 6: Configurar grupo de seguridad), establezca Assign a

security group (Asignar un grupo de seguridad) en Select an existing security group (Seleccionar ungrupo de seguridad existente). Elija el grupo de seguridad predeterminado para asegurarse de quepuede obtener acceso a su sistema de archivos de EFS.

No puede obtener acceso a la instancia EC2 mediante Secure Shell (SSH) con este grupo deseguridad. El acceso SSH no es necesario para este ejercicio. Para añadir el acceso medianteSSH más adelante, puede editar la seguridad predeterminada y añadir una regla que permita SSH.También puede crear un nuevo grupo de seguridad que permita SSH. Puede utilizar la siguienteconfiguración para añadir acceso SSH:

15

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/get-set-up-for-amazon-ec2.html

https://console.aws.amazon.com/ec2/

Amazon Elastic File System Guía del usuarioPaso 3: Transferir archivos mediante DataSync

• Tipo: SSH• Protocolo: TCP• Rango de puerto: 22• Origen: cualquiera 0.0.0.0/0

10. Elija Review and Launch (Revisar y lanzar).11. Elija Launch.12. Seleccione la casilla de verificación para el par de claves que ha creado y, a continuación, elija Launch

Instances (Lanzar instancias).

Paso 3: Transferir archivos a Amazon EFSutilizando AWS DataSync

Ahora que ha creado un sistema de archivos de Amazon EFS operativo, puede utilizar AWS DataSyncpara transferir archivos desde un sistema de archivos existente a Amazon EFS. AWS DataSync es unservicio de transferencia de datos que simplifica, automatiza y acelera la transferencia y la replicaciónde los datos entre los sistemas de almacenamiento locales y los servicios de almacenamiento de AWSa través de Internet o AWS Direct Connect. AWS DataSync puede transferir datos de archivos, así comometadatos del sistema de archivos como, por ejemplo, la propiedad, las marcas temporales y los permisosde acceso.

Antes de empezarEn este paso se supone que dispone de lo siguiente:

• Un sistema de archivos NFS de origen desde el que puede transferir archivos. Este sistema de origendebe ser accesible mediante NFS versión 3, 4 0 4.1. Entre los ejemplos de sistemas de archivosse incluyen los que se encuentran en el centro de datos local, los sistemas de archivos en la nubeadministrados automáticamente y los sistemas de archivos de Amazon EFS.

• Un sistema de archivos de Amazon EFS al que transferir archivos. Si no dispone de un sistema dearchivos de Amazon EFS cree uno. Para obtener más información, consulte Introducción a AmazonElastic File System (p. 12).

• El servidor y la red cumplen los requisitos de AWS DataSync. Para obtener más información, consulteRequisitos de AWS DataSync.

Para transferir archivos desde una ubicación de origen a una ubicación de destino utilizando AWSDataSync, haga lo siguiente:

• Descargue e implemente un agente en su entorno y actívelo.• Cree y configure una ubicación de origen y destino.• Cree y configure una tarea.• Ejecute la tarea para transferir archivos desde el origen al destino.

Para obtener información sobre cómo transferir archivos de un sistema de archivos local existente a susistema de archivos de EFS, consulte Introducción a AWS DataSync en la Guía del usuario de AWSDataSync. Para obtener información sobre cómo transferir archivos de un sistema de archivos en lanube existente a su sistema de archivos de EFS, consulte Implementación del agente de AWS DataSynccomo una instancia Amazon EC2 en la Guía del usuario de AWS DataSync y la página de inicio rápido yprogramación de transferencias en la nube de AWS DataSync de Amazon EFS.

16

https://docs.aws.amazon.com/datasync/latest/userguide/requirements.html

https://docs.aws.amazon.com/datasync/latest/userguide/getting-started.html

https://docs.aws.amazon.com/datasync/latest/userguide/ec2-agent.html

https://docs.aws.amazon.com/datasync/latest/userguide/ec2-agent.html

https://github.com/aws-samples/amazon-efs-tutorial/tree/master/in-cloud-transfer


Amazon Elastic File System Guía del usuarioPaso 4: Limpiar recursos y proteger la cuenta de AWS

Paso 4: Limpiar recursos y proteger la cuenta deAWS

Esta guía incluye tutoriales que puede usar para explorar Amazon EFS en mayor profundidad. Antes derealizar este paso de limpieza, puede utilizar los recursos que ha creado y a los que ha conectado en esteejercicio de introducción en los tutoriales. Para obtener más información, consulte Tutoriales (p. 114).Después de terminar los tutoriales o si no desea explorarlos, realice los pasos siguientes para limpiar losrecursos y proteger su cuenta de AWS.

Para limpiar los recursos y proteger su cuenta de AWS

1. Conecte con la instancia Amazon EC2.2. Desmonte el sistema de archivos de Amazon EFS con el siguiente comando.

$ sudo umount efs

3. Abra la consola de Amazon EFS en https://console.aws.amazon.com/efs/.4. Elija el sistema de archivos de Amazon EFS que desea eliminar de la lista de sistemas de archivos.5. En Actions (Acciones), seleccione Delete file system (Eliminar sistema de archivos).6. En el cuadro de diálogo Permanently delete file system (Eliminar sistema de archivos

permanentemente), escriba el ID del sistema de archivos de Amazon EFS que quiera eliminar y luegoseleccione Delete File System (Eliminar sistema de archivos).

7. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.8. Elija la instancia Amazon EC2 que desea finalizar en la lista de instancias.9. En Actions (Acciones), elija Instance State (Estado de la instancia) y luego Terminate (Terminar).10. En Terminate Instances (Terminar instancias), elija Yes, Terminate (Sí, terminar) para terminar la

instancia que ha creado para este ejercicio de introducción.11. En el panel de navegación, elija Security Groups.12. Seleccione el nombre del grupo de seguridad que ha creado para este ejercicio de introducción en

Paso 2: Crear sus recursos de EC2 y lanzar la instancia EC2 (p. 15) como parte del asistente delanzamiento de la instancia Amazon EC2.

Warning

No elimine el grupo de seguridad predeterminado para la VPC.13. En Actions (Acciones), seleccione Delete Security Group (Eliminar grupo de seguridad).14. En Delete Security Group (Eliminar grupo de seguridad), elija Yes, Delete (Sí, eliminar) para eliminar el

grupo de seguridad que ha creado para este ejercicio de introducción.

17




Usar los recursos de Amazon EFSAmazon EFS ofrece almacenamiento de archivos compartido elástico que es compatible con POSIX. Elsistema de archivos que crea admite acceso de lectura y escritura simultáneo desde varias instanciasAmazon EC2 y es accesible desde todas las zonas de disponibilidad en la región de AWS donde se hacreado.

Puede montar un sistema de archivos Amazon EFS en instancias EC2 en su Virtual Private Cloud (VPC)basada en Amazon VPC mediante el protocolo Network File System versiones 4.0 y 4.1 (NFSv4). Paraobtener más información, consulte Amazon EFS: cómo funciona (p. 3).

Por ejemplo, suponga que tiene una o varias instancias EC2 lanzadas en su VPC. Ahora desea creary utilizar un sistema de archivos en estas instancias. A continuación, se indican los pasos típicos quenecesita realizar para utilizar los sistemas de archivos de Amazon EFS en la VPC:

• Crear un sistema de archivos de Amazon EFS: al crear un sistema de archivos, le recomendamos quese plantee la posibilidad de utilizar la etiqueta Name (Nombre) porque el valor de la etiqueta Name(Nombre) aparece en la consola y facilita la identificación del sistema de archivos. También puede añadirotras etiquetas opcionales al sistema de archivos.

• Crear destinos de montaje para el sistema de archivos: para obtener acceso al sistema de archivos en laVPC y montar el sistema de archivos en la instancia Amazon EC2 debe crear destinos de montaje en lassubredes de la VPC.

• Crear grupos de seguridad: es necesario que tanto una instancia Amazon EC2 como un destino demontaje dispongan de grupos de seguridad asociados. Estos grupos de seguridad actúan como unfirewall virtual que controla el tráfico entre ellos. Puede utilizar el grupo de seguridad que asoció aldestino de montaje para controlar el tráfico entrante a su sistema de archivos añadiendo una regla deentrada al grupo de seguridad del destino de montaje que permite el acceso desde una instancia EC2específica. A continuación, puede montar el sistema de archivos únicamente en esa instancia EC2.

Si es la primera vez que utiliza Amazon EFS, le recomendamos que pruebe los siguientes ejercicios que leproporcionan experiencia integral de primera mano en el uso de un sistema de archivos de Amazon EFS:

• Introducción (p. 12): este ejercicio introductorio proporciona una configuración integral basadaen consola en la que se crea un sistema de archivos, lo monta en una instancia EC2 y prueba laconfiguración. La consola se encarga de muchas cosas en su lugar y le ayuda a configurar rápidamentela experiencia integral.

• Tutorial: Crear un sistema de archivos de Amazon EFS y montarlo en una instancia Amazon EC2 conla AWS CLI (p. 114): este tutorial es similar al ejercicio de introducción, pero utiliza la AWS CommandLine Interface (AWS CLI) para realizar la mayoría de las tareas. Dado que los comandos de la AWS CLIse corresponden fielmente a la API de Amazon EFS, el tutorial puede ayudarle a familiarizarse con lasoperaciones de la API de Amazon EFS.

Para obtener más información acerca de la creación de recursos de EFS y el acceso a un sistema dearchivos, consulte los siguientes temas.

Temas• Crear sistemas de archivos de Amazon EFS (p. 19)• Eliminar un sistema de archivos de Amazon EFS (p. 28)• Crear destinos de montaje (p. 29)• Crear grupos de seguridad (p. 35)• Crear políticas de sistema de archivos (p. 37)• Crear y eliminar puntos de acceso (p. 39)

18

Amazon Elastic File System Guía del usuarioCrear sistemas de archivos

Crear sistemas de archivos de Amazon EFSA continuación, puede encontrar una explicación acerca de cómo crear un sistema de archivos de AmazonEFS y etiquetas opcionales para el sistema de archivos. En esta sección se explica cómo crear estosrecursos utilizando tanto la consola como la AWS Command Line Interface (AWS CLI).

Si es la primera vez que utiliza Amazon EFS, le recomendamos que realice el ejercicio de introducción,que ofrece instrucciones integrales basadas en la consola para crear y obtener acceso a un sistema dearchivos en su VPC. Para obtener más información, consulte Introducción (p. 12).

Temas• Requisitos (p. 19)• Crear un sistema de archivos (p. 20)

RequisitosEn esta sección, se describen los requisitos y requisitos previos para crear sistemas de archivos deAmazon EFS.

Token de creación e idempotenciaPara crear un sistema de archivos, el único requisito es que cree un token para garantizar la operaciónidempotente. Si utiliza la consola, genera el token por usted. Para obtener más información, consulteCreateFileSystem (p. 212). Después de crear un sistema de archivos, Amazon EFS devuelve ladescripción del sistema de archivos como JSON. A continuación se muestra un ejemplo.

{ "OwnerId": "231243201240", "CreationToken": "console-d7f56c5f-e433-41ca-8307-9d9c0example", "FileSystemId": "fs-c7a0456e", "CreationTime": 1422823614.0, "LifeCycleState": "creating", "Name": "MyFileSystem", "NumberOfMountTargets": 0, "SizeInBytes": { "Value": 6144, "ValueInIA": 0 "ValueInStandard": 6144 }, "PerformanceMode" : "generalPurpose", "Encrypted": false, "ThroughputMode": "bursting", "Tags":[ { "Key": "Name", "Value": "MyFileSystem" } ]}

Si utiliza QuickCreate para crear un sistema de archivos con la configuración recomendada del servicio, eltoken de creación tiene el siguiente formato:

"CreationToken": "quickCreated-d7f56c5f-e433-41ca-8307-9d9c0example"

Si utiliza la consola, la consola muestra esta información en la interfaz de usuario.

19

Amazon Elastic File System Guía del usuarioCrear un sistema de archivos

Puede crear etiquetas adicionales y editar las etiquetas existentes más adelante con la operaciónTagResource (p. 228) de Amazon EFS. Cada etiqueta es sencillamente un par clave-valor.

Permisos necesariosPara crear recursos de EFS, como, por ejemplo, un sistema de archivos y puntos de acceso, un usuariodebe tener permisos de AWS Identity and Access Management (IAM) para la acción y recurso de la APIcorrespondiente.

Puede realizar cualquier operación de Amazon EFS mediante las credenciales de usuario raíz de sucuenta de AWS, pero no se recomienda utilizar las credenciales de usuario raíz. Si crea usuarios de IAMen su cuenta, puede concederles permisos para acciones de Amazon EFS con las políticas de usuario.También puede utilizar roles para conceder permisos entre cuentas. Amazon Elastic File System tambiénutiliza un rol vinculado al servicio de AWS IAM que incluye los permisos necesarios para llamar a otrosservicios de AWS en su nombre. Para obtener más información sobre la administración de permisos paralas acciones de la API, consulte Administración de identidad y acceso para Amazon EFS (p. 155).

Crear un sistema de archivosPuede crear un sistema de archivos mediante la consola de Amazon EFS o utilizando la AWS CommandLine Interface (AWS CLI). También puede crear sistemas de archivos mediante programación utilizando losSDK de AWS o la API de Amazon EFS directamente.

Defina la política utilizada por la administración del ciclo de vida de Amazon EFS para administrarautomáticamente un almacenamiento de archivos rentable para sus sistemas de archivos al crear elsistema de archivos. La administración del ciclo de vida migra los archivos a los que no se ha obtenidoacceso durante un periodo de tiempo determinado a la clase de almacenamiento Acceso poco frecuente(IA) de menor costo. Para obtener más información, consulte Administración del ciclo de vida deEFS (p. 59).

Al crear un sistema de archivos, también elige un modo de desempeño. Puede elegir entre dos modos derendimiento: uso general y E/S máx. Para la mayoría de casos de uso, se recomienda utilizar el modo de

20


rendimiento de uso general para el sistema de archivos. Para obtener más información sobre los distintosmodos de desempeño, consulte Modos de rendimiento (p. 101).

Además de los modos de rendimiento, también puede elegir el modo de desempeño. Existen dos modosde desempeño entre los que elegir: por ráfagas y aprovisionado. Resulta sencillo trabajar con el modopredeterminado de desempeño por ráfagas y está indicado para la mayoría de aplicaciones y una ampliavariedad de requisitos de rendimiento. El modo de desempeño aprovisionado es para aplicacionesque requieren una mayor proporción de desempeño para la capacidad de almacenamiento que la quepermite el modo de desempeño por ráfagas. Para obtener más información, consulte Especificación deldesempeño con el modo aprovisionado (p. 105).

Note

Se aplican cargos adicionales asociados con el uso del modo de desempeño aprovisionado. Paraobtener más información, consulte Precios de Amazon EFS.

Puede habilitar el cifrado en reposo a la hora de crear un sistema de archivos. Si habilita el cifrado enreposo en su sistema de archivos, se cifrarán todos los datos y metadatos almacenados en él. Puedehabilitar el cifrado en tránsito más adelante, cuando monte el sistema de archivos. Para obtener másinformación sobre el cifrado de Amazon EFS, consulte Seguridad en Amazon EFS (p. 150).

Para crear los destinos de montaje del sistema de archivos en su VPC, debe especificar subredesde VPC. La consola rellena previamente la lista de VPC en su cuenta que están en la región de AWSseleccionada. En primer lugar, seleccione la VPC y, a continuación, la consola muestra las zonas dedisponibilidad de la VPC. Para cada zona de disponibilidad, puede seleccionar una subred de la lista outilizar la subred predeterminada si existe. Después de seleccionar una subred, puede especificar unadirección IP disponible en la subred o dejar que Amazon EFS seleccione una dirección automáticamente.

Crear un sistema de archivos mediante la consola de AmazonEFSEn esta sección, se describe el proceso de creación de un sistema de archivos de EFS mediantela consola de Amazon EFS si decide no utilizar la configuración recomendada del servicio y deseapersonalizar la configuración del sistema de archivos. Para obtener más información acerca de la creaciónde un sistema de archivos mediante la configuración recomendada del servicio, consulte Paso 1: Crear susistema de archivos de Amazon EFS (p. 13).

El proceso de creación de un sistema de archivos de Amazon EFS con la consola contiene cuatro pasos:

• Paso 1: defina la configuración general del sistema de archivos, incluida la administración del ciclo devida, los modos de rendimiento y desempeño y el cifrado de datos en reposo.

• Paso 2: defina la configuración de red del sistema de archivos, incluida la Virtual Private Cloud (VPC) ylos destinos de montaje. En cada uno de los destinos de montaje, establezca la zona de disponibilidad,la subred, la dirección IP y los grupos de seguridad.

• Paso 3 (opcional): cree una política de sistema de archivos para controlar el acceso del cliente NFS alsistema de archivos.

• Paso 4: revise la configuración del sistema de archivos, realice las modificaciones que desee y, acontinuación, cree el sistema de archivos.

Note


21

http://aws.amazon.com/efs/pricing/


Paso 1: definir la configuración del sistema de archivos

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon EFS en https://console.aws.amazon.com/efs/.

2. Seleccione Create file system (Crear sistema de archivos) para abrir el cuadro de diálogo Create filesystem (Crear sistema de archivos).

3. Seleccione Customize (Personalizar) para crear un sistema de archivos personalizado en lugar decrear un sistema de archivos con la configuración recomendada del servicio.

Aparece la página File system settings (Configuración del sistema de archivos).

22




4. En la configuración General, escriba lo siguiente.

a. (Opcional) Escriba un nombre para el sistema de archivos.b. Las copias de seguridad automáticas están activadas de forma predeterminada. Puede desactivar

las copias de seguridad automáticas desmarcando la casilla de verificación. Para obtener másinformación, consulte Uso de AWS Backup con Amazon EFS (p. 109).

c. Elija una política de administración del ciclo de vida. Si no desea activar la administración del ciclode vida, seleccione None (Ninguna). Para obtener más información, consulte Administración delciclo de vida de EFS (p. 59).

d. Elija un modo de rendimiento, ya sea el modo predeterminado General Purpose (Uso general) oMax I/O (E/S máx.). Para obtener más información, consulte Modos de rendimiento (p. 101).

e. Elija un modo de desempeño, ya sea el modo predeterminado Bursting (Por ráfagas) o el modoProvisioned (Aprovisionado).

Si elige Provisioned (Aprovisionado), aparece el campo Provisioned Throughput (MiB/s)(Desempeño aprovisionado [MiB/s]). Introduzca la cantidad de desempeño que se va aaprovisionar para el sistema de archivos. Después de introducir el desempeño, la consolamuestra una estimación del costo mensual junto al campo. Para obtener más información,consulte Modos de desempeño (p. 103).

f. En Encryption (Cifrado), el cifrado de datos en reposo está habilitado de forma predeterminada.Utiliza la clave del servicio de EFS de AWS Key Management Service (AWS KMS) (aws/elasticfilesystem) de forma predeterminada. Para utilizar una clave de KMS diferente en elcifrado, amplíe Customize encryption settings (Personalizar configuración de cifrado) y elija una

23


clave de la lista. O bien introduzca un ID de clave de KMS o el nombre de recurso de Amazon(ARN) de la clave de KMS que desee utilizar.

Si tiene que crear una clave nueva, seleccione Create an AWS KMS key (Crear una clave deAWS KMS) para lanzar la consola de AWS KMS y crear una clave nueva.

Puede desactivar el cifrado de datos en reposo desmarcando la casilla de verificación.5. (Opcional) Añada pares clave-valor de etiqueta al sistema de archivos.6. Seleccione Next (Siguiente) para continuar con el paso Network Access (Acceso a la red) del proceso

de configuración.

Paso 2: configurar el acceso a la red

En el paso 2, defina la configuración de red del sistema de archivos, incluida la VPC y los destinos demontaje.

1. Elija la Virtual Private Cloud (VPC) en la que desea que las instancias EC2 se conecten al sistema dearchivos. Para obtener más información, consulte Administrar la accesibilidad de red del sistema dearchivos (p. 51).

24


2. En Mount targets (Destinos de montaje), cree uno o varios destinos de montaje para el sistema dearchivos. En cada uno de los destinos de montaje, defina las siguientes propiedades:

• Availability zone (Zona de disponibilidad): de forma predeterminada, se configura un destino demontaje en cada una de las zonas de disponibilidad de una región de AWS. Si no desea un destinode montaje en una zona de disponibilidad determinada, seleccione Remove (Quitar) para eliminar eldestino de montaje de dicha zona. Crear un destino de montaje en todas las zonas de disponibilidada las que prevea acceder desde su sistema de archivos no supone ningún costo.

• Subnet ID (ID de subred): seleccione una de las subredes disponibles en una zona dedisponibilidad. La subred predeterminada está preseleccionada.

• IP Address (Dirección IP): de forma predeterminada, Amazon EFS selecciona la dirección IPautomáticamente de las direcciones disponibles en la subred. O bien puede introducir una direcciónIP concreta que esté en la subred. Aunque mountstarget tiene una única dirección IP, son recursosde red redundantes de alta disponibilidad.

• Security groups (Grupos de seguridad): puede especificar uno o varios grupos de seguridad enel destino de montaje. Para obtener más información, consulte Uso de grupos de seguridad parainstancias Amazon EC2 y destinos de montaje (p. 171).

Para añadir otro grupo de seguridad o cambiarlo, seleccione Choose security groups (Elegirgrupos de seguridad) y añada otro grupo de seguridad de la lista. Si no desea utilizar el grupo deseguridad predeterminado, puede eliminarlo. Para obtener más información, consulte Crear gruposde seguridad (p. 35).

3. Elija Add mount target (Añadir destino de montaje) para crear un destino de montaje en una zona dedisponibilidad que no tenga uno. Si se configura un destino de montaje en cada una de las zonas dedisponibilidad, esta opción no está disponible.

4. Elija Next para continuar. Aparece la página File system policy (Política de sistema de archivos).

Paso 3: crear una política de sistema de archivos (opcional)

También puede crear una política de sistema de archivos para su sistema de archivos. Una política desistema de archivos de EFS es una política de recursos de IAM que se utiliza para controlar el acceso delcliente NFS al sistema de archivos. Para obtener más información, consulte Uso de IAM para controlar elacceso de NFS a Amazon EFS (p. 166).

25


1. En Policy options (Opciones de política), puede elegir cualquier combinación de las políticaspreconfiguradas disponibles:

• Impedir el acceso raíz de forma predeterminada• Imponer el acceso de solo lectura de forma predeterminada• Imponer el cifrado en tránsito para todos los clientes

2. Utilice el editor de políticas para personalizar una política preconfigurada o crear su propia política.Al elegir una de las políticas preconfiguradas, la definición de política JSON aparece en el editor depolíticas. Puede editar el JSON para crear una política de su elección. Para deshacer los cambios,seleccione Clear (Borrar).

Las políticas preconfiguradas vuelven a estar disponibles en Policy options (Opciones de política).3. Elija Next para continuar. Aparece la página Review and create (Revisar y crear).

Paso 4: Revisar y crear

1. Revise cada uno de los grupos de configuración del sistema de archivos. Puede realizar cambios enlos grupos en este momento seleccionando Edit (Editar).

2. Seleccione Create (Crear) para crear el sistema de archivos y volver a la página File systems(Sistemas de archivos).

26


Un banner en la parte superior muestra que se está creando el nuevo sistema de archivos. Apareceun enlace para acceder a la página de detalles del nuevo sistema de archivos en el banner cuando elsistema de archivos esté disponible.

3. La página File systems (Sistemas de archivos) muestra el sistema de archivos y los detalles de suconfiguración, como se muestra a continuación.

Crear un sistema de archivos mediante la AWS CLICuando se utiliza la AWS CLI, debe crear estos recursos en orden. En primer lugar, debe crear un sistemade archivos. A continuación, puede crear destinos de montaje y cualquier etiqueta adicional opcional parael sistema de archivos mediante los comandos de la AWS CLI correspondientes.

Los ejemplos siguientes utilizan adminuser como valores del parámetro profile. Tiene que utilizar unperfil de usuario adecuado para proporcionar sus credenciales. Para obtener información acerca de laAWS CLI, consulte Instalación de la CLI de AWS en la AWS Command Line Interface Guía del usuario.

• Para crear un sistema de archivos, utilice el comando create-file-system de la CLI de Amazon EFS(la operación correspondiente es CreateFileSystem (p. 212)), tal y como se muestra a continuación.

$ aws efs create-file-system \--creation-token creation-token \--performance-mode generalPurpose \--throughput-mode bursting \--region aws-region \--tags Key=key,Value=value Key=key1,Value=value1 \--profile adminuser

Por ejemplo, el siguiente comando create-file-system crea un sistema de archivos en la regiónde AWS us-west-2. El comando especifica MyFirstFS como token de creación. Para obtener unalista de las regiones de AWS en las que puede crear un sistema de archivos de Amazon EFS, consulteReferencia general de Amazon Web Services.

$ aws efs create-file-system \--creation-token MyFirstFS \--performance-mode generalPurpose \

27

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-set-up.html

https://docs.aws.amazon.com/general/latest/gr/rande.html#elasticfilesystem_region

Amazon Elastic File System Guía del usuarioEliminar un sistema de archivos

--throughput-mode bursting \--region us-west-2 \--tags Key=Name,Value="Test File System" Key=developer,Value=rhoward \--profile adminuser

Después de crear correctamente el sistema de archivos, Amazon EFS devuelve la descripción delsistema de archivos como JSON, tal y como se muestra en el siguiente ejemplo.

{ "OwnerId": "123456789abcd", "CreationToken": "MyFirstFS", "FileSystemId": "fs-c7a0456e", "CreationTime": 1422823614.0, "LifeCycleState": "creating", "Name": "Test File System", "NumberOfMountTargets": 0, "SizeInBytes": { "Value": 6144, "ValueInIA": 0, "ValueInStandard": 6144 }, "PerformanceMode": "generalPurpose", "ThroughputMode": "bursting", "Tags": [ { "Key": "Name", "Value": "Test File System" }, { "Key": "developer", "Value": "rhoward" } ]}

Amazon EFS también ofrece el comando describe-file-systems de la CLI (la operacióncorrespondiente de la API es DescribeFileSystems (p. 251)), que puede utilizar para recuperar unalista de sistemas de archivos en su cuenta, tal y como se muestra a continuación.

$ aws efs describe-file-systems \--region aws-region \--profile adminuser

Amazon EFS devuelve una lista de los sistemas de archivos en su cuenta de AWS creados en la regiónespecificada.

Eliminar un sistema de archivos de Amazon EFSLa eliminación de sistemas de archivos es una acción destructiva que no puede deshacer. Perderá elsistema de archivos y todos los datos que contenga. Los datos que se eliminan de un sistema de archivosse pierden y no se pueden restaurar. Cuando los usuarios eliminan datos de un sistema de archivos, estosdatos quedan inutilizados de inmediato. EFS sobrescribe forzosamente los datos de forma eventual.

Important

Siempre debe desmontar un sistema de archivos antes de eliminarlo.

28

Amazon Elastic File System Guía del usuarioMediante la consola

Mediante la consolaPara eliminar un sistema de archivos

1. Abra la consola de Amazon Elastic File System en https://console.aws.amazon.com/efs/.2. Seleccione el sistema de archivos que desea eliminar en la página File systems (Sistemas de

archivos).3. Elija Eliminar.4. En el cuadro de diálogo Delete file system (Eliminar sistema de archivos), escriba el ID del sistema de

archivos que se muestra y seleccione Confirm (Confirmar) para confirmar la eliminación.

La consola simplifica la eliminación del sistema de archivos. En primer lugar, elimina los destinos demontaje asociados y, a continuación, elimina el sistema de archivos.

Mediante la CLIAntes de poder utilizar el comando de la AWS CLI para eliminar un sistema de archivos, deberá eliminartodos los destinos de montaje y puntos de acceso creados para el sistema de archivos.

Para comandos de la AWS CLI de ejemplo, consulte Paso 4: Eliminación (p. 125).

Temas relacionadosAdministrar sistemas de archivos de Amazon EFS (p. 51)

Crear destinos de montajeDespués de crear un sistema de archivos, puede crear los destinos de montaje. A continuación, puedemontar el sistema de archivos en instancias EC2, contenedores y funciones Lambda en su Virtual PrivateCloud (VPC), como se muestra en el siguiente diagrama.

29


Amazon Elastic File System Guía del usuarioCrear destinos de montaje

Para obtener más información sobre la creación de un sistema de archivos, consulte Crear sistemas dearchivos de Amazon EFS (p. 19).

El grupo de seguridad del destino de montaje funciona como un firewall virtual que controla el tráfico. Porejemplo, determina que los clientes pueden obtener acceso al sistema de archivos. En esta sección seexplica lo siguiente:

• Cómo administrar grupos de seguridad de destinos de montaje y habilitar el tráfico.• Cómo montar el sistema de archivos en sus clientes.• Consideraciones de permisos en el nivel de NFS.

Inicialmente, solo el usuario raíz de la instancia Amazon EC2 tiene permisos de lectura, escritura yejecución en el sistema de archivos. En este tema se explican los permisos en el nivel de NFS y seofrecen ejemplos que le muestran cómo otorgar permisos en situaciones comunes. Para obtener másinformación, consulte Trabajar con usuarios, grupos y permisos en el nivel de Network File System(NFS) (p. 175).

Puede crear destinos de montaje para un sistema de archivos mediante la Consola de administración deAWS, la AWS CLI o mediante programación utilizando los SDK de AWS. Cuando se utiliza la consola,puede crear destinos de montaje al crear por primera vez un sistema de archivos o después de que sehaya creado el sistema de archivos.

Para obtener instrucciones para crear destinos de montaje mediante la consola de Amazon EFS al crearun nuevo sistema de archivos, consulte Paso 2: configurar el acceso a la red (p. 24).

30

Amazon Elastic File System Guía del usuarioAdministrar destinos de montaje

mediante la consola de Amazon EFS

Administrar destinos de montaje mediante la consolade Amazon EFSUtilice el procedimiento siguiente para añadir o modificar destinos de montaje en un sistema de archivos deAmazon EFS existente.

Note


Para administrar destinos de montaje en un sistema de archivos de Amazon EFS (consola)


2. En el panel de navegación izquierdo, elija File systems (Sistemas de archivos). La página File systems(Sistemas de archivos) muestra los sistemas de archivos de EFS de la cuenta.

3. Elija el sistema de archivos para el que desea administrar los destinos de montaje seleccionando sunombre o el ID del sistema de archivos para mostrar la página de detalles del mismo.

4. Seleccione Network (Red) para mostrar la lista de los destinos de montaje existentes.

5. Seleccione Manage (Administrar) para mostrar la página Availability zone (Zona de disponibilidad) yrealizar modificaciones.

31



Amazon Elastic File System Guía del usuarioAdministrar destinos de montaje

mediante la consola de Amazon EFS

En esta página, en los destinos de montaje existentes, puede añadir y quitar grupos de seguridad oeliminar el destino de montaje. También puede crear nuevos destinos de montaje.

• Para quitar un grupo de seguridad de un destino de montaje, seleccione la X situada junto al ID delgrupo de seguridad.

• Para añadir un grupo de seguridad a un destino de montaje, seleccione Select security groups(Seleccionar grupos de seguridad) para mostrar una lista de los grupos de seguridad disponibles.O bien introduzca un ID de grupo de seguridad en el campo de búsqueda situado al principio de lalista.

• Para poner en cola un destino de montaje para su eliminación, seleccione Remove (Quitar).

Note

Antes de eliminar un destino de montaje, desmonte primero el sistema de archivos.• Para añadir un destino de montaje, seleccione Add mount target (Añadir destino de montaje). Esta

opción solo está disponible si los destinos de montaje ya no existen en cada una de las zonas dedisponibilidad de la región.

6. Seleccione Save (Guardar) para guardar los cambios.

Para cambiar la VPC de un sistema de archivos de Amazon EFS (consola)

Para cambiar la VPC de la configuración de red de un sistema de archivos, debe eliminar todos losdestinos de montaje existentes en el sistema de archivos.

1. Abra la consola de Amazon Elastic File System en https://console.aws.amazon.com/efs/.

32


Amazon Elastic File System Guía del usuarioAdministrar destinos de montaje mediante la AWS CLI

2. En el panel de navegación izquierdo, elija File systems (Sistemas de archivos). La página File systems(Sistemas de archivos) muestra los sistemas de archivos de EFS de la cuenta.

3. En el sistema de archivos para el que desea cambiar la VPC, seleccione el nombre o el ID del sistemade archivos. Aparece la página de detalles del sistema de archivos.

4. Seleccione Network (Red) para mostrar la lista de los destinos de montaje existentes.5. Seleccione Manage (Administrar). Aparece la página Availability zone (Zona de disponibilidad).6. Elimine todos los destinos de montaje que se muestran en la página.7. Seleccione Save (Guardar) para guardar los cambios y eliminar los destinos de montaje. La pestaña

Network (Red) muestra el estado de los destinos de montaje como deleting (eliminándose).8. Cuando los estados de todos los destinos de montaje aparezcan como deleted (eliminado), seleccione

Manage (Administrar). Aparece la página Availability zone (Zona de disponibilidad).9. Elija la nueva VPC de la lista Virtual Private Cloud (VPC).10. Seleccione Add mount target (Añadir destino de montaje) para añadir un nuevo destino de montaje. En

cada uno de los destinos de montaje que añada, escriba lo siguiente:

• Una zona de disponibilidad• Un ID de subred• Una dirección IP o déjela en Automatic (Automática)• Uno o varios grupos de seguridad

11. Seleccione Save (Guardar) para implementar la VPC y los cambios en los destinos de montaje.

Administrar destinos de montaje mediante la AWS CLIPara crear un destino de montaje (CLI)

• Para crear un destino de montaje, use el comando create-mount-target de la CLI (la operacióncorrespondiente es CreateMountTarget (p. 220)), tal y como se muestra a continuación.

$ aws efs create-mount-target \--file-system-id file-system-id \--subnet-id subnet-id \--security-group ID-of-the-security-group-created-for-mount-target \--region aws-region \--profile adminuser

En el ejemplo siguiente, se muestra el comando con datos de ejemplo.

$ aws efs create-mount-target \--file-system-id fs-0123467 \--subnet-id subnet-b3983dc4 \--security-group sg-01234567 \--region us-east-2 \--profile adminuser

Después de crear correctamente el destino de montaje, Amazon EFS devuelve la descripción deldestino de montaje como JSON tal y como se muestra en el siguiente ejemplo.

{ "MountTargetId": "fsmt-f9a14450", "NetworkInterfaceId": "eni-3851ec4e", "FileSystemId": "fs-b6a0451f", "LifeCycleState": "available", "SubnetId": "subnet-b3983dc4",

33

Amazon Elastic File System Guía del usuarioAdministrar destinos de montaje mediante la AWS CLI

"OwnerId": "23124example", "IpAddress": "10.0.1.24"}

Para recuperar una lista de destinos de montaje para un sistema de archivos (CLI)

• También puede recuperar una lista de destinos de montaje creados para un sistema de archivoscon el comando describe-mount-targets de la CLI (la operación correspondiente esDescribeMountTargets (p. 258)), tal y como se muestra a continuación.

$ aws efs describe-mount-targets --file-system-id fs-a576a6dc

{ "MountTargets": [ { "OwnerId": "111122223333", "MountTargetId": "fsmt-48518531", "FileSystemId": "fs-a576a6dc", "SubnetId": "subnet-88556633", "LifeCycleState": "available", "IpAddress": "172.31.25.203", "NetworkInterfaceId": "eni-0123456789abcdef1", "AvailabilityZoneId": "use2-az2", "AvailabilityZoneName": "us-east-2b" }, { "OwnerId": "111122223333", "MountTargetId": "fsmt-5651852f", "FileSystemId": "fs-a576a6dc", "SubnetId": "subnet-44223377", "LifeCycleState": "available", "IpAddress": "172.31.46.181", "NetworkInterfaceId": "eni-0123456789abcdefa", "AvailabilityZoneId": "use2-az3", "AvailabilityZoneName": "us-east-2c" }, { "OwnerId": "111122223333", "MountTargetId": "fsmt-5751852e", "FileSystemId": "fs-a576a6dc", "SubnetId": "subnet-a3520bcb", "LifeCycleState": "available", "IpAddress": "172.31.12.219", "NetworkInterfaceId": "eni-0123456789abcdef0", "AvailabilityZoneId": "use2-az1", "AvailabilityZoneName": "us-east-2a" } ]}

Para eliminar un destino de montaje existente (CLI)

• Para eliminar un destino de montaje existente, utilice el comando delete-mount-target de laAWS CLI (la operación correspondiente es DeleteMountTarget (p. 237)), tal y como se muestra acontinuación.

Note

Antes de eliminar un destino de montaje, desmonte primero el sistema de archivos.

34

https://docs.aws.amazon.com/cli/latest/reference/efs/describe-mount-targets.html

Amazon Elastic File System Guía del usuarioCrear grupos de seguridad

$ aws efs delete-mount-target \--mount-target-id mount-target-ID-to-delete \--region aws-region-where-mount-target-exists

A continuación, se muestra un ejemplo con datos de ejemplo.

$ aws efs delete-mount-target \--mount-target-id fsmt-5751852e \--region us-east-2 \

Para modificar el grupo de seguridad de un destino de montaje existente

• Para modificar los grupos de seguridad que están en vigor para un destino de montaje, utilice elcomando modify-mount-target-security-group de la AWS CLI (la operación correspondientees ModifyMountTargetSecurityGroups (p. 270)) para sustituir los grupos de seguridad existentes, taly como se muestra a continuación.

$ aws efs modify-mount-target-security-groups \--mount-target-id mount-target-ID-whose-configuration-to-update \--security-groups security-group-ids-separated-by-space \--region aws-region-where-mount-target-exists \--profile adminuser

A continuación, se muestra un ejemplo con datos de ejemplo.

$ aws efs modify-mount-target-security-groups \--mount-target-id fsmt-5751852e \--security-groups sg-1004395a sg-1114433a \--region us-east-2

Para obtener más información, consulte Tutorial: Crear un sistema de archivos de Amazon EFS y montarloen una instancia Amazon EC2 con la AWS CLI (p. 114).

Crear grupos de seguridadNote

La siguiente sección es específica de Amazon EC2 y explica cómo crear grupos de seguridadpara que pueda utilizar Secure Shell (SSH) para conectarse a las instancias en las que hamontado los sistemas de archivos de Amazon EFS. Si no utiliza SSH para conectarse a susinstancias Amazon EC2, puede omitir esta sección.

Tanto una instancia Amazon EC2 como un destino de montaje tienen grupos de seguridad asociados.Estos grupos de seguridad actúan como un firewall virtual que controla el tráfico entre ellos. Si noproporciona un grupo de seguridad al crear un destino de montaje, Amazon EFS le asocia el grupo deseguridad predeterminado de la VPC.

Independientemente, para habilitar el tráfico entre una instancia EC2 y un destino de montaje (y, por lotanto, el sistema de archivos), debe configurar las siguientes reglas en estos grupos de seguridad:

• Los grupos de seguridad que asocia a un destino de montaje deben permitir el acceso de entrada alprotocolo TCP en el puerto NFS desde todas las instancias EC2 en las que desea montar el sistema dearchivos.

35

Amazon Elastic File System Guía del usuarioCrear grupos de seguridad mediantela Consola de administración de AWS

• Cada instancia EC2 que monta el sistema de archivos debe tener un grupo de seguridad que permite elacceso de salida al destino de montaje en el puerto NFS.

Para obtener más información acerca de los grupos de seguridad, consulte Grupos de seguridad deAmazon EC2 en la Guía del usuario de Amazon EC2 para instancias de Linux.

Crear grupos de seguridad mediante la Consola deadministración de AWSPuede utilizar la Consola de administración de AWS para crear grupos de seguridad en la VPC. Paraconectar su sistema de archivos de Amazon EFS a su instancia Amazon EC2, debe crear dos grupos deseguridad: uno para su instancia Amazon EC2 y otra para su destino de montaje de Amazon EFS.

1. Cree dos grupos de seguridad en su VPC. Para obtener instrucciones, consulte Creación de un grupode seguridad en la Guía del usuario de Amazon VPC.

2. En la consola de la VPC, compruebe las reglas predeterminadas para estos grupos de seguridad.Ambos grupos de seguridad deben tener una única regla de salida que permita la salida de tráfico.

3. Debe autorizar el acceso adicional a los grupos de seguridad, tal como se indica a continuación:

a. Agregue una regla al grupo de seguridad de EC2 para permitir el acceso SSH a la instancia en elpuerto 22 como se muestra a continuación. Esto es útil si planea utilizar un cliente de SSH comoPuTTY para conectarse y administrar su instancia EC2 a través de una interfaz de terminal. Deforma opcional, puede restringir la dirección Source (Origen).

Para obtener instrucciones, consulte Añadir, eliminar y actualizar reglas en la Guía del usuario deAmazon VPC.

b. Añada una regla al grupo de seguridad del destino de montaje para permitir el acceso de entradadesde el grupo de seguridad de EC2, tal y como se muestra a continuación (donde el grupo deseguridad de EC2 se identifica como la fuente).

Note

No es necesario añadir una regla de salida, ya que la regla de salida predeterminada permiteque salga todo el tráfico (de lo contrario, tendría que añadir una regla de salida para abrir laconexión TCP en el puerto NFS, identificando el grupo de seguridad de destino de montajecomo destino).

36

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html


https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups


https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#AddRemoveRules

Amazon Elastic File System Guía del usuarioCrear grupos de seguridad mediante la AWS CLI

4. Compruebe que ambos grupos de seguridad autorizan ahora el acceso entrante y saliente tal y comose describe en esta sección.

Crear grupos de seguridad mediante la AWS CLIPara ver un ejemplo sobre cómo crear grupos de seguridad con la AWS CLI, consulte Paso 1: Crearrecursos de Amazon EC2 (p. 116).

Crear políticas de sistema de archivosPuede crear una política de sistema de archivos mediante la consola de Amazon EFS o mediante la AWSCLI. También puede crear una política de sistema de archivos mediante programación utilizando los SDKde AWS o la API de Amazon EFS directamente. Para obtener más información acerca de las políticasdel sistema de archivos y ver ejemplos, consulte Uso de IAM para controlar el acceso de NFS a AmazonEFS (p. 166).

Crear una política de sistema de archivos (consola)1. Abra la consola de Amazon Elastic File System en https://console.aws.amazon.com/efs/.2. Elija File Systems (Sistemas de archivos).3. En la página File systems (Sistemas de archivos), elija el sistema de archivos para el que desea editar

o crear una política de sistema de archivos. Se muestra la página de detalles de dicho sistema dearchivos.

4. Seleccione File system policy (Política de sistema de archivos) y, a continuación, Edit (Editar).Aparece la página File system policy (Política del sistema de archivos).

5. En Policy options (Opciones de política), puede elegir cualquier combinación de las siguientes políticaspreconfiguradas:

• Impedir el acceso raíz de forma predeterminada• Imponer el acceso de solo lectura de forma predeterminada

37


Amazon Elastic File System Guía del usuarioCrear políticas de sistema de archivos

• Imponer el cifrado en tránsito para todos los clientes

Si elige una política preconfigurada, el objeto JSON de la política se muestra en el panel Policy editor(Editor de políticas).

6. Utilice el editor de políticas para personalizar una política preconfigurada o crear su propia política. Alutilizar el editor, las opciones de políticas preconfiguradas dejan de estar disponibles. Para deshacerlos cambios en las políticas, seleccione Clear (Borrar).

Al borrar el editor, las políticas preconfiguradas vuelven a estar disponibles.7. Tras finalizar la edición o creación de la política, seleccione Save (Guardar). Aparece la página de

detalles del sistema de archivos, en la que se muestra la política en File system policy (Política desistema de archivos).

Crear una política de sistema de archivos (CLI)En el ejemplo siguiente, el comando de la CLI put-file-system-policy crea una política de sistemade archivos que permite a todas las entidades principales de IAM acceso de solo lectura al sistema dearchivos EFS. El comando API equivalente es PutFileSystemPolicy (p. 275).

aws efs put-file-system-policy --file-system-id fs-01234567 --policy '{ "Version": "2012-10-17", "Id": "1", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:ClientMount" ], "Principal": { "AWS": "*" } } ]}'

{ "FileSystemId": "fs-01234567", "Policy": "{ "Version" : "2012-10-17", "Id" : "1", "Statement" : [ { "Sid" : "efs-statement-7c8d8687-1c94-4fdc-98b7-111122223333", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "elasticfilesystem:ClientMount" ], "Resource" : "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-01234567" } ] }}

38

Amazon Elastic File System Guía del usuarioCrear y eliminar puntos de acceso

Crear y eliminar puntos de accesoPuede crear puntos de acceso de Amazon EFS mediante la Consola de administración de AWS o la AWSCLI. También puede crear puntos de acceso mediante programación utilizando los SDK de AWS o la APIde Amazon EFS directamente. Para obtener más información acerca de los puntos de acceso de EFS,consulte Trabajar con puntos de acceso Amazon EFS (p. 178).

En los procedimientos siguientes, se describe cómo crear un punto de acceso mediante la consola y laAWS CLI.

Note


Crear un punto de acceso (consola)1. Abra la consola de Amazon Elastic File System en https://console.aws.amazon.com/efs/.2. Seleccione Access points (Puntos de acceso) para abrir la ventana Access points (Puntos de acceso).3. Seleccione Create access point (Crear punto de acceso) para mostrar la página Create access point

(Crear punto de acceso).

También puede abrir la página Create access point (Crear punto de acceso) seleccionando FileSystems (Sistemas de archivos). Elija el nombre o ID de un sistema de archivos y, a continuación,seleccione Access points (Puntos de acceso) y Create access point (Crear punto de acceso) paracrear un punto de acceso para dicho sistema de archivos.

39


Amazon Elastic File System Guía del usuarioCrear y eliminar puntos de acceso

a. Escriba la siguiente información en la página Details (Detalles):

• File system (Sistema de archivos): escriba el nombre o ID de un sistema de archivos y elija elsistema de archivos que coincida o simplemente elija uno en la lista que aparece al seleccionarel campo de entrada.

40

Amazon Elastic File System Guía del usuarioEliminar un punto de acceso

• (Opcional) Name (Nombre): escriba un nombre para el punto de acceso.• (Opcional) Root directory path (Ruta de directorio raíz): puede especificar un directorio raíz para

el punto de acceso; la raíz predeterminada del punto de acceso es /. Para escribir una ruta dedirectorio raíz, utilice el formato /foo/bar. Para obtener más información, consulte Aplicaciónde un directorio raíz con un punto de acceso (p. 180).

b. (Opcional) En el panel POSIX user (Usuario POSIX), puede especificar la identidad POSIXcompleta que se utilizará para aplicar la información de usuario y grupo en todas las operacionesde archivos de los clientes NFS que utilizan el punto de acceso. Para obtener más información,consulte Aplicación de una identidad de usuario mediante un punto de acceso (p. 179).

• User ID (ID de usuario): escriba un identificador numérico de usuario POSIX para el usuario.• Group ID (ID de grupo): escriba un identificador numérico de grupo POSIX para el usuario.• Secondary group IDs (ID de grupo secundario): escriba una lista separada con comas de los ID

de grupo secundario opcionales.c. (Opcional) En Root directory creation permissions (Permisos de creación de directorio raíz),

puede especificar los permisos que se utilizarán cuando Amazon EFS cree la ruta de directorioraíz, si se especifica y aún no existe. Para obtener más información, consulte Aplicación de undirectorio raíz con un punto de acceso (p. 180).

• Owner user ID (ID de usuario del propietario): escriba el identificador numérico de usuarioPOSIX que se va a utilizar como propietario del directorio raíz.

• Owner group ID (ID de grupo del propietario): escriba el identificador numérico del grupo POSIXque se va a utilizar como grupo propietario del directorio raíz.

• Permissions (Permisos): escriba el modo Unix del directorio. Una configuración común es 755.Asegúrese de que el bit de ejecución esté configurado para el usuario del punto de acceso paraque pueda montar archivos.

4. Seleccione Create access point (Crear punto de acceso) para crear el punto de acceso con estaconfiguración.

Crear un punto de acceso (CLI)El siguiente ejemplo, el comando de CLI create-access-point crea un punto de acceso para elsistema de archivos. El comando API equivalente es CreateAccessPoint (p. 207).

aws efs create-access-point --file-system-id fs-01234567 --client-token 010102020-3{ "ClientToken": "010102020-3", "Tags": [], "AccessPointId": "fsap-092e9f80b3fb5e6f3", "AccessPointArn": "arn:aws:elasticfilesystem:us-east-2:111122223333:access-point/fsap-092e9f80b3fb5e6f3", "FileSystemId": "fs-01234567", "RootDirectory": { "Path": "/" }, "OwnerId": "111122223333", "LifeCycleState": "creating"}

Eliminar un punto de accesoAl eliminar un punto de acceso, los clientes que lo utilicen pierden el acceso al sistema de archivos deAmazon EFS para el que está configurado.

41

Amazon Elastic File System Guía del usuarioEliminar un punto de acceso

Eliminar un punto de acceso (consola)

1. Abra la consola de Amazon Elastic File System en https://console.aws.amazon.com/efs/.2. En el panel de navegación izquierdo, seleccione Access points (Puntos de acceso) para abrir la

página Access points (Puntos de acceso).3. Seleccione el punto de acceso que desea eliminar.4. Elija Eliminar.5. Seleccione Confirm (Confirmar) para confirmar la acción y eliminar el punto de acceso.

Eliminar un punto de acceso (CLI)

En el ejemplo siguiente, el comando delete-access-point de la CLI elimina el punto de accesoespecificado. El comando equivalente de la API es DeleteAccessPoint (p. 231). Si el comando escorrecto, el servicio devuelve una respuesta HTTP 204 con un cuerpo HTTP vacío.

aws efs delete-access-point --access-point-id fsap-092e9f80b3fb5e6f3 --client-token 010102020-3

42



Usar sistemas de archivos enAmazon EFS

Amazon Elastic File System presenta una interfaz de sistema de archivos estándar compatible con lasemántica de acceso al sistema de archivos completa. Con Network File System (NFS) versión 4.1(NFSv4.1), puede montar su sistema de archivos de Amazon EFS en cualquier instancia Amazon ElasticCompute Cloud (Amazon EC2) basada en Linux. Una vez montado el sistema, puede trabajar con losarchivos y directorios como haría con cualquier sistema de archivos local. Para obtener más informaciónsobre el montaje, consulte Montar sistemas de archivos de EFS (p. 68).

Tras crear un sistema de archivos y montarlo en su instancia EC2, para usar el sistema de archivoseficazmente debe saber cómo administrar permisos de nivel NFS para usuarios, grupos y recursosrelacionados. La primera vez que cree su sistema de archivos, solo hay un directorio raíz en /. De formapredeterminada, solo el usuario raíz (UID 0) tiene permisos de lectura-escritura-ejecución. Para que otrosusuarios modifiquen el sistema de archivos, el usuario raíz debe concederles acceso de forma explícita.Utilice puntos de acceso de EFS para aprovisionar directorios que se pueden escribir desde una aplicaciónespecífica. Para obtener más información, consulte Trabajar con usuarios, grupos y permisos en el nivel deNetwork File System (NFS) (p. 175) y Trabajar con puntos de acceso Amazon EFS (p. 178).

Temas relacionadosAmazon EFS: cómo funciona (p. 3)

Introducción (p. 12)

Tutoriales (p. 114)

43

Amazon Elastic File System Guía del usuarioInformación general

Uso de las herramientas amazon-efs-utils

A continuación encontrará una descripción de amazon-efs-utils, una colección de herramientas de códigoabierto de Amazon EFS.

Temas• Información general (p. 44)• Instalación del paquete de amazon-efs-utils en Amazon Linux (p. 45)• Instalación del paquete de amazon-efs-utils en otras distribuciones Linux (p. 45)• Actualización de stunnel (p. 46)• Ayudante de montaje de EFS (p. 49)

Información generalEl paquete amazon-efs-utils es una colección de herramientas de Amazon EFS de código abierto. Nohay costo adicional para usar amazon-efs-utils. Puede descargar estas herramientas desde GitHubaquí: https://github.com/aws/efs-utils. El paquete de amazon-efs-utils está disponible en los repositorios depaquetes de Amazon Linux y puede crear e instalar el paquete en otras distribuciones de Linux.

El paquete de amazon-efs-utils incluye un ayudante de montaje y las herramientas que facilitan el cifradode datos en tránsito para Amazon EFS. Un ayudante de montaje es un programa que se usa para montarun tipo específico de sistema de archivos. Le recomendamos que utilice el ayudante de montaje incluido enamazon-efs-utils para montar los sistemas de archivos de Amazon EFS.

Existen las siguientes dependencias en amazon-efs-utils y se instalan al instalar el paquete de amazon-efs-utils:

• cliente NFS (el paquete nfs-utils)• Retransmisión de red (paquete stunnel, versión 4.56 o posterior)• Python (versión 2.7 o posterior)• OpenSSL 1.0.2 o posterior

Note

De forma predeterminada, cuando se utiliza dicho ayudante de montaje de Amazon EFS con TLS(Transport Layer Security), este aplica la comprobación del nombre de host del certificado. Elayudante de montaje de Amazon EFS utiliza el programa stunnel para la funcionalidad de TLS.Algunas versiones de Linux no incluyen una versión de stunnel que admita estas característicasde TLS de forma predeterminada. Cuando se utiliza una de esas versiones de Linux, montar unsistema de archivos de Amazon EFS mediante TLS da error.Cuando haya instalado el paquete de amazon-efs-utils, para actualizar la versión de stunnel delsistema, consulte Actualización de stunnel (p. 46).Si tiene problemas con el cifrado, consulte Resolución de problemas de cifrado (p. 202).

Las siguientes distribuciones de Linux admiten amazon-efs-utils:

• Amazon Linux 2• Amazon Linux• Red Hat Enterprise Linux (y sus derivados como CentOS) versión 7 y posteriores

44

https://github.com/aws/efs-utils

Amazon Elastic File System Guía del usuarioInstalación del paquete de

amazon-efs-utils en Amazon Linux

• Ubuntu 16.04 LTS y posterior

En las secciones siguientes puede ver cómo instalar amazon-efs-utils en las instancias de Linux.

Instalación del paquete de amazon-efs-utils enAmazon Linux

El paquete de amazon-efs-utils está disponible para instalación en Amazon Linux y las imágenes demáquina de Amazon (AMI) en Amazon Linux 2.

Note

Si utiliza AWS Direct Connect, encontrará las instrucciones de instalación en Tutorial: Crear ymontar un sistema de archivos local con AWS Direct Connect y una VPN (p. 133).

Para instalar el paquete de amazon-efs-utils

1. Asegúrese de que ha creado una instancia EC2 de Amazon Linux o Amazon Linux 2. Para obtenerinformación acerca de cómo hacerlo, consulte Paso 1: Lanzamiento de una instancia en la Guía delusuario de Amazon EC2 para instancias de Linux.

2. Obtenga acceso al terminal de la instancia a través de Secure Shell (SSH) e inicie sesión con elnombre de usuario adecuado. Para obtener más información acerca de cómo hacerlo, consulteConexión a la instancia de Linux mediante SSH en la Guía del usuario de Amazon EC2 parainstancias de Linux.

3. Ejecute el siguiente comando para instalar amazon-efs-utils.

sudo yum install -y amazon-efs-utils

Instalación del paquete de amazon-efs-utils enotras distribuciones Linux

Si no desea obtener el paquete de amazon-efs-utils de las AMI de Amazon Linux o Amazon Linux 2,también está disponible en GitHub.

Después de clonar el paquete, puede crear e instalar amazon-efs-utils utilizando uno de los métodos quese indican a continuación, en función del tipo de paquete compatible con su distribución Linux:

• RPM: este tipo de paquete es compatible con Amazon Linux, Red Hat Linux, CentOS y similares.• DEB: este tipo de paquete es compatible con Ubuntu, Debian y similares.

Para clonar amazon-efs-utils de GitHub

1. Asegúrese de que ha creado una instancia Amazon EC2 del tipo de AMI admitida. Para obtener másinformación acerca de cómo hacerlo, consulte Paso 1: Lanzamiento de una instancia en la Guía delusuario de Amazon EC2 para instancias de Linux..


3. Si aún no lo ha hecho, instale Git con los comandos siguientes.

45

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html#ec2-launch-instance

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html#ec2-launch-instance


Amazon Elastic File System Guía del usuarioActualización de stunnel

sudo yum -y install git

4. Desde el terminal, clone la herramienta amazon-efs-utils de GitHub a un directorio de su elección, conel siguiente comando.

git clone https://github.com/aws/efs-utils

Dado que necesita el comando bash make, puede instalarlo con el siguiente comando si su sistemaoperativo no lo tiene.

sudo yum -y install make

Para compilar e instalar amazon-efs-utils como un paquete RPM

1. Abra un terminal en su cliente y vaya al directorio que tiene el paquete de amazon-efs-utils clonado deGitHub (por ejemplo, "/home/centos/efs-utils").

2. Si aún no lo ha hecho, instale el paquete rpm-builder con el comando siguiente.

sudo yum -y install rpm-build

3. Compile el paquete con el siguiente comando.

sudo make rpm

4. Instale el paquete de amazon-efs-utils con el siguiente comando.

sudo yum -y install ./build/amazon-efs-utils*rpm

Para compilar e instalar amazon-efs-utils como un paquete DEB

1. Abra un terminal en su cliente y vaya al directorio que tiene el paquete amazon-efs-utils clonado deGitHub.

2. Instale el paquete binutils, una dependencia para compilar paquetes DEB.

sudo apt-get -y install binutils


./build-deb.sh

4. Instale el paquete con el siguiente comando.

sudo apt-get -y install ./build/amazon-efs-utils*deb

Actualización de stunnelEl cifrado de datos en tránsito con el ayudante de montaje de Amazon EFS requiere OpenSSL versión1.0.2 o posterior, y una versión de stunnel que admita OCSP y la comprobación del nombre de host del

46

Amazon Elastic File System Guía del usuarioActualización de stunnel

certificado. El ayudante de montaje de Amazon EFS utiliza el programa stunnel para la funcionalidadde TLS. Observe que algunas versiones de Linux no incluyen una versión de stunnel que admita estascaracterísticas de TLS de forma predeterminada. Cuando se utiliza una de esas versiones de Linux,montar un sistema de archivos de Amazon EFS mediante TLS da error.

Después de instalar dicho ayudante de montaje de Amazon EFS, puede actualizar la versión del sistemade stunnel con las siguientes instrucciones.

Para actualizar stunnel

1. En un navegador web, vaya a la página de descargas de stunnel https://stunnel.org/downloads.html.2. Localice la última versión de stunnel disponible en formato tar.gz. Anote el nombre del archivo, ya que

lo necesitará en los pasos siguientes.3. Abra un terminal en el cliente de Linux y ejecute los siguientes comandos en el orden que se

muestran.4.

$ sudo yum install -y gcc openssl-devel tcp_wrappers-devel

5. Sustituya latest-stunnel-version por el nombre del archivo que anotó en el paso 2 anterior.

$ sudo curl -o latest-stunnel-version.tar.gz https://stunnel.org/downloads/latest-stunnel-version.tar.gz

6.$ sudo tar xvfz latest-stunnel-version.tar.gz

7.$ cd latest-stunnel-version/

8.$ sudo ./configure

9.$ sudo make

10. El paquete amazon-efs-utils actual está instalado en bin/stunnel. Por tanto, para que la nuevaversión se pueda instalar, elimine ese directorio con el siguiente comando.

$ sudo rm /bin/stunnel

11.$ sudo make install

12. Note

El shell predeterminado de CentOS es csh, que tiene sintaxis diferente que el shell de bash.En el siguiente código primero se llama a bash y, a continuación, se ejecuta.

bash

if [[ -f /bin/stunnel ]]; thensudo mv /bin/stunnel /rootfi

13.$ sudo ln -s /usr/local/bin/stunnel /bin/stunnel

Una vez instalada una versión de stunnel con las características necesarias, puede montar el sistema dearchivos usando TLS con la configuración recomendada.

47

https://www.stunnel.org/downloads.html

Amazon Elastic File System Guía del usuarioDeshabilitar la comprobación del

nombre de host del certificado

Deshabilitar la comprobación del nombre de host delcertificadoSi no puede instalar las dependencias requeridas, tiene la opción de deshabilitar la comprobacióndel nombre de host del certificado en la configuración del ayudante de montaje de Amazon EFS. Noes recomendable que desactive esta característica en entornos de producción. Para deshabilitar lacomprobación del nombre de host del certificado, haga lo siguiente:

1. Con el editor de textos que prefiera, abra el archivo /etc/amazon/efs/efs-utils.conf.2. Establezca el valor stunnel_check_cert_hostname en falso.3. Guarde los cambios y cierre el archivo.

Para obtener más información sobre el uso de cifrado con datos en tránsito, consulte Montar sistemas dearchivos de EFS (p. 68).

Habilitación del protocolo OCSP (Online CertificateStatus Protocol)Para maximizar la disponibilidad del sistema de archivos en caso de no poder conectarse a la entidad decertificación (CA) desde su VPC, el protocolo OCSP (Online Certificate Status Protocol) no está habilitadode forma predeterminada al elegir el cifrado de los datos en tránsito. Amazon EFS utiliza una entidadde certificación de Amazon para emitir y firmar los certificados TLS. Dicha entidad indica al cliente queutilice OCSP para comprobar los certificados revocados. Debe ser posible el acceso al punto de enlaceOCSP a través de Internet desde su Virtual Private Cloud para comprobar el estado de un certificado. Eneste servicio, EFS monitoriza de forma continua el estado de los certificados y emite otros nuevos parareemplazar los certificados revocados que detecte.

Con el fin de ofrecer la mayor seguridad posible, puede habilitar OCSP para que los clientes de Linuxpuedan comprobar los certificados revocados. OCSP protege contra el uso malicioso de certificadosrevocados, lo que es poco probable que ocurra dentro de su VPC. En el caso de que un certificado TLS deEFS se revoque, Amazon publicará un boletín de seguridad y lanzará una nueva versión del ayudante demontaje de EFS que rechace el certificado revocado.

Para habilitar OCSP en el cliente de Linux para todas las conexiones TLS futuras en EFS

1. Abra un terminal en su cliente de Linux.2. Con el editor de textos que prefiera, abra el archivo /etc/amazon/efs/efs-utils.conf.3. Establezca el valor stunnel_check_cert_validity en true.4. Guarde los cambios y cierre el archivo.

Para habilitar OCSP como parte del comando mount

• Utilice el siguiente comando de montaje para habilitar OCSP al montar el sistema de archivos.

$ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs

48

https://www.amazontrust.com

https://www.amazontrust.com

Amazon Elastic File System Guía del usuarioAyudante de montaje de EFS

Ayudante de montaje de EFSEl ayudante de montaje de Amazon EFS simplifica el montaje de los sistemas de archivos. Incluye lasopciones de montaje de Amazon EFS recomendadas de forma predeterminada. Además, el ayudante demontaje tiene el registro integrado con fines de solución de problemas. Si se produce algún problema conel sistema de archivos de Amazon EFS, puede compartir estos registros con AWS Support.

Cómo funcionaEl ayudante de montaje define un nuevo tipo de sistema de archivos de red, llamado efs, que estotalmente compatible con el comando mount estándar de Linux. El ayudante de montaje también permitemontar un sistema de archivos de Amazon EFS automáticamente en el momento del arranque de lainstancia utilizando entradas en el archivo de configuración /etc/fstab.

Warning

Use la opción _netdev, empleada para identificar los sistemas de archivos de red, cuando montesu sistema de archivos automáticamente. Si falta _netdev, la instancia EC2 puede dejar deresponder. Este resultado se debe a que los sistemas de archivos de red se deben inicializardespués de que la instancia informática inicia sus redes. Para obtener más información, consulteSe produce un error de montaje automático y la instancia no responde (p. 197).

Cuando el cifrado de datos en tránsito se declara como opción de montaje para el sistema de archivos deAmazon EFS, el ayudante de montaje inicializa un proceso de cliente Stunnel y un proceso de supervisorllamado amazon-efs-mount-watchdog. Stunnel es una retransmisión de red multipropósito de códigoabierto. El proceso de stunnel cliente escucha en un puerto local el tráfico entrante y el ayudante demontaje de cliente NFS redirige el tráfico a este puerto local. El ayudante de montaje usa TLS versión 1.2para comunicarse con su sistema de archivos.

El uso de TLS requiere certificados y estos certificados están firmados por una autoridad de certificación deconfianza de Amazon. Para obtener más información acerca de cómo funciona el cifrado, consulte Cifradode datos en EFS (p. 150).

Uso del ayudante de montaje de EFSEl ayudante de montaje le ayuda a instalar los sistemas de archivos de EFS en las instancias EC2 deLinux. Para obtener más información, consulte Montar sistemas de archivos de EFS (p. 68).

Obtención de registros de soporteEl ayudante de montaje tiene registro integrado para el sistema de archivos de Amazon EFS. Puedecompartir estos registros con AWS Support con fines de solución de problemas.

Puede encontrar los registros almacenados en /var/log/amazon/efs para los sistemas que tienen elayudante de montaje instalado. Estos registros son para el ayudante de montaje, el proceso de stunnel ensí y para el proceso amazon-efs-mount-watchdog que monitoriza el proceso stunnel.

Note

El proceso del watchdog garantiza que cada proceso de stunnel del montaje se está ejecutando ydetiene el stunnel cuando el sistema de archivos de Amazon EFS está desmontado. Si por algunarazón un proceso de stunnel termina de forma inesperada, el proceso del watchdog lo reinicia.

Puede cambiar la configuración de los registros en /etc/amazon/efs/efs-utils.conf. Sin embargo,esto requiere desmontar y volver a montar el sistema de archivos con el ayudante de montaje para que loscambios surtan efecto. La capacidad de los registros del ayudante de montaje y del watchdog se limita a20 MiB. Los registros para el proceso de stunnel están deshabilitados de forma predeterminada.

49

Amazon Elastic File System Guía del usuarioUso de amazon-efs-utils con AWS Direct Connect y VPN

Important

Puede habilitar el registro para los registros del proceso de stunnel. Sin embargo, habilitar losregistros de stunnel puede hacer un uso nada despreciable de espacio en el sistema de archivos.

Uso de amazon-efs-utils con AWS Direct Connect yVPNPuede montar sus sistemas de archivos de Amazon EFS en los servidores locales del centro de datossi se conecta a su VPC de Amazon con AWS Direct Connect. Con amazon-efs-utils el montaje con elayudante de montaje es más sencillo y le permite habilitar el cifrado de datos en tránsito. Para saber cómousar amazon-efs-utils con AWS Direct Connect para montar los sistemas de archivos de Amazon EFS enclientes de Linux locales, consulte Tutorial: Crear y montar un sistema de archivos local con AWS DirectConnect y una VPN (p. 133).

Temas relacionadosPara obtener más información acerca del ayudante de montaje de Amazon EFS, consulte estos temasrelacionados:

• Cifrado de datos en EFS (p. 150)• Montar sistemas de archivos de EFS (p. 68)

50

Amazon Elastic File System Guía del usuarioAdministrar la accesibilidad de red

Administrar sistemas de archivos deAmazon EFS

Las tareas de gestión de sistema de archivos hacen referencia a la creación y la eliminación de sistemasde archivos, a la gestión de etiquetas y a la gestión de la accesibilidad de la red de un sistema de archivosexistente. La gestión de accesibilidad de red está relacionada con la creación y gestión de destinos demontaje.

Puede realizar estas tareas de gestión de sistema de archivos mediante la Consola de administración deAWS, la AWS Command Line Interface (AWS CLI) o mediante programación, tal como se indica en lassiguientes secciones.

Temas• Administrar la accesibilidad de red del sistema de archivos (p. 51)• Administrar etiquetas del sistema de archivos (p. 55)• Transferir datos a Amazon EFS (p. 58)• Clases de almacenamiento de EFS (p. 58)• Administración del ciclo de vida de EFS (p. 59)• Medición: cómo registra Amazon EFS el tamaño del sistema de archivos y el tamaño de los

objetos (p. 62)• Administrar costos de los sistemas de archivos de Amazon EFS mediante Presupuestos de

AWS (p. 64)• Administrar el acceso a los sistemas de archivos cifrados (p. 66)

Si es la primera vez que utiliza Amazon EFS, le recomendamos que pruebe los siguientes ejercicios que leproporcionan experiencia integral de primera mano en el uso de un sistema de archivos de Amazon EFS:

• Introducción (p. 12): este ejercicio proporciona una configuración integral basada en la consola dondecrea un sistema de archivos, lo monta en una instancia Amazon EC2 y prueba la configuración. Laconsola se encarga de muchas cosas en su lugar y, de este modo, le ayuda a configurar rápidamente laexperiencia integral.

• Tutorial: Crear un sistema de archivos de Amazon EFS y montarlo en una instancia Amazon EC2 conla AWS CLI (p. 114):– Este tutorial es similar al ejercicio de introducción, pero utiliza la AWS CLI pararealizar la mayoría de las tareas. Dado que los comandos de la CLI se corresponden fielmente a la APIde Amazon EFS, el tutorial puede ayudarle a familiarizarse con la API de Amazon EFS.

Administrar la accesibilidad de red del sistema dearchivos

El sistema de archivos se monta en una instancia EC2 de la nube virtual privada (VPC) utilizando undestino de montaje que cree para el sistema de archivos. La gestión de la accesibilidad de red del sistemade archivos se refiere a la gestión de los destinos de montaje.

51

Amazon Elastic File System Guía del usuarioAdministrar la accesibilidad de red

La siguiente ilustración muestra cómo las instancias EC2 en una VPC acceden a un sistema de archivosde Amazon EFS mediante un destino de montaje.

La ilustración muestra tres instancias EC2 lanzadas en diferentes subredes de VPC que acceden a unsistema de archivos de Amazon EFS. El ejemplo también muestra un destino de montaje en cada una delas zonas de disponibilidad (independientemente del número de subredes en cada zona de disponibilidad).

Puede crear solo un destino de montaje por zona de disponibilidad. Si una zona de disponibilidad tienevarias subredes, tal y como se muestra en una de las zonas de la ilustración, puede crear un destinode montaje en tan solo una de las subredes. Siempre que tenga un destino de montaje en una zona dedisponibilidad, las instancias EC2 lanzadas en cualquiera de sus subredes pueden compartir el mismodestino de montaje.

La gestión de destinos de montaje hace referencia a estas actividades:

• Crear y eliminar destinos de montaje en una VPC: como mínimo, debe crear un destino de montaje encada zona de disponibilidad desde la que desea acceder al sistema de archivos.

Note

Le recomendamos que cree destinos de montaje en todas las zonas de disponibilidad. Si lohace, puede montar fácilmente el sistema de archivos en instancias EC2 que podría lanzar encualquiera de las zonas de disponibilidad.

Si elimina un destino de montaje, la operación rompe de manera forzada los montajes del sistema dearchivos, lo que podría afectar a las instancias o a las aplicaciones que utilizan dichos montajes. Paraevitar la interrupción de la aplicación, detenga las aplicaciones y desmonte el sistema de archivos antesde eliminar el destino de montaje.

Puede utilizar un sistema de archivos solo en una VPC a la vez. Es decir, puede crear destinos demontaje para el sistema de archivos en una VPC a la vez. Si desea acceder al sistema de archivosdesde otra VPC, elimine en primer lugar los destinos de montaje de la VPC actual. A continuación, creenuevos destinos de montaje en otra VPC.

52

Amazon Elastic File System Guía del usuarioCrear o eliminar destinos de montaje en una VPC

• Actualizar la configuración de destino de montaje: al crear un destino de montaje, asocia los gruposde seguridad con el destino de montaje. Un grupo de seguridad funciona como un firewall virtual quecontrola el tráfico hacia y desde el destino de montaje. Puede añadir reglas de entrada para controlarel acceso al destino de montaje y, por lo tanto, al sistema de archivos. Después de crear un destino demontaje, es posible que desee modificar los grupos de seguridad asignados a ellos.

Cada destino de montaje también tiene una dirección IP. Al crear un destino de montaje, puede elegiruna dirección IP desde la subred donde coloca el destino de montaje. Si omite un valor, Amazon EFSselecciona una dirección IP no utilizada desde dicha subred.

No hay ninguna operación de Amazon EFS para cambiar la dirección IP después de crear un destinode montaje. Por lo tanto, no puede cambiar la dirección IP mediante programación ni utilizando la AWSCLI. Sin embargo, la consola le permite cambiar la dirección IP. Entre bambalinas, la consola elimina eldestino de montaje y vuelve a crearlo de nuevo.

Warning

Si cambia la dirección IP de un destino de montaje, se rompen los montajes de sistema dearchivos existentes y tendrá que volver a montar el sistema de archivos.

Ninguno de los cambios de configuración en la accesibilidad de red al sistema de archivos afecta al propiosistema de archivos. El sistema de archivos y los datos se conservan.

En las secciones siguientes se incluye información sobre la gestión de la accesibilidad de red de susistema de archivos.

Temas• Crear o eliminar destinos de montaje en una VPC (p. 53)• Cambiar la VPC para el destino de montaje (p. 54)• Actualizar la configuración de destinos de montaje (p. 54)

Crear o eliminar destinos de montaje en una VPCPara acceder a un sistema de archivos de Amazon EFS en una VPC, necesita destinos de montaje. En elcaso de un sistema de archivos de Amazon EFS, se cumple lo siguiente:

• Puede crear un destino de montaje en cada zona de disponibilidad.• Si la VPC tiene varias subredes en una zona de disponibilidad, puede crear un destino de montaje en

tan solo una de las subredes. Todas las instancias EC2 en la zona de disponibilidad pueden compartir eldestino de montaje.

Note

Le recomendamos crear un destino de montaje en cada una de las zonas de disponibilidad.Existen consideraciones de costos para montar un sistema de archivos en una instancia EC2en una zona de disponibilidad a través de un destino de montaje creado en otra zona dedisponibilidad. Para obtener más información, consulte Amazon EFS. Además, usando siempreun destino de montaje local en la zona de disponibilidad de la instancia, elimina un escenario deerror parcial. Si la zona del destino de montaje deja de funcionar, no tendrá acceso a su sistemade archivos a través de dicho destino de montaje.

Para obtener más información acerca de la operación, consulte CreateMountTarget (p. 220).

Puede eliminar destinos de montaje. La eliminación de un destino de montaje rompe de manera forzadacualquier montaje del sistema de archivos a través de dicho destino de montaje, lo que podría afectar a

53

https://aws.amazon.com/efs/

Amazon Elastic File System Guía del usuarioCambiar la VPC para el destino de montaje

las instancias o a las aplicaciones que utilizan dichos montajes. Para obtener más información, consulteDeleteMountTarget (p. 237).

Note


Con la Consola de administración de AWS, puede administrar destinos de montaje en los sistemas dearchivos. En los destinos de montaje existentes, puede añadir y quitar grupos de seguridad o eliminar eldestino de montaje. También puede crear destinos de montaje. Para obtener más información, consulteCrear destinos de montaje (p. 29).

Para administrar los destinos de montaje del sistema de archivos mediante la AWS CLI, consulteAdministrar destinos de montaje mediante la AWS CLI (p. 33).

Cambiar la VPC para el destino de montajePuede utilizar un sistema de archivos de Amazon EFS en una VPC basada en el servicio Amazon VPC ala vez. Es decir, que puede crear destinos de montaje en una VPC para su sistema de archivos y utilizardichos destinos de montaje para proporcionar acceso al sistema de archivos.

Puede montar el sistema de archivos de Amazon EFS de estos destinos:

• Instancias Amazon EC2 en la misma VPC• Instancias EC2 en una VPC conectada por interconexión con VPC• Servidores locales utilizando AWS Direct Connect• Servidores locales a través de una red privada virtual (VPN) de AWS mediante Amazon VPC

Una interconexión de VPC es una conexión de redes entre dos VPC que permite direccionar el tráfico entreellas. La conexión puede utilizar direcciones Internet Protocol versión 4 (IPv4) o versión 6 (IPv6). Paraobtener más información sobre el funcionamiento de Amazon EFS y la interconexión con VPC, consulteMontar sistemas de archivos de EFS desde otra cuenta o VPC (p. 75).

Para acceder al sistema de archivos desde instancias EC2 en otra VPC, ha de:

• Eliminar los destinos de montaje actuales.• Cambiar de VPC.• Crear nuevos destinos de montaje.

Para obtener más información acerca de cómo realizar estos pasos en la Consola de administración deAWS, consulte Para cambiar la VPC de un sistema de archivos de Amazon EFS (consola) (p. 32).

Uso de la CLIPara utilizar un sistema de archivos en otra VPC, elimine primero todos los destinos de montaje que hayacreado anteriormente en la VPC. A continuación, cree nuevos destinos de montaje en otra VPC. Paraver comandos de la AWS CLI de ejemplo, consulte Administrar destinos de montaje mediante la AWSCLI (p. 33).

Actualizar la configuración de destinos de montajeDespués de crear un destino de montaje para su sistema de archivos, puede que desee actualizar losgrupos de seguridad que están en vigor. No puede cambiar la dirección IP de un destino de montaje

54

Amazon Elastic File System Guía del usuarioAdministración de etiquetas

existente. Para cambiar la dirección IP, elimine el destino de montaje y cree uno nuevo con la nuevadirección. La eliminación de un destino de montaje rompe todos los montajes existentes del sistema dearchivos.

Note


Modificar un grupo de seguridadLos grupos de seguridad definen el acceso de entrada y salida Al cambiar los grupos de seguridadasociados a un destino de montaje, asegúrese de autorizar el acceso de entrada y salida necesario. Estopermite que la instancia EC2 se comunique con el sistema de archivos.

Para obtener más información acerca de los grupos de seguridad, consulte Grupos de seguridad deAmazon EC2 en la Guía del usuario de Amazon EC2 para instancias de Linux.

Para modificar el grupo de seguridad de un destino de montaje mediante la Consola de administración deAWS, consulte Administrar destinos de montaje mediante la consola de Amazon EFS (p. 31).

Para modificar el grupo de seguridad de un destino de montaje mediante la AWS CLI, consulte Administrardestinos de montaje mediante la AWS CLI (p. 33).

Administrar etiquetas del sistema de archivosPuede incluir etiquetas del sistema de archivos al crear su sistema de archivos de Amazon EFS. Tambiénpuede crear nuevas etiquetas, actualizar los valores de etiquetas existentes o eliminar las etiquetasasociadas a un sistema de archivos en cualquier momento una vez creadas esas etiquetas.

Mediante la consolaLa consola muestra las etiquetas existentes asociadas a un sistema de archivos. Puede añadir nuevasetiquetas, cambiar los valores de etiquetas existentes o eliminar etiquetas existentes.

Para añadir etiquetas, cambiar los valores de las etiquetas o eliminar etiquetas (consola)

1. Abra la consola de Amazon Elastic File System en https://console.aws.amazon.com/efs/.2. Seleccione File systems (Sistemas de archivos).3. Elija el sistema de archivos para el que desea administrar las etiquetas.4. En la página File system details (Detalles del sistema de archivos), seleccione Tags (Etiquetas).5. Para editar las etiquetas existentes o crear nuevas etiquetas, seleccione Manage tags (Administrar

etiquetas).6. En el cuadro de diálogo Manage tags (Administrar etiquetas), puede hacer lo siguiente:

• Editar el valor de una etiqueta: seleccione el valor de la etiqueta, edítelo y, a continuación,seleccione Save (Guardar).

• Añadir una nueva etiqueta: seleccione Add tag (Añadir etiqueta), escriba el par clave-valor yseleccione Save (Guardar).

• Eliminar una etiqueta existente: seleccione la opción Remove tag (Eliminar etiqueta) situada junto ala etiqueta que desee eliminar. A continuación, seleccione Save (Guardar) o Undo (Deshacer) pararevertir la eliminación.

55




Amazon Elastic File System Guía del usuarioUso de la CLI

Uso de la CLILos comandos de la AWS CLI para administrar etiquetas y las acciones equivalentes de la API de AmazonEFS se indican en la siguiente tabla.

Command de la CLI Descripción Operación de la API equivalente

tag-resource Añadir nuevas etiquetas oactualizar etiquetas existentes

TagResource (p. 283)

list-tags-for-resource Recuperar etiquetas existentes ListTagsForResource (p. 268)

untag-resource Eliminar etiquetas existentes UntagResource (p. 285)

Para crear etiquetas del sistema de archivos (AWS CLI)

• Cree etiquetas usando el comando de la CLI de Amazon EFStag-resource (la operación de laAPI correspondiente es TagResource (p. 283)). El siguiente comando de ejemplo crea una nuevaetiqueta Department con un valor de Business Intelligence en el sistema de archivos.

$ aws efs tag-resource \--resource-id File-System-Id \--tags Key=Department,Value="Business Intelligence" \--region aws-region \

Si el comando se ejecuta correctamente, la AWS CLI no proporciona una respuesta.

Para crear una etiqueta de punto de acceso

• Puede crear una etiqueta de punto de acceso de EFS mediante el comando de la CLI tag-resource.

$ aws efs tag-resource \--resource-id Access-Point-Id \--tags Key=AccessTeam,Value="Data_Lake" \--region aws-region \

56

https://docs.aws.amazon.com/cli/latest/reference/efs/tag-resource.html

https://docs.aws.amazon.com/cli/latest/reference/efs/list-tags-for-resource.html

https://docs.aws.amazon.com/cli/latest/reference/efs/untag-resource.html




Amazon Elastic File System Guía del usuarioUso de la CLI

Para recuperar las etiquetas asociadas a un sistema de archivos.

• Recupere una lista de las etiquetas asociadas a un sistema de archivos mediante elcomando de la CLI list-tags-for-resource(la operación de la API correspondiente esListTagsForResource (p. 268)), tal y como se muestra a continuación.

$ aws efs list-tags-for-resource \--resource-id File-System-Id \--region aws-region \

Amazon EFS devuelve estas descripciones como JSON. El siguiente es un ejemplo de etiquetasdevueltas por la operación DescribeTags. Muestra un sistema de archivos que tiene tres etiquetas.

{ "Tags": [ { "Key": "Name", "Value": "Test File System" }, { "Key": "developer", "Value": "rhoward" }, { "Key": "Department", "Value": "Business Intelligence" } ]}

Para eliminar una o varias etiquetas asociadas a un recurso de EFS

• Elimine las etiquetas de un sistema de archivos utilizando el comando de la CLI untag-resource (laoperación de la API correspondiente es UntagResource (p. 285)). El comando siguiente elimina lasclaves de etiquetas test1 y test2 de la lista de etiquetas del sistema de archivos especificado. Laclave de cada etiqueta que desea eliminar se especifica en la solicitud.

$ aws efs untag-resource\--resource-id fs-c5a1446c \--tag-keys "test1" "test2" \--region us-west-2 \

Si el comando se ejecuta correctamente, la AWS CLI no proporciona una respuesta.

Para eliminar o desetiquetar un punto de acceso de EFS

• Elimine la etiqueta de un punto de acceso de EFS mediante el comando de la CLI untag-resource(la operación API correspondiente es UntagResource (p. 285)), según se indica a continuación.

$ aws efs untag-resource \--resource-id Access-Point-Id \--tags Key=AccessTeam,Value="Data_Lake" \--region us-west-2 \

57

https://docs.aws.amazon.com/cli/latest/reference/efs/list-tags-for-resource.html



Amazon Elastic File System Guía del usuarioTransferir datos a Amazon EFS

Transferir datos a Amazon EFSLe recomendamos que utilice AWS DataSync para transferir datos a Amazon EFS. DataSync es unservicio de transferencia de datos que simplifica, automatiza y acelera la transferencia y la replicaciónde los datos entre los sistemas de almacenamiento locales y los servicios de almacenamiento de AWSa través de Internet o AWS Direct Connect. DataSync puede transferir datos y metadatos del sistema dearchivos como, por ejemplo, la propiedad, las marcas temporales y los permisos de acceso.

También puede utilizar DataSync para transferir archivos entre dos sistemas de archivos de EFS, incluidoslos sistemas de archivos de diferentes regiones de AWS y sistemas de archivos que sean propiedad dediferentes cuentas de AWS. Si utiliza DataSync para copiar datos entre sistemas de archivos de EFS,puede realizar la migración de datos de una sola vez, incorporar datos periódicos de cargas de trabajodistribuidas y automatizar la replicación para la protección de datos y la recuperación.

Para simplificar la transferencia de archivos entre dos sistemas de archivos de EFS mediante DataSync,puede utilizar el inicio rápido y el programador en la nube de AWS DataSync.

Para obtener más información, consulte Introducción a Amazon Elastic File System (p. 12) y la Guía delusuario de AWS DataSync.

Clases de almacenamiento de EFSLos sistemas de archivos de Amazon EFS tienen dos clases de almacenamiento disponibles:

• Acceso poco frecuente: la clase de almacenamiento Acceso poco frecuente (IA) es una clase dealmacenamiento económica diseñada para almacenar de forma eficaz archivos de larga duración a losque se obtiene acceso con poca frecuencia.

• Estándar: la clase de almacenamiento Estándar se utiliza para almacenar archivos a los que se obtieneacceso frecuentemente.

La clase de almacenamiento IA de EFS reduce los costos de almacenamiento de los archivos a los queno se tiene acceso todos los días. Todo ello, sin que la alta disponibilidad, alta durabilidad, elasticidady acceso al sistema de archivos POSIX que proporciona EFS se vean afectados. El almacenamiento IAde EFS es el recomendado si necesita que todo su conjunto de datos esté fácilmente accesible y deseaahorrar automáticamente costos de almacenamiento para los archivos a los que se obtiene acceso conmenos frecuencia. Entre algunos ejemplos se incluye mantener los archivos accesibles para satisfacer losrequisitos de auditoría, realizar análisis históricos o realizar copias de seguridad y recuperación.

El almacenamiento IA de EFS es compatible con todas las características de EFS y está disponible entodas las regiones de AWS en las que Amazon EFS está disponible.

La facturación de IA de EFS se basa en la cantidad de datos almacenados en IA y en el acceso a datospara leer archivos almacenados en IA. Se le cobrarán cargos de acceso cuando se lean los archivosen el sistema de almacenamiento IA y cuando cambie del almacenamiento IA al almacenamientoEstándar. Para ver la cantidad de datos que tiene en cada clase de almacenamiento, consulte Precios yfacturación (p. 60). Para obtener información detallada sobre precios, consulte Precios de Amazon EFS.

La latencia del primer byte al leer o escribir en la clase de almacenamiento IA es mayor que en la clasede almacenamiento Estándar. Para los sistemas de archivos con Rendimiento por ráfagas, la velocidadpermitida se determina en función de la cantidad de datos almacenados únicamente en la clase dealmacenamiento Estándar. Para los sistemas de archivos con el modo de rendimiento aprovisionado, se lecobrará por el rendimiento aprovisionado por encima del proporcionado en función de la cantidad de datosen la clase de almacenamiento Estándar. Para obtener más información acerca del rendimiento de EFS,consulte Modos de desempeño (p. 103).

58


https://docs.aws.amazon.com/datasync/latest/userguide/

https://docs.aws.amazon.com/datasync/latest/userguide/


Amazon Elastic File System Guía del usuarioUsar clases de almacenamiento

Usar clases de almacenamientoPara utilizar la clase de almacenamiento IA, habilite la característica de administración del ciclo de vida.Cuando está habilitada, la administración del ciclo de vida automatiza el movimiento de archivos delalmacenamiento Estándar al almacenamiento IA. Para obtener más información, consulte Administracióndel ciclo de vida de EFS (p. 59).

Administración del ciclo de vida de EFSLa administración del ciclo de vida de Amazon EFS administra automáticamente el almacenamientoeconómico de los archivos para sus sistemas de archivos. Cuando está habilitada, la administracióndel ciclo de vida migra los archivos a los que no se ha obtenido acceso durante un periodo de tiempodeterminado a la clase de almacenamiento Acceso poco frecuente (IA). Para definir dicho periodo detiempo, utilice una política de ciclo de vida.

Una vez que la administración del ciclo de vida mueve un archivo a la clase de almacenamiento IA, estepermanece en dicha clase de forma indefinida. La administración del ciclo de vida de Amazon EFS utilizaun temporizador interno para controlar cuándo se obtuvo acceso por última vez a un archivo. No utilizalos atributos del sistema de archivos POSIX que están visibles públicamente. Cada vez que se lee o seescribe en un archivo del almacenamiento Estándar, se restablece el temporizador de administración delciclo de vida.

Las operaciones de metadatos, como enumerar el contenido de un directorio, no cuentan como accesoa archivos. Durante el proceso de mover el contenido de un archivo al almacenamiento IA, el archivo sealmacena en la clase de almacenamiento Estándar y se cobra a la tarifa de almacenamiento Estándar.

La administración del ciclo de vida se aplica a todos los archivos del sistema de archivos.

Usar una política de ciclo de vidaEstablezca una política de ciclo de vida para definir cuándo debe EFS mover archivos a la clase dealmacenamiento IA. Un sistema de archivos tiene una política de ciclo de vida que se aplica a todo elsistema de archivos. Si no se obtiene acceso a un archivo durante el periodo de tiempo que define lapolítica de ciclo de vida elegida, Amazon EFS mueve el archivo a la clase de almacenamiento IA. Puedeespecificar uno de las cuatro políticas de ciclo de vida siguientes para su sistema de archivos de AmazonEFS:

• AFTER_7_DAYS

• AFTER_14_DAYS

• AFTER_30_DAYS

• AFTER_60_DAYS

• AFTER_90_DAYS

Para obtener más información acerca de cómo habilitar la administración del ciclo de vida en el sistema dearchivos de Amazon EFS y cómo configurar una política de ciclo de vida, consulte Usar la administracióndel ciclo de vida (p. 61).

Operaciones del sistema de archivos para laadministración del ciclo de vidaLas operaciones del sistema de archivos de administración del ciclo de vida que consisten en moverarchivos al tipo de almacenamiento IA tienen una prioridad menor que las de las cargas de trabajo del

59

Amazon Elastic File System Guía del usuarioPrecios y facturación

sistema de archivos de EFS. El tiempo necesario para mover archivos a la clase de almacenamiento IAvaría en función del tamaño del archivo y de la carga de trabajo del sistema de archivos.

Los metadatos de archivos, incluidos los nombres de archivo, la información de propiedad y la estructurade directorios del sistema de archivos, se almacenan siempre en almacenamiento estándar paragarantizar un rendimiento coherente de los metadatos. Todas las operaciones de escritura en archivosdel almacenamiento IA se realizan primero en el almacenamiento Estándar y luego se mueven alalmacenamiento IA. Los archivos con un tamaño inferior a 128 KB no son aptos para la administración deciclo de vida y siempre se almacenan en la clase estándar.

Precios y facturaciónSe le facturará por la cantidad de datos en cada clase de almacenamiento. También se le cobrará elacceso a los datos cuando se lean los archivos en el sistema de almacenamiento IA y al pasar archivosa almacenamiento IA desde el almacenamiento Estándar. La factura de AWS muestra la capacidad decada clase de almacenamiento y el acceso medido a la clase de almacenamiento IA. Para obtener másinformación, consulte Precios de Amazon EFS.

Note

No se le aplicará ningún cargo por el acceso a los datos cuando utilice AWS Backup para realizarcopias de seguridad de los sistemas de archivos de EFS habilitados para la administración delciclo de vida. Para obtener más información acerca de AWS Backup y la administración del ciclode vida de EFS, consulte Clases de almacenamiento de EFS (p. 112).

Puede ver la cantidad de datos que se almacenan en cada clase de almacenamiento de su sistemade archivos mediante la AWS CLI o la API de EFS. Consulte los detalles de almacenamiento de datosllamando al comando describe-file-systems de la CLI.

$ aws efs describe-file-systems \--region us-west-2 \--profile adminuser

En la respuesta, ValueInIA muestra el último tamaño medido en el almacenamiento IAValueInStandard muestra el último tamaño medido en el almacenamiento Estándar. Juntos equivalen altamaño total del sistema de archivos, que se muestra en Value.

{ "FileSystems":[ { "OwnerId":"251839141158", "CreationToken":"MyFileSystem1", "FileSystemId":"fs-47a2c22e", "PerformanceMode" : "generalPurpose", "CreationTime": 1403301078, "LifeCycleState":"created", "NumberOfMountTargets":1, "SizeInBytes":{ "Value": 29313417216, "ValueInIA": 675432, "ValueInStandard": 29312741784 }, "ThroughputMode": "bursting" } ]}

60


Amazon Elastic File System Guía del usuarioUsar la administración del ciclo de vida

Para conocer otras formas de ver y medir el uso de los discos, consulte Medir los objetos del sistema dearchivos de Amazon EFS (p. 63).

Usar la administración del ciclo de vidaLa administración del ciclo de vida se habilita automáticamente durante 30 días desde el último accesoa la política al crear un sistema de archivos de Amazon EFS mediante la configuración recomendadadel servicio. Para obtener más información, consulte Paso 1: Crear su sistema de archivos de AmazonEFS (p. 13).

Si crea un nuevo sistema de archivos con una configuración personalizada, puede habilitar laadministración del ciclo de vida en el paso 1 del asistente de configuración. Para obtener más información,consulte Paso 1: definir la configuración del sistema de archivos (p. 22).

Puede iniciar, detener y modificar la administración del ciclo de vida con la Consola de administración deAWS y la AWS CLI, tal y como se describe a continuación.

Iniciar, detener o modificar la administración del ciclo de vida en un sistema dearchivos existente

Puede utilizar la Consola de administración de AWS para iniciar, detener o modificar la administración delciclo de vida de un sistema de archivos existente.

Para habilitar la administración del ciclo de vida en un sistema de archivos existente (consola)


2. Seleccione File systems (Sistemas de archivos) para mostrar la lista de los sistemas de archivos de sucuenta.

Elija el sistema de archivos en el que desee habilitar o modificar la administración del ciclo de vida.3. En la página de detalles del sistema de archivos, en el panel General, seleccione Edit (Editar).

Aparece la página de configuración Edit (Editar) >> General.

4. En Lifecycle management (Administración del ciclo de vida), puede hacer lo siguiente:

• Iniciar la administración del ciclo de vida: elija una de las configuraciones de la lista, de 7 a 90 díasdesde el último acceso.

• Detener la administración del ciclo de vida: seleccione None (Ninguno).• Modificar la administración del ciclo de vida: elija una configuración diferente de la lista.

5. Seleccione Save changes (Guardar cambios) para implementar la modificación de la administracióndel ciclo de vida.

61



Amazon Elastic File System Guía del usuarioMedición de sistema de archivos y tamaños de objetos

Iniciar, detener o modificar la administración del ciclo de vida en un sistema dearchivos existente (CLI)

Puede utilizar la AWS CLI para iniciar, detener o modificar la administración del ciclo de vida de un sistemade archivos existente.

Para iniciar la administración del ciclo de vida en un sistema de archivos existente (CLI)

• Ejecute el comando put-lifecycle-configuration y especifique el ID del sistema de archivospara el que se habilita la administración del ciclo de vida.

$ aws efs put-lifecycle-configuration \--file-system-id File-System-ID \--lifecycle-policies TransitionToIA=AFTER_60_DAYS \--region us-west-2 \--profile adminuser

Obtendrá la siguiente respuesta.

{ "LifecyclePolicies": [ { "TransitionToIA": "AFTER_60_DAYS" } ]}

Para detener la administración del ciclo de vida para un sistema de archivos existente (CLI)

• Ejecute el comando put-lifecycle-configuration y especifique el ID del sistema de archivospara el que se va a detener la administración del ciclo de vida. Deje la propiedad --lifecycle-policies vacía.

$ aws efs put-lifecycle-configuration \--file-system-id File-System-ID \--lifecycle-policies \--region us-west-2 \--profile adminuser


{ "LifecyclePolicies": []}

Medición: cómo registra Amazon EFS el tamaño delsistema de archivos y el tamaño de los objetos

En esta sección se explica cómo Amazon EFS registra los tamaños del sistema de archivos y los tamañosde objetos dentro de un sistema de archivos.

62

Amazon Elastic File System Guía del usuarioMedir los objetos del sistema de archivos de Amazon EFS

Medir los objetos del sistema de archivos de AmazonEFSLos objetos que puede ver en un sistema de Amazon EFS pueden ser archivos normales, directorios,enlaces simbólicos y archivos especiales (FIFO y sockets). Cada uno de estos objetos se mide para 2 KiB(KiB) de metadatos (por su inode), y uno o más incrementos de 4 KiB de datos. En la siguiente lista seexplica el tamaño de datos medido para distintos tipos de objetos del sistema de archivos.

• Archivos normales: el tamaño de datos medido de un archivo normal es el tamaño lógico del archivoredondeado al incremento de 4 KiB más próximo, salvo que pueda resultar menor para archivosdispersos.

Un archivo disperso es un archivo en que los datos no se escriben en todas las posiciones del archivoantes de alcanzar su tamaño lógico. Para un archivo disperso, en algunos casos el almacenamiento realutilizado es inferior al tamaño lógico redondeado al incremento de 4 KiB más cercano. En estos casos,Amazon EFS notifica el almacenamiento real utilizado como tamaño de datos medido.

• Directorios: el tamaño de datos medidos de un directorio es el almacenamiento real utilizado para lasentradas de directorio y la estructura de datos que este contiene, redondeado al intervalo de 4 KiB máspróximo. El tamaño de datos medido no incluye el almacenamiento real utilizado por los datos de losarchivos.

• Enlaces simbólicos y archivos especiales: el tamaño de datos medido para estos objetos es siempre 4KiB.

Cuando Amazon EFS registra el espacio utilizado de un objeto, a través del atributo space_used deNFSv4.1, incluye el tamaño de datos medido actual del objeto, pero no el tamaño de los metadatos.Hay dos utilidades disponibles para medir el uso de disco de un archivo: las utilidades du y stat. Acontinuación, se muestra un ejemplo de cómo utilizar la utilidad du en un archivo vacío con la opción -kpara devolver la salida en kilobytes:

$ du -k file4 file

A continuación, se muestra un ejemplo de cómo utilizar la utilidad stat en un archivo vacío para devolverel uso del disco del archivo.

$ /usr/bin/stat --format="%b*%B" file | bc4096

Para medir el tamaño de un directorio, utilice la utilidad stat. Busque el valor Blocks y, a continuación,multiplique dicho valor por el tamaño del bloque. A continuación, se muestra un ejemplo de cómo utilizar lautilidad stat en un directorio vacío:

$ /usr/bin/stat --format="%b*%B" . | bc 4096

Medir un sistema de archivos de Amazon EFSEl tamaño medido de un sistema de archivos de Amazon EFS incluye la suma de los tamaños de todos losobjetos en las clases de almacenamiento estándar e IA. El tamaño de cada objeto se calcula a partir de unmuestreo indicativo que representa el tamaño del objeto durante la hora medida. Un ejemplo es la hora delas 8:00 a las 9:00 de la mañana.

63

Amazon Elastic File System Guía del usuarioAdministrar costos de los sistemas dearchivos con Presupuestos de AWS

Por ejemplo, un archivo vacío contribuye en 6 KiB (2 KiB de metadatos +4 KiB de datos) al tamaño medidode su sistema de archivos. Tras la creación, un sistema de archivos dispone de un único directorio raízvacío y, por tanto, tiene un tamaño medido de 6 KiB.

Los tamaños medidos de un sistema de archivos particular definen el uso que se facturará en la cuenta delpropietario de este sistema de archivos por esa hora.

Note

El tamaño medido calculado no representa una instantánea coherente del sistema de archivosen un momento particular durante esa hora. En lugar de ello, representa los tamaños de losobjetos que había en el sistema de archivos en distintos momentos de cada hora o de la horaanterior posiblemente. Estos tamaños se suman para determinar el tamaño medido del sistemade archivos de la hora. El tamaño medido de un sistema de archivos es finalmente coherentecon los tamaños medidos de los objetos almacenados cuando no hay escrituras en el sistema dearchivos.

Puede ver este tamaño medido para un sistema de archivos de Amazon EFS de las siguientes formas:

• Llame a DescribeFileSystems operación (p. 251) con uno de los SDK, HTTP o la AWS CLI.• Consulte la tabla File Systems (Sistemas de archivos) de cada sistema de archivos mostrado en la

Consola de administración de AWS.• Ejecute el comando df en Linux en el símbolo del terminal de una instancia EC2.

Use el comando df y no el comando du. No utilice el comando du en la raíz del sistema de archivos confines de medición de almacenamiento. Los resultados no proporcionan datos completos.

Note

El tamaño medido de la clase de almacenamiento Estándar se utiliza también para determinarel rendimiento de E/S de referencia y las velocidades de ráfaga. Para obtener más información,consulte Escalado de desempeño con el modo por ráfagas (p. 103).

Medir el acceso poco frecuenteEl almacenamiento de acceso poco frecuente (IA) se mide en incrementos de 4 KiB. Los metadatos delos archivos de IA (2 KiB por archivo) se almacenan y se miden siempre en la clase de almacenamientoEstándar. El acceso a los datos del almacenamiento IA se mide en incrementos de 1 MiB.

Administrar costos de los sistemas de archivos deAmazon EFS mediante Presupuestos de AWS

Puede planificar y administrar los costos de los sistemas de archivos de Amazon EFS mediantePresupuestos de AWS.

Puedes trabajar con Presupuestos de AWS desde la consola de AWS Billing and Cost Management.Para utilizar Presupuestos de AWS, se crea un presupuesto de costos mensual para los sistemas dearchivos de EFS. Puede configurar el presupuesto de tal forma que le avise si se prevé que los costos vana superar el importe presupuestado y, a continuación, realizar ajustes para mantener el presupuesto segúnsea necesario.

El uso de Presupuestos de AWS conlleva costos asociados. Para las cuentas de AWS normales, los dosprimeros presupuestos son gratuitos. Para obtener más información acerca de Presupuestos de AWS,

64

Amazon Elastic File System Guía del usuarioRequisitos previos

incluidos sus costos, Gestión de costos con presupuestos en la Guía del usuario de AWS Billing and CostManagement.

Puede usar los parámetros de presupuestos con el fin de crear presupuestos personalizados para loscostos y el uso de Amazon EFS en el nivel de cuenta, región de AWS, servicio o etiqueta. En la secciónsiguiente, encontrará una descripción general de cómo configurar un presupuesto de costos en un sistemade archivos de EFS con Presupuestos de AWS. Para ello, utilice las etiquetas de asignación de costos.

Requisitos previosPara realizar los procedimientos que se mencionan en las secciones siguientes, asegúrese de que disponede lo siguiente:

• Un sistema de archivos de EFS• Una política de AWS Identity and Access Management (IAM) con los permisos siguientes:

• Tener acceso a la consola de Billing and Cost Management.• Capacidad para realizar las acciones elasticfilesystem:DescribeTags yelasticfilesystem:CreateTags.

Crear un presupuesto de costos mensual para unsistema de archivos de EFSPara crear un presupuesto de costos mensual para su sistema de archivos de Amazon EFS medianteetiquetas se requieren tres pasos.

Para crear un presupuesto de costos mensual para el sistema de archivos de EFS medianteetiquetas

1. Cree una etiqueta que se utilizará para identificar el sistema de archivos cuyo seguimiento decostos desea realizar. Para saber cómo hacerlo, consulte Administrar etiquetas del sistema dearchivos (p. 55).

2. En la consola de Billing and Cost Management, active la etiqueta como etiqueta de asignación decostos. Para obtener un procedimiento detallado, consulte Activación de etiquetas de asignación decostos definidas por el usuario en la Guía del usuario de AWS Billing and Cost Management.

3. En la consola de Billing and Cost Management, en Budgets (Presupuestos), cree un presupuesto decostos mensual en Presupuestos de AWS. Para obtener un procedimiento detallado, consulte Crearun presupuesto de costos en la Guía del usuario de AWS Billing and Cost Management.

Después de crear el presupuesto de costos mensual de EFS, puede verlo en el panel Budgets(Presupuestos) que muestra los siguientes datos presupuestarios:

• Los costos actuales y el uso realizado para un presupuesto durante el periodo presupuestario.• Costos presupuestados para el periodo presupuestario.• Costos previstos para el periodo presupuestario.• Un porcentaje que muestra los costos comparados con la cantidad presupuestada.• Un porcentaje que muestra los costos previstos comparados con la cantidad presupuestada

Para obtener más información acerca de la visualización del presupuesto de costos de EFS, consulteVisualización de presupuestos en la Guía del usuario de AWS Billing and Cost Management.

65

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-managing-costs.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/activating-tags.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/activating-tags.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-create.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-create.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-view.html

Amazon Elastic File System Guía del usuarioAdministrar el acceso a los sistemas de archivos cifrados

Administrar el acceso a los sistemas de archivoscifrados

Con Amazon EFS puede crear sistemas de archivos cifrados. Amazon EFS admite dos formas de cifradopara sistemas de archivos: el cifrado en movimiento y en reposo. Cualquier administración de claves quedeba realizar solo está relacionada con el cifrado en reposo. Amazon EFS administra automáticamente lasclaves para el cifrado en tránsito.

Si crea un sistema de archivos que utiliza el cifrado en reposo, los datos y los metadatos se cifran enreposo. Amazon EFS utiliza AWS Key Management Service (AWS KMS) para la administración de claves.Al crear un sistema de archivos mediante el cifrado en reposo, debe especificar una clave maestra decliente (CMK). La CMK puede ser aws/elasticfilesystem (la CMK administrada por AWS paraAmazon EFS) o una CMK que administre usted.

Los datos de archivos (es decir, el contenido de sus archivos) se cifra en reposo con la CMK queespecificó al crear el sistema de archivos. Los metadatos (nombres de archivo, nombres de directorio ycontenido del directorio) se cifran con una clave que administra Amazon EFS.

La CMK administrada por AWS para su sistema de archivos se utiliza como la clave maestra para losmetadatos de su sistema de archivos, por ejemplo, nombres de archivo, nombres de directorio y contenidode los directorios. Usted es el propietario de la CMK que se utiliza para cifrar datos de archivos (elcontenido de los archivos) en reposo.

Puede administrar quién tiene acceso a las CMK y al contenido de los sistemas de archivos cifrados. Esteacceso se controla mediante políticas de AWS Identity and Access Management (IAM) y AWS KMS. Laspolíticas de IAM controlan el acceso de un usuario a las acciones de la API de Amazon EFS. Las políticascalve de AWS KMS controlan el acceso de un usuario a la CMK que especificó al crear el sistema dearchivos. Para obtener más información, consulte los siguientes temas:

• Usuarios de IAM en la Guía del usuario de IAM• Uso de las políticas de claves en AWS KMS en la AWS Key Management Service Developer Guide• Uso de concesiones en la AWS Key Management Service Developer Guide.

Como administrador de claves, puede importar las claves externas. También puede habilitar, deshabilitaro eliminar las claves, modificándolas de este modo. El estado de la CMK que especificó (cuando creó elsistema de archivos con cifrado en reposo) afecta al acceso a su contenido. La CMK debe encontrarse enel estado enabled para que los usuarios tengan acceso al contenido de un sistema de archivos cifradosen reposo.

Acciones administrativas en las claves maestras decliente de Amazon EFSA continuación se explica cómo activar, desactivar o eliminar las CMK asociada a un sistema de archivosde Amazon EFS. También puede saber qué comportamiento se espera de un sistema de archivos alrealizar estas acciones.

Desactivar, eliminar o revocar el acceso a la CMK para unsistema de archivosPuede deshabilitar o eliminar sus CMK administradas por el cliente, o también puede revocar el acceso deAmazon EFS a sus CMK. Las acciones de deshabilitar y revocar el acceso de Amazon EFS a las clavesson reversibles. Tenga mucha precaución cuando elimine las CMK. La eliminación de una CMK es unaacción irreversible.

66

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html

https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html

https://docs.aws.amazon.com/kms/latest/developerguide/grants.html


Si deshabilita o elimina la CMK utilizada para su sistema de archivos montado, se cumple lo siguiente:

• Esa CMK no se puede utilizar como la clave maestra para nuevos sistemas de archivos cifrados enreposo.

• Los sistemas existentes de archivos cifrados en reposo que utiliza esa CMK dejan de funcionar despuésde un periodo de tiempo.

Si revoca el acceso de Amazon EFS a una concesión para un sistema de archivos montado, elcomportamiento es el mismo que si deshabilitara o eliminara la CMK asociada. En otras palabras, elsistema de archivos cifrados en reposo sigue funcionando, pero deja de hacerlo pasado un periodo detiempo.

Puede evitar el acceso a un sistema montado de archivos cifrados en reposo que tiene una CMK cuyoacceso de Amazon EFS ha deshabilitado, eliminado o revocado. Para ello, desmonte el sistema dearchivos y elimine sus destinos de montaje de Amazon EFS.

No se puede eliminar de inmediato una CMK de AWS KMS, pero puede programarse para eliminacióndentro de 7-30 días. Cuando una CMK está programada para su eliminación, no puede utilizarla pararealizar operaciones criptográficas. También puede cancelar la eliminación programada de una CMK.

Para obtener información acerca de cómo deshabilitar y volver a habilitar CMK administradas por el cliente,consulte Habilitación y deshabilitación de claves en la AWS Key Management Service Developer Guide.Para obtener información acerca de cómo programar la eliminación de CMK administradas por el cliente,consulte Eliminación de las claves maestras de cliente en la AWS Key Management Service DeveloperGuide.

Temas relacionados• Para obtener más información acerca de los datos y metadatos cifrados en reposo en Amazon EFS,

consulte Cifrado de datos en EFS (p. 150).• Para ver ejemplos de políticas de claves, consulte Políticas de claves de Amazon EFS para AWS

KMS (p. 153).• Para obtener una lista de las entradas de registro de AWS CloudTrail asociadas a un sistema de

archivos cifrados, consulte Entradas de archivos de registro de Amazon EFS para sistemas de archivoscifrados en reposo (p. 98).

• Para obtener más información acerca de cómo determinar qué cuentas y servicios tienen acceso a susCMK, consulte Determinación del acceso a una clave maestra de cliente de AWS KMS en la AWS KeyManagement Service Developer Guide.

67

https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html

https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html

https://docs.aws.amazon.com/kms/latest/developerguide/determining-access.html

Amazon Elastic File System Guía del usuarioSolucionar problemas de versiones de kernel y AMI

Montar sistemas de archivos de EFSEn la siguiente sección, puede obtener información acerca de cómo montar su sistema de archivosde Amazon EFS en una instancia de Linux mediante el ayudante de montaje de Amazon EFS.Además, puede encontrar información acerca de cómo utilizar el archivo fstab para volver a montarautomáticamente el sistema de archivos después de los reinicios del sistema. Para obtener másinformación acerca del ayudante de montaje de Amazon EFS, consulte Ayudante de montaje deEFS (p. 49).

Antes de que estuviese disponible el ayudante de montaje de Amazon EFS, recomendábamos montarlos sistemas de archivos de Amazon EFS mediante el cliente NFS de Linux estándar. Para obtener másinformación acerca de los cambios, consulte Montaje de sistemas de archivos sin el ayudante de montajede EFS (p. 320).

Note

Puede configurar una nueva instancia Amazon EC2 Linux para montar un sistema de archivosde Amazon EFS cuando se lance. Sin embargo, para poder montar un sistema de archivos,debe crear, configurar y lanzar los recursos de AWS relacionados. Para obtener instruccionesdetalladas, consulte Introducción a Amazon Elastic File System (p. 12).

Temas• Solucionar problemas de versiones de kernel y AMI (p. 68)• Instalar el paquete amazon-efs-utils (p. 68)• Montar con el ayudante de montaje de EFS (p. 68)• Cómo montar el sistema de archivos de Amazon EFS automáticamente (p. 72)• Montar sistemas de archivos de EFS desde otra cuenta o VPC (p. 75)• Consideraciones de montaje adicionales (p. 78)

Solucionar problemas de versiones de kernel y AMIPara solucionar problemas relacionados con determinadas versiones de Amazon Machine Image (AMI) okernel al utilizar Amazon EFS desde una instancia Amazon EC2, consulte Solución de problemas de AMI yde kernel (p. 195).

Instalar el paquete amazon-efs-utilsPara montar su sistema de archivos de Amazon EFS en su instancia Amazon EC2, le recomendamos queutilice el ayudante de montaje incluido en el paquete amazon-efs-utils. El paquete amazon-efs-utils es unacolección de herramientas de Amazon EFS de código abierto. Para obtener más información, consulteInstalación del paquete de amazon-efs-utils en Amazon Linux (p. 45).

Montar con el ayudante de montaje de EFSPuede montar un sistema de archivos de Amazon EFS en una serie de clientes con el ayudante demontaje de Amazon EFS. En las secciones siguientes, encontrará el proceso del ayudante de montajepara los diferentes tipos de clientes.

Temas• Montar en Amazon EC2 con el ayudante de montaje de EFS (p. 69)

68

Amazon Elastic File System Guía del usuarioMontar en EC2 con el ayudante de montaje de EFS

• Montar con autorización IAM (p. 69)• Montar con puntos de acceso de EFS (p. 70)• Montar automáticamente con el ayudante de montaje de EFS (p. 71)• Montar en el cliente Linux local con el ayudante de montaje de EFS a través de AWS Direct Connect y

la VPN (p. 71)

Montar en Amazon EC2 con el ayudante de montajede EFSPuede montar un sistema de archivos de Amazon EFS en una instancia Amazon EC2 con el ayudante demontaje de Amazon EFS. Para obtener más información sobre el ayudante de montaje, consulte Ayudantede montaje de EFS (p. 49). Para utilizar el ayudante de montaje, necesita lo siguiente:

• El ID del sistema de archivos de EFS que desea montar: después de crear un sistema de archivos deAmazon EFS, puede obtener el ID de dicho sistema de la consola o mediante programación a través dela API de Amazon EFS. El ID tiene este formato: fs-12345678.

• Un destino de montaje de Amazon EFS:– debe crear destinos de montaje en su nube virtual privada(VPC). Si crea su sistema de archivos en la consola, debe crear sus destinos de montaje al mismotiempo. Para obtener instrucciones para crear destinos de montaje mediante la consola de EFS, consultePaso 2: configurar el acceso a la red (p. 24).

• Una instancia Amazon EC2 que ejecuta una distribución de Linux compatible: las distribuciones de Linuxcompatibles para montar el sistema de archivos con el ayudante de montaje son las siguientes:• Amazon Linux 2• Amazon Linux 2017.09 y versiones posteriores• Red Hat Enterprise Linux (y sus derivados como CentOS) versión 7 y posteriores• Ubuntu 16.04 LTS y posterior

• El ayudante de montaje de Amazon EFS instalado:– el ayudante de montaje es una herramientade amazon-efs-utils. Para obtener información acerca de cómo instalar amazon-efs-utils, consulteInstalación del paquete de amazon-efs-utils en Amazon Linux (p. 45).

Para montar el sistema de archivos de Amazon EFS con el ayudante de montaje


2. Ejecute el siguiente comando para montar el sistema de archivos.

sudo mount -t efs fs-12345678:/ /mnt/efs

También, si desea utilizar el cifrado de datos en tránsito, puede montar el sistema de archivos con elsiguiente comando.

sudo mount -t efs -o tls fs-12345678:/ /mnt/efs

Montar con autorización IAMPara mostrar su sistema de archivos Amazon EFS en instancias de Linux mediante la autorización AWSIdentity and Access Management (IAM), utilice el ayudante de montaje EFS. Para obtener más información

69


Amazon Elastic File System Guía del usuarioMontar con puntos de acceso de EFS

sobre la autorización de IAM para clientes NFS, consulte Uso de IAM para controlar el acceso de NFS aAmazon EFS (p. 166).

Montar con IAM mediante un perfil de instancia EC2Si va a montar con autorización IAM en una instancia Amazon EC2 con un perfil de instancia, utilice lasopciones de montaje tls y iam, que se muestran a continuación.

$ sudo mount -t efs -o tls,iam file-system-id efs-mount-point

Para montar automáticamente con autorización IAM en una instancia Amazon EC2 que tiene un perfil deinstancia, agregue la siguiente línea al archivo /etc/fstab de la instancia de EC2.

file-system-id:/ efs-mount-point efs _netdev,tls,iam 0 0

Montar con IAM mediante un perfil con nombrePuede montar con una autorización IAM utilizando las credenciales de IAM ubicadas en el archivo decredenciales de la CLI de AWS ~/.aws/credentials o el archivo de configuración de la CLI de AWS~/.aws/config. Si no se especifica "awsprofile", se utiliza el perfil “predeterminado”.

Para montar con autorización IAM en una instancia de Linux mediante un archivo de credenciales, utilicelas opciones de montaje tls, awsprofile y iam que se muestran a continuación.

$ sudo mount -t efs -o tls,iam,awsprofile=namedprofile file-system-id efs-mount-point/

Para montar automáticamente con autorización IAM en una instancia de Linux mediante un archivo decredenciales, agregue la siguiente línea al archivo /etc/fstab en la instancia de EC2.

file-system-id:/ efs-mount-point efs _netdev,tls,iam,awsprofile=namedprofile 0 0

Montar con puntos de acceso de EFSPuede montar un sistema de archivos EFS mediante un punto de acceso EFS. Para ello, utilice elayudante de montaje de EFS.

Al montar un sistema de archivos mediante un punto de acceso, el comando mount incluye la opción demontaje access-point-id y tls además de las opciones normales de montaje. A continuación semuestra un ejemplo.

$ sudo mount -t efs -o tls,accesspoint=access-point-id file-system-id efs-mount-point

Para montar automáticamente un sistema de archivos utilizando un punto de acceso, añada la siguientelínea al archivo /etc/fstab en la instancia de EC2.

file-system-id efs-mount-point efs _netdev,tls,accesspoint=access-point-id 0 0

Para obtener más información acerca de los puntos de acceso de EFS, consulte Trabajar con puntos deacceso Amazon EFS (p. 178).

70

Amazon Elastic File System Guía del usuarioMontar automáticamente con

el ayudante de montaje de EFS

Montar automáticamente con el ayudante de montajede EFSTambién tiene la opción de realizar el montaje automáticamente mediante la adición de una entradaen el archivo /etc/fstab. Al realizar el montaje automáticamente con /etc/fstab, debe agregarla opción de montaje _netdev. Para obtener más información, consulte Usar /etc/fstab para montarautomáticamente (p. 73).

Note

El montaje con el ayudante de montaje utiliza automáticamente las siguientes opciones demontaje que están optimizadas para Amazon EFS:

• nfsvers=4.1

• rsize=1048576

• wsize=1048576

• hard

• timeo=600

• retrans=2

• noresvport

Para utilizar el comando mount, lo siguiente debe ser verdadero:

• La instancia EC2 de conexión debe estar en una nube virtual privada (VPC) en función del servicio deAmazon VPC. También se debe configurar para utilizar el servidor DNS proporcionado por Amazon.Para obtener más información sobre el servidor DNS de Amazon, consulte Conjuntos de opciones deDHCP en la Guía del usuario de Amazon VPC.

• La VPC de la instancia EC2 de conexión debe tener los nombres de host DNS habilitados. Para obtenermás información, consulte Visualización de nombres de host DNS para su instancia EC2 en la Guía delusuario de Amazon VPC.

Note

Le recomendamos que espere 90 segundos después de crear un destino de montaje antesde montar el sistema de archivos. Esta espera permite que los registros DNS se propaguentotalmente en la región de AWS donde se encuentra el sistema de archivos.

Montar en el cliente Linux local con el ayudante demontaje de EFS a través de AWS Direct Connect y laVPNPuede montar sus sistemas de archivos de Amazon EFS en los servidores locales del centro de datossi se conecta a su VPC de Amazon con AWS Direct Connect o la VPN. El montaje de sus sistemas dearchivos de Amazon EFS con amazon-efs-utils también simplifica el montaje con el ayudante de montaje yle permite habilitar el cifrado de datos en tránsito.

Para saber cómo usar amazon-efs-utils con AWS Direct Connect y VPN para montar los sistemas dearchivos de Amazon EFS en clientes de Linux locales, consulte Tutorial: Crear y montar un sistema dearchivos local con AWS Direct Connect y una VPN (p. 133).

71

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html


https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-viewing

Amazon Elastic File System Guía del usuarioCómo montar EFS automáticamente

Cómo montar el sistema de archivos de AmazonEFS automáticamente

Puede configurar una instancia Amazon EC2 para montar automáticamente un sistema de archivos deEFS cuando se reinicie de dos formas:

• Al crear una nueva instancia EC2 con el asistente de lanzamiento de instancias.• Actualice el archivo /etc/fstab de EC2 con una entrada para el sistema de archivos de EFS.

Ambos métodos utilizan el ayudante de montaje de EFS para montar el sistema de archivos. El ayudantede montaje forma parte del conjunto de herramientas amazon-efs-utils.

Las herramientas amazon-efs-utils están disponibles para su instalación en imágenes de AmazonMachine (AMI) de Amazon Linux y Amazon Linux 2. Para obtener más información acerca de amazon-efs-utils, consulte Uso de las herramientas amazon-efs-utils (p. 44). Si utiliza otra distribución de Linux,como Red Hat Enterprise Linux (RHEL), compile e instale amazon-efs-utils de forma manual. Paraobtener más información, consulte Instalación del paquete de amazon-efs-utils en otras distribucionesLinux (p. 45).

Configurar instancias EC2 para montar un sistema dearchivos de EFS en el lanzamiento de la instanciaCuando crea una nueva instancia Amazon EC2 de Linux mediante el asistente de lanzamiento deinstancias EC2, puede configurarla para montar el sistema de archivos de Amazon EFS automáticamente.La instancia EC2 monta el sistema de archivos de forma automática al iniciar la instancia por primera vez ytambién cada vez que se reinicia.

Antes de realizar este procedimiento, compruebe que ha creado su sistema de archivos de Amazon EFS.Para obtener más información, consulte Paso 1: Crear su sistema de archivos de Amazon EFS (p. 13) enel ejercicio de introducción de Amazon EFS.

Note

No puede usar Amazon EFS con instancias Amazon EC2 basadas en Microsoft Windows.

Antes de poder lanzar y conectarse a una instancia Amazon EC2, tiene que crear un par de claves, amenos que ya disponga de una. Siga los pasos de Configuración con Amazon EC2 en la Guía del usuariode Amazon EC2 para instancias de Linux para crear un par de claves. Si ya tiene un par de claves, puedeutilizarlo en este ejercicio.

Para configurar la instancia EC2 para montar un sistema de archivos EFS de forma automática enel momento del lanzamiento

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Elija Launch Instance.3. En Step 1: Choose an Amazon Machine Image (AMI) (Paso 1: Elegir una Amazon Machine Image

(AMI)), busque una AMI de Amazon Linux en la parte superior de la lista y elija Select (Seleccionar).4. En el Step 2: Choose an Instance Type (Paso 2: Elegir un tipo de instancia), seleccione Next:

Configure Instance Details (Siguiente: Configurar detalles de la instancia).5. En el Step 3: Configure Instance Details (Paso 3: Configurar los detalles de la instancia), proporcione

la siguiente información:

• En Network (Red), elija la entrada de la misma VPC en la que se encuentra el sistema de archivosde EFS que va a montar.

72



Amazon Elastic File System Guía del usuarioUsar /etc/fstab para montar automáticamente

• En Subnet (Subred), elija una subred predeterminada en cualquier zona de disponibilidad.• En File systems (Sistemas de archivos), elija el sistema de archivos de EFS que desea montar.

La ruta que se muestra junto al ID del sistema de archivos es el punto de montaje que utilizará lainstancia EC2, que puede cambiar.

• En Advanced details (Detalles avanzados), los datos de usuario se generan automáticamente eincluyen los comandos necesarios para montar los sistemas de archivos EFS especificados en Filesystems (Sistemas de archivos).

6. Elija Next: Add Storage (Siguiente: Añadir almacenamiento).7. Elija Next: Add Tags.8. Asigne un nombre a la instancia y elija Next: Configure Security Group (Siguiente: Configurar grupo de

seguridad).9. En Step 6: Configure Security Group (Paso 6: Configurar grupo de seguridad), establezca Assign a

security group (Asignar un grupo de seguridad) en Select an existing security group (Seleccionar ungrupo de seguridad existente). Elija el grupo de seguridad predeterminado para asegurarse de quepuede obtener acceso a su sistema de archivos de EFS.

No puede obtener acceso a la instancia EC2 mediante Secure Shell (SSH) con este grupo deseguridad. Para el acceso mediante SSH, puede editar más adelante la seguridad predeterminada yañadir una regla para permitir SSH o un nuevo grupo de seguridad que permita SSH. Puede utilizar lasiguiente configuración:

• Tipo: SSH• Protocolo: TCP• Rango de puerto: 22• Origen: cualquiera 0.0.0.0/0

10. Elija Review and Launch (Revisar y lanzar).11. Elija Launch.12. Seleccione la casilla de verificación para el par de claves que ha creado y, a continuación, elija Launch

Instances (Lanzar instancias).

La instancia EC2 ahora está configurada para montar el sistema de archivos de EFS cuando se lance ysiempre que se reinicie.

Usar /etc/fstab para montar automáticamentePara volver a montar automáticamente el directorio del sistema de archivos de Amazon EFS cuandose reinicia la instancia Amazon EC2, utilice el archivo /etc/fstab. El archivo /etc/fstab contieneinformación sobre los sistemas de archivos. El comando mount -a, que se ejecuta durante el arranquede la instancia, monta los sistemas de archivos enumerados en /etc/fstab. Este procedimiento utiliza elayudante de montaje de EFS para montar el sistema de archivos y debe instalarse en la instancia EC2.

El ayudante de montaje forma parte del conjunto de herramientas amazon-efs-utils, que estádisponible para su instalación en imágenes de Amazon Machine (AMI) de Amazon Linux y AmazonLinux 2. Para obtener más información acerca de la instalación de amazon-efs-utils en una AMIde Amazon Linux o Amazon Linux 2, consulte Instalación del paquete de amazon-efs-utils en AmazonLinux (p. 45). Si utiliza otra distribución de Linux, como Red Hat Enterprise Linux (RHEL), compile e instaleamazon-efs-utils de forma manual. Para obtener más información, consulte Instalación del paquete deamazon-efs-utils en otras distribuciones Linux (p. 45).

Note

Antes de poder actualizar el archivo /etc/fstab de la instancia EC2, asegúrese de que ya hacreado su sistema de archivos de Amazon EFS. Para obtener más información, consulte Paso 1:

73

Amazon Elastic File System Guía del usuarioUsar /etc/fstab para montar automáticamente

Crear su sistema de archivos de Amazon EFS (p. 13) en el ejercicio de introducción de AmazonEFS.

Para actualizar el archivo /etc/fstab en la instancia EC2

1. Conéctese a su instancia EC2:

• Para conectarse a la instancia desde un equipo que ejecute macOS o Linux, especifique elarchivo .pem para su comando SSH. Para ello, use la opción -i y la ruta a su clave privada.

• Para conectarse a la instancia desde un equipo que ejecuta Windows, puede utilizar MindTerm oPuTTY. Para usar PuTTY, instálelo y convierta el archivo .pem en un archivo .ppk.

Para obtener más información, consulte los siguientes temas en la Guía del usuario de Amazon EC2para instancias de Linux.

• Conexión a la instancia de Linux mediante SSH• Conexión a la instancia Linux desde Windows utilizando PuTTY

2. Abra el archivo /etc/fstab en un editor.3. Monte automáticamente el sistema de archivos de EFS utilizando una autorización de IAM o un punto

de acceso de EFS:

• Para montar automáticamente con autorización de IAM en una instancia Amazon EC2 que tiene unperfil de instancia, agregue la siguiente línea al archivo /etc/fstab.

file-system-id:/ efs-mount-point efs _netdev,tls,iam 0 0

• Para montar automáticamente con autorización de IAM en una instancia de Linux mediante unarchivo de credenciales, agregue la siguiente línea al archivo /etc/fstab.

file-system-id:/ efs-mount-point efs _netdev,tls,iam,awsprofile=namedprofile 0 0

• Para montar automáticamente un sistema de archivos utilizando un punto de acceso de EFS,agregue la siguiente línea al archivo /etc/fstab.

file-system-id efs-mount-point efs _netdev,tls,accesspoint=access-point-id 0 0

Warning

Use la opción _netdev, empleada para identificar los sistemas de archivos de red, cuandomonte su sistema de archivos automáticamente. Si falta _netdev, la instancia EC2 puededejar de responder. Este resultado se debe a que los sistemas de archivos de red sedeben inicializar después de que la instancia informática inicia sus redes. Para obtenermás información, consulte Se produce un error de montaje automático y la instancia noresponde (p. 197).

Para obtener más información, consulte Montar con autorización IAM (p. 69) y Montar con puntosde acceso de EFS (p. 70).

4. Guarde los cambios en el archivo.5. Pruebe la entrada fstab utilizando el comando mount con la opción 'fake' junto con las opciones

'verbose' y 'all'.

$ sudo mount -favhome/ec2-user/efs : successfully mounted

74


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html

Amazon Elastic File System Guía del usuarioMontar desde otra cuenta o VPC

La instancia EC2 está configurada ahora para montar el sistema de archivos de EFS cuando se reinicia.Note

En algunos casos, puede que deba iniciarse la instancia Amazon EC2 independientemente delestado del sistema de archivos de Amazon EFS montado. En tales casos, agregue la opciónnofail a la entrada de su sistema de archivos en el archivo /etc/fstab.

La línea de código que ha añadido al archivo /etc/fstab hace lo siguiente.

Campo Descripción

file-system-id:/ El ID de su sistema de archivos de Amazon EFS. Puede obtener este ID dela consola o mediante programación de la CLI o un AWS SDK.

efs-mount-point El punto de montaje para el sistema de archivos de EFS en su instanciaEC2.

efs El tipo de sistema de archivos. Cuando se utiliza el ayudante de montaje,este tipo es siempre efs.

mount options Opciones de montaje para el sistema de archivos. Se trata de una listaseparada por comas de las siguientes opciones:

• _netdev: esta opción indica al sistema operativo que el sistema dearchivos reside en un dispositivo que requiere acceso a la red. Estaopción impide que la instancia monte el sistema de archivos hasta que sehaya habilitado la red en el cliente.

• tls: habilita el cifrado de los datos en tránsito.• iam: Utilice esta opción para montar con autorización IAM en un Amazon

EC2 con perfil de instancia. El uso de la opción de montaje iam requieretambién el uso de la opción tls. Para obtener más información, consulteUso de IAM para controlar el acceso de NFS a Amazon EFS (p. 166).

• awsprofile=namedprofile: Utilice esta opción con las opciones iamy tls para montar con autorización de IAM en una instancia de Linuxmediante un archivo de credenciales. Para obtener más informaciónacerca de los puntos de acceso de EFS, consulte Uso de IAM paracontrolar el acceso de NFS a Amazon EFS (p. 166).

• accesspoint=access-point-id: Utilice esta opción con la opcióntls para montar mediante un punto de acceso EFS. Para obtener másinformación acerca de los puntos de acceso de EFS, consulte Trabajarcon puntos de acceso Amazon EFS (p. 178).

0 Un valor distinto de cero indica que se debe hacer una copia de seguridaddel sistema de archivos mediante dump. Para EFS, este valor debe ser 0.

0 El orden en que fsck comprueba los sistemas de archivos en el arranque.Para sistemas de archivos de EFS, este valor debe ser 0 para indicar quefsck no se debe ejecutar durante el start-up.

Montar sistemas de archivos de EFS desde otracuenta o VPC

Puede montar su sistema de archivos de Amazon EFS utilizando una autorización de IAM para clientesNFS y puntos de acceso de EFS mediante el ayudante de montaje de EFS. De forma predeterminada,

75

Amazon Elastic File System Guía del usuarioMontar mediante IAM o puntos de acceso desde otra VPC

este ayudante utiliza el servicio de nombres de dominio (DNS) para resolver la dirección IP del destino demontaje de EFS. Si está montando el sistema de archivos desde otra cuenta o nube virtual privada (VPC),debe resolver el destino de montaje de EFS manualmente.

A continuación, encontrará instrucciones para determinar la dirección IP del destino de montaje de EFScorrecta que debe utilizarse para el cliente de NFS. También encontrará instrucciones de configuración delcliente para montar el sistema de archivos de EFS utilizando esa dirección IP.

Montar mediante IAM o puntos de acceso desde otraVPCCuando utiliza una interconexión de VPC o una gateway de tránsito para conectar las VPC, las instanciasAmazon EC2 en una VPC pueden acceder a los sistemas de archivos de EFS en otra VPC, incluso si lasVPC pertenecen a diferentes cuentas.

Requisitos previosAntes de utilizar el procedimiento siguiente, realice estos pasos:

• Instale el conjunto de herramientas amazon-efs-utils en el cliente. Utilice el ayudante de montajede EFS para montar el sistema de archivos; dicho ayudante forma parte de amazon-efs-utils. Paraobtener instrucciones sobre cómo instalar amazon-efs-utils, consulte Uso de las herramientasamazon-efs-utils (p. 44).

• Configure una interconexión de VPC o una gateway de tránsito de VPC.

Para conectar la VPC del cliente y la VPC del sistema de archivos de EFS, utilice una interconexión deVPC o una gateway de tránsito de VPC. Cuando utiliza una interconexión de VPC o una gateway detránsito para conectar las VPC, las instancias Amazon EC2 en una VPC pueden acceder a los sistemasde archivos de EFS en otra VPC, incluso si las VPC pertenecen a diferentes cuentas.

Un gateway de tránsito es un hub de tránsito de red que puede utilizar para interconectar sus VPC yredes locales. Para obtener más información acerca del uso de gateways de tránsito de VPC, consulteGetting Started with Transit Gateways en la Amazon VPC Transit Gateways Guide.

Una interconexión de VPC es una conexión de red entre dos instancias de VPC. Este tipo de conexiónpermite enrutar el tráfico entre ellas mediante direcciones de protocolo de Internet versión 4 (IPv4) o deprotocolo de Internet versión 6 (IPv6) privadas. Puede utilizar la interconexión de VPC para conectarVPC dentro de la misma región de AWS o entre regiones de AWS. Para obtener más información sobreinterconexiones con VPC, consulte ¿Qué es una interconexión de VPC? en la Amazon VPC PeeringGuide.

Para garantizar una alta disponibilidad del sistema de archivos, recomendamos utilizar siempre unadirección IP del destino de montaje de EFS que esté en la misma zona de disponibilidad (AZ) que sucliente de NFS. Si va a montar un sistema de archivos de EFS que esté en otra cuenta, asegúrese de queel cliente de NFS y el destino de montaje de EFS estén en el mismo ID de AZ. Este requisito se aplicaporque los nombres de zona de disponibilidad pueden ser distintos entre las cuentas.

Para montar un sistema de archivos de EFS en otra VPC mediante IAM o un punto de acceso


• Para conectarse a la instancia desde un equipo que ejecute Mac OS o Linux, especifique elarchivo.pem para su comando SSH. Para ello, use la opción -i y la ruta a su clave privada.


76

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-getting-started.html

https://docs.aws.amazon.com/vpc/latest/peering/Welcome.html

Amazon Elastic File System Guía del usuarioMontar mediante IAM o puntos de acceso desde otra VPC


• Conexión a la instancia Linux desde Windows utilizando PuTTY• Conexión a la instancia Linux utilizando SSH

2. Determine el ID de AZ en el que se encuentra la instancia EC2 mediante el comando de la CLIdescribe-availability-zones, como se indica a continuación.

[[email protected]] $ aws ec2 describe-availability-zones --zone-name `curl -s http://169.254.169.254/latest/meta-data/placement/availability-zone`{ "AvailabilityZones": [ { "State": "available", "ZoneName": "us-east-2b", "Messages": [], "ZoneId": "use2-az2", "RegionName": "us-east-2" } ]}

El ID de AZ se devuelve en la propiedad ZoneId, use2-az2.3. Recupere la dirección IP del destino de montaje para su sistema de archivos en el ID de AZ use2-

az2 mediante el comando de la CLI describe-mount-targets, como se indica a continuación.

$ aws efs describe-mount-targets --file-system-id file_system_id{ "MountTargets": [ { "OwnerId": "111122223333", "MountTargetId": "fsmt-11223344", =====> "AvailabilityZoneId": "use2-az2", "NetworkInterfaceId": "eni-048c09a306023eeec", "AvailabilityZoneName": "us-east-2b", "FileSystemId": "fs-01234567", "LifeCycleState": "available", "SubnetId": "subnet-06eb0da37ee82a64f", "OwnerId": "958322738406", =====> "IpAddress": "10.0.2.153" }, ... { "OwnerId": "111122223333", "MountTargetId": "fsmt-667788aa", "AvailabilityZoneId": "use2-az3", "NetworkInterfaceId": "eni-0edb579d21ed39261", "AvailabilityZoneName": "us-east-2c", "FileSystemId": "fs-01234567", "LifeCycleState": "available", "SubnetId": "subnet-0ee85556822c441af", "OwnerId": "958322738406", "IpAddress": "10.0.3.107" } ]}

El destino de montaje en el ID de AZ use2-az2 tiene una dirección IP de 10.0.2.153.

77



Amazon Elastic File System Guía del usuarioMontar desde otra cuenta en la misma VPC

4. Agregue una línea para la dirección IP del destino de montaje al archivo /etc/hosts del cliente, conel formato mount-target-IP-Address file-system-ID.efs.region.amazonaws.com, comose indica a continuación.

echo "10.0.2.153 fs-01234567.efs.us-east-2.amazonaws.com" | sudo tee -a /etc/hosts

5. Cree un directorio para montar el sistema de archivos mediante el comando siguiente.

$ sudo mkdir /mnt/efs

6. Para montar el sistema de archivos con una autorización de IAM, utilice el comando siguiente:

$ sudo mount -t efs -o tls,iam file-system-id /mnt/efs/

Para obtener más información sobre cómo utilizar la autorización de IAM con EFS, consulte Uso deIAM para controlar el acceso de NFS a Amazon EFS (p. 166).

Para montar el sistema de archivos con un punto de acceso EFS, utilice el comando siguiente:

$ sudo mount -t efs -o tls,accesspoint=access-point-id file-system-id /mnt/efs/

Para obtener más información acerca de los puntos de acceso de EFS, consulte Trabajar con puntosde acceso Amazon EFS (p. 178).

No se puede utilizar la resolución de nombres de DNS para puntos de montaje de EFS en otra VPC.Para montar su sistema de archivos de EFS, utilice la dirección IP de los puntos de montaje en la zonade disponibilidad correspondiente. También puede usar Amazon Route 53 como su servicio DNS. EnRoute 53, puede resolver las direcciones IP del destino de montaje de EFS de otra VPC mediantela creación de una zona alojada privada y un conjunto de registros de recursos. Para obtener másinformación acerca de cómo hacerlo, consulte Uso de zonas hospedadas privadas y Uso de registros en laGuía para desarrolladores de Amazon Route 53.

Montar desde otra cuenta en la misma VPCUtilizando VPC compartidas, puede montar un sistema de archivos de Amazon EFS que es propiedad deuna cuenta desde instancias Amazon EC2 que son propiedad de una cuenta distinta. Para obtener másinformación acerca de la configuración de una VPC compartida, consulte Trabajar con VPC compartidas enla Amazon VPC Peering Guide.

Después de configurar el uso compartido de VPC, las instancias EC2 pueden montar el sistema dearchivos de EFS con la resolución de nombres del sistema de nombres de dominio (DNS) o el ayudante demontaje de EFS.

Consideraciones de montaje adicionalesLe recomendamos los siguientes valores predeterminados de opciones de montaje de Linux:

• rsize=1048576:– defina el número máximo de bytes de datos que el cliente NFS puede recibir paracada solicitud de red READ. Este valor se aplica al leer los datos desde un archivo en un sistema dearchivos de EFS. Le recomendamos que utilice el mayor tamaño posible (hasta 1048576) para evitar unrendimiento reducido.

• wsize=1048576:– defina el número máximo de bytes de datos que el cliente NFS puede enviar paracada solicitud de red WRITE. Este valor se aplica al escribir datos en un archivo en un sistema de

78

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html

Amazon Elastic File System Guía del usuarioDesmontar sistemas de archivos

archivos de EFS. Le recomendamos que utilice el mayor tamaño posible (hasta 1048576) para evitar unrendimiento reducido.

• hard:– Establece el comportamiento de recuperación del cliente NFS después de que se agote eltiempo de espera de una solicitud NFS, de modo que las solicitudes de NFS se vuelven a intentarindefinidamente hasta que el servidor responde. Le recomendamos que utilice la opción de montajeforzado (hard) para garantizar la integridad de los datos. Si utiliza un montaje soft, establezca elparámetro timeo en al menos 150 décimas de segundo (15 segundos). De esta forma, ayuda a reducirel riesgo de daño en los datos que es inherente con montajes flexibles.

• timeo=600:– establece el valor de tiempo de espera que utiliza el cliente NFS para esperar unarespuesta antes de que vuelva a intentar una solicitud NFS en 600 décimas de segundo (60 segundos).Si debe cambiar el parámetro de tiempo de espera (timeo), le recomendamos que utilice un valor de almenos 150, lo que equivale a 15 segundos. De esta forma, se evita una reducción del rendimiento.

• retrans=2:– establece en 2 el número de veces que el cliente de NFS reintenta una solicitud antes deintentar una acción de recuperación adicional.

• noresvport:– indica al cliente NFS que utilice un nuevo puerto de origen de protocolo de control detransmisión (TCP) cuando se restablece la conexión a la red. Esto ayuda a garantizar que el sistema dearchivos de EFS tiene una disponibilidad ininterrumpida después de un evento de recuperación de red.

• _netdev:– cuando está presente en /etc/fstab, impide que el cliente intente montar el sistema dearchivos de EFS hasta que se haya habilitado la red.

Si no utiliza los valores predeterminados anteriores, tenga en cuenta lo siguiente:

• En general, evite configurar otras opciones de montaje que sean diferentes de los valorespredeterminados, lo que puede provocar una reducción del rendimiento y otros problemas. Por ejemplo,cambiar el tamaño del búfer de lectura o escritura, o deshabilitar el almacenamiento en caché deatributos puede reducir el rendimiento.

• Amazon EFS ignora los puertos de origen. Si cambia los puertos de origen de Amazon EFS, no tieneningún efecto.

• Amazon EFS no admite ninguna de las variantes de seguridad de Kerberos. Por ejemplo, el siguientecomando de montaje devuelve un error.

$ mount -t nfs4 -o krb5p <DNS_NAME>:/ /efs/

• Le recomendamos que monte el sistema de archivos utilizando su nombre de DNS. Este nombre seresuelve en una dirección IP del destino de montaje de Amazon EFS en la misma zona de disponibilidadque su instancia Amazon EC2. Si utiliza el destino de montaje en una zona de disponibilidad distinta dela de su instancia Amazon EC2, incurre en cargos de EC2 estándar para datos enviados entre zonas dedisponibilidad. También podría ver latencias más elevadas para las operaciones del sistema de archivos.

• Para más opciones de montaje y explicaciones detalladas de las opciones predeterminadas, consulte laspáginas man fstab y man nfs en la documentación de Linux.

Note

Si su instancia EC2 tiene que iniciarse independientemente del estado de su sistema de archivosde EFS montado, añada la opción nofail a la entrada de su sistema de archivos en el archivo /etc/fstab.

Desmontar sistemas de archivosAntes de eliminar un sistema de archivos, le recomendamos que lo desmonte desde cada instanciaAmazon EC2 a la que está conectada. Puede desmontar un sistema de archivos en su instancia AmazonEC2 ejecutando el comando umount de la propia instancia. No se puede desmontar un sistema dearchivos de Amazon EFS a través de la AWS CLI, la Consola de administración de AWS o a través de

79

http://man7.org/linux/man-pages/man5/fstab.5.html

https://linux.die.net/man/5/nfs

Amazon Elastic File System Guía del usuarioDesmontar sistemas de archivos

cualquiera de los SDK de AWS. Para desmontar un sistema de archivos de Amazon EFS conectado a unainstancia Amazon EC2 que se ejecuta en Linux, utilice el comando umount de la siguiente manera:

umount /mnt/efs

Le recomendamos que no especifique las demás opciones umount. Evite la configuración de otrasopciones umount que sean diferentes de los valores predeterminados.

Puede comprobar que el sistema de archivos de Amazon EFS se ha desmontado mediante la ejecucióndel comando df. Este comando muestra las estadísticas de uso del disco de los sistemas de archivosactualmente montados en la instancia Amazon EC2 basada en Linux. Si el sistema de archivos de AmazonEFS que desea desmontar no aparece en la salida del comando df, esto significa que el sistema dearchivos está desmontado.

Example Ejemplo: Identificar el estado de montaje de un sistema de archivos de Amazon EFS ydesmontarlo

$ df -TFilesystem Type 1K-blocks Used Available Use% Mounted on /dev/sda1 ext4 8123812 1138920 6884644 15% / availability-zone.file-system-id.efs.aws-region.amazonaws.com :/ nfs4 9007199254740992 0 9007199254740992 0% /mnt/efs

$ umount /mnt/efs

$ df -T

Filesystem Type 1K-blocks Used Available Use% Mounted on /dev/sda1 ext4 8123812 1138920 6884644 15% /

80

Amazon Elastic File System Guía del usuarioHerramientas de monitoreo

Monitorización de Amazon EFSEl monitoreo es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el desempeñode Amazon EFS y de sus soluciones de AWS. Debe recopilar datos de monitorización de todas las partesde su solución de AWS para que le resulte más sencillo depurar un error que se produce en distintaspartes del código, en caso de que ocurra. No obstante, antes de comenzar a monitorear Amazon EFS,debe crear un plan que incluya respuestas a las siguientes preguntas:

• ¿Cuáles son los objetivos de la monitorización?• ¿Qué recursos va a monitorizar?• ¿Con qué frecuencia va a monitorizar estos recursos?• ¿Qué herramientas de monitorización va a utilizar?• ¿Quién se encargará de realizar las tareas de monitorización?• ¿Quién debería recibir una notificación cuando surjan problemas?

El siguiente paso consiste en establecer un punto de referencia del desempeño normal de Amazon EFSen su entorno. Para ello, se mide el desempeño en distintos momentos y bajo distintas condiciones decarga. Cuando monitoree Amazon EFS, debe tener en cuenta el almacenamiento de los datos históricosde monitoreo. Estos datos almacenados le darán un punto de referencia para compararlos con los datosde desempeño actual, identificar los patrones de desempeño normales y las anomalías del desempeño eidear métodos para solucionar problemas.

Por ejemplo, con Amazon EFS, puede supervisar el desempeño de red, E/S para operaciones de lectura,escritura o metadatos, conexiones de clientes y saldos de ráfagas de crédito de sus sistemas de archivos.Cuando el desempeño se sitúa fuera de la referencia establecida, es posible que necesite cambiar eltamaño del sistema de archivos o el número de clientes conectados para optimizar el sistema de archivospara su carga de trabajo.

Para establecer un punto de referencia debe, como mínimo, monitorizar los elementos siguientes:

• El desempeño de red del sistema de archivos.• El número de conexiones cliente a un sistema de archivos.• El número de bytes de cada operación del sistema de archivos, incluida las operaciones de lectura de

datos, escritura de datos y metadatos.

Herramientas de monitoreoAWS proporciona varias herramientas que puede utilizar para monitorizar Amazon EFS. Puede configuraralgunas de estas herramientas para que monitoricen por usted, pero otras herramientas requierenintervención manual. Le recomendamos que automatice las tareas de monitorización en la medida de loposible.

Herramientas de monitoreo automatizadasPuede utilizar las siguientes herramientas de monitorización automatizado para vigilar Amazon EFS einformar cuando haya algún problema:

• Amazon CloudWatch Alarms (Alarmas de &CWlong;): observe una sola métrica durante el períodoque especifique y realice una o varias acciones según el valor de la métrica relativo a un determinado

81

Amazon Elastic File System Guía del usuarioHerramientas de monitoreo manuales

umbral durante varios períodos de tiempo. La acción es una notificación enviada a un tema de AmazonSimple Notification Service (Amazon SNS) o una política de Amazon EC2 Auto Scaling. Las alarmas deCloudWatch no invocan acciones simplemente por tener un estado determinado. Es necesario que elestado haya cambiado y se mantenga durante un número especificado de períodos. Para obtener másinformación, consulte Monitoreo de EFS con Amazon CloudWatch (p. 82).

• Amazon CloudWatch Logs: monitorice, almacene y obtenga acceso a los archivos de registro desdeAWS CloudTrail o de otras fuentes. Para obtener más información, consulte Monitorización de archivosde registro en la Guía del usuario de Amazon CloudWatch.

• Amazon CloudWatch Events –: seleccione los eventos y diríjalos a uno o varios flujos o funciones dedestino para realizar cambios, capturar información de estado y aplicar medidas correctivas. Paraobtener más información, consulte ¿Qué es Amazon CloudWatch Events? en la Guía del usuario deAmazon CloudWatch.

• Monitorización de registros de AWS CloudTrail–: compartir archivos de registro entre cuentas,monitorizar archivos de registro de CloudTrail en tiempo real mediante su envío a CloudWatch Logs,escribir aplicaciones de procesamiento de registros en Java y validar que sus archivos de registro nohayan cambiado después de que CloudTrail los entregue. Para obtener más información, consulteTrabajar con archivos de registro de CloudTrail en la AWS CloudTrail User Guide.

Herramientas de monitoreo manualesOtra parte importante de la monitorización de Amazon EFS implica la monitorización manual de loselementos que no cubren las alarmas de Amazon CloudWatch. Los paneles de la consola de AmazonEFS, CloudWatch y otros de AWS proporcionan una vista rápida del entorno de AWS. Le recomendamosque también compruebe los archivos de registro de file system.

• Desde la consola Amazon EFS, puede encontrar los siguientes elementos para sus sistemas dearchivos:• El tamaño medido actual• El número de destinos de montaje• El estado del ciclo de vida

• La página de inicio de CloudWatch muestra:• Alarmas y estado actual• Gráficos de alarmas y recursos• Estado de los servicios

Además, puede utilizar CloudWatch para hacer lo siguiente:• Crear paneles personalizados para monitorizar los servicios que utiliza.• Realizar un gráfico con los datos de las métricas para resolver problemas y descubrir tendencias• Buscar y examinar todas sus métricas de recursos de AWS.• Crear y editar las alarmas de notificación de problemas

Monitoreo de EFS con Amazon CloudWatchPuede monitorizar sistemas de archivos mediante Amazon CloudWatch, que recopila y procesa los datossin formato de Amazon EFS en métricas legibles y casi en tiempo real. Estas estadísticas se registrandurante un periodo de 15 meses, de forma que pueda obtener acceso a información de historial y obteneruna mejor perspectiva acerca del desempeño de su aplicación web o servicio. De forma predeterminada,los datos de las métricas de Amazon EFS se envían automáticamente a CloudWatch en períodos de1 minuto. Para obtener más información sobre CloudWatch, consulte ¿Qué son Amazon CloudWatch,Amazon CloudWatch Events y Amazon CloudWatch Logs? en la Guía del usuario de Amazon CloudWatch.

82

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html


https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/CloudWatch_Dashboards.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html

Amazon Elastic File System Guía del usuarioMétricas de Amazon CloudWatch para Amazon EFS

Métricas de Amazon CloudWatch para Amazon EFSEl espacio de nombres de AWS/EFS incluye las siguientes métricas.

BurstCreditBalance

El número de créditos de ráfaga de un sistema de archivos. Los créditos de ráfaga permiten que unsistema de archivos se amplíe a niveles de velocidad superiores al nivel de referencia del sistema dearchivos durante determinados periodos de tiempo. Para obtener más información, consulte Escaladode desempeño con el modo por ráfagas (p. 103).

La estadística Minimum es el saldo de créditos de ráfaga menor para cualquier minuto durante elperiodo. La estadística Maximum es el saldo de créditos de ráfaga mayor para cualquier minutodurante el periodo. La estadística Average es el saldo de créditos de ráfaga medio durante el periodo.

Unidades: bytes

Estadísticas válidas: Minimum, Maximum, AverageClientConnections

El número de conexiones cliente a un sistema de archivos. Cuando se utiliza un cliente estándar, hayuna conexión por instancia Amazon EC2 montada.

Note

Para calcular el valor medio de ClientConnections para períodos superiores a un minuto,divida la estadística Sum por el número de minutos del periodo.

Unidades: número de conexiones cliente

Estadísticas válidas: SumDataReadIOBytes

El número de bytes de cada operación de lectura del sistema de archivos.

La estadística Sum es el número total de bytes asociados a las operaciones de lectura. La estadísticaMinimum es el tamaño de la operación de lectura más pequeña durante el periodo. La estadísticaMaximum es el tamaño de la operación de lectura más grande durante el periodo. La estadísticaAverage es el tamaño medio de las operaciones de lectura durante el periodo. La estadísticaSampleCount proporciona el recuento de operaciones de lectura.

Unidades:• Bytes para Minimum, Maximum, Average y Sum.• Recuento de SampleCount.

Estadísticas válidas: Minimum, Maximum, Average, Sum, SampleCountDataWriteIOBytes

El número de bytes de cada operación de escritura del sistema de archivos.

La estadística Sum es el número total de bytes asociados a las operaciones de escritura. La estadísticaMinimum es el tamaño de la operación de escritura más pequeña durante el periodo. La estadísticaMaximum es el tamaño de la operación de escritura más grande durante el periodo. La estadísticaAverage es el tamaño medio de las operaciones de escritura durante el periodo. La estadísticaSampleCount proporciona el recuento de operaciones de escritura.

Unidades:

83

Amazon Elastic File System Guía del usuarioMétricas de Amazon CloudWatch para Amazon EFS

• Los bytes son las unidades de las estadísticas Minimum, Maximum, Average y Sum.• Recuento de SampleCount.

Estadísticas válidas: Minimum, Maximum, Average, Sum, SampleCountMetadataIOBytes

El número de bytes de cada operación de metadatos.

La estadística Sum es el número total de bytes asociados a las operaciones de metadatos. Laestadística Minimum es el tamaño de la operación de metadatos más pequeña durante el periodo.La estadística Maximum es el tamaño de la operación de metadatos más grande durante el periodo.La estadística Average es el tamaño de la operación de metadatos media durante el periodo. Laestadística SampleCount proporciona el recuento de operaciones de metadatos.

Unidades:• Los bytes son las unidades de las estadísticas Minimum, Maximum, Average y Sum.• Recuento de SampleCount.

Estadísticas válidas: Minimum, Maximum, Average, Sum, SampleCountPercentIOLimit

Muestra lo que le queda a un sistema de archivos para llegar al límite de E/S del modo de desempeñode uso general predeterminado. Si esta métrica llega al 100% con demasiada frecuencia, considerela posibilidad de mover la aplicación a un sistema de archivos que use el modo de rendimiento de E/Smáximo.

Note

Esta métrica solo se emite para los sistemas de archivos que utilizan el modo de desempeñode uso general.

Unidades:• Porcentaje

PermittedThroughput

Se permite la cantidad máxima de desempeño de un sistema de archivos. Para sistemas dearchivos en el modo de rendimiento aprovisionado, si la cantidad de almacenamiento permite quesu sistema de archivos admita mayor rendimiento que el aprovisionado, esta métrica reflejará elmayor rendimiento en lugar de la cantidad aprovisionada. En el caso de sistemas de archivos enel modo de desempeño por ráfagas, este valor es una función del tamaño del sistema de archivosy BurstCreditBalance. Para obtener más información, consulte Rendimiento de Amazon EFS (p. 100).

La estadística Minimum es el desempeño menor permitido para cualquier minuto durante el periodo.La estadística Maximum es el desempeño mayor permitido para cualquier minuto durante el periodo.La estadística Average es el desempeño medio permitido durante el periodo.

Unidades: bytes por segundo

Estadísticas válidas: Minimum, Maximum, AverageTotalIOBytes

El número de bytes de cada operación del sistema de archivos, incluida las operaciones de lectura dedatos, escritura de datos y metadatos.

La estadística Sum es el número total de bytes asociados a todas las operaciones del sistema dearchivos. La estadística Minimum es el tamaño de la operación más pequeña durante el periodo.

84

Amazon Elastic File System Guía del usuarioBytes comunicados en CloudWatch

La estadística Maximum es el tamaño de la operación más grande durante el periodo. La estadísticaAverage es el tamaño medio de una operación durante el periodo. La estadística SampleCountproporciona el recuento de todas las operaciones.

Note

Para calcular el valor medio de las operaciones por segundo durante un periodo, dividala estadística SampleCount por el número de segundos del periodo. Para calcular eldesempeño medio (bytes por segundo) de un periodo, divida la estadística Sum por el númerode segundos del periodo.

Unidades:• Bytes para las estadísticas Minimum, Maximum, Average y Sum.• Recuento de SampleCount.

Estadísticas válidas: Minimum, Maximum, Average, Sum, SampleCount

Bytes comunicados en CloudWatchAl igual que con Amazon S3 y Amazon EBS, las métricas de CloudWatch para Amazon EFS se comunicancomo bytes sin formato. Los bytes no se redondean a un decimal o múltiple binario de la unidad. Tengaesto en cuenta a la hora de calcular la tasa de ráfaga con los datos obtenidos de las métricas. Paraobtener información sobre transmisión por ráfaga, consulte Escalado de desempeño con el modo porráfagas (p. 103).

Dimensiones de Amazon EFSLas métricas de Amazon EFS utilizan el espacio de nombres de EFS y proporcionan métricas para unasola dimensión, FileSystemId. En la consola de Amazon EFS, se puede encontrar el ID del sistema dearchivos, con el formato fs-XXXXXXXX.

¿Cómo utilizo las métricas de Amazon EFS?Las métricas mostradas por Amazon EFS proporcionan información que puede analizar de diferentesmaneras. En la siguiente lista se indican algunos usos frecuentes de las métricas. Se trata de sugerenciasque puede usar como punto de partida y no de una lista completa.

¿Cómo? Métricas relevantes

¿Cómo puedodeterminar midesempeño?

Puede monitorizar la estadística Sum diaria de la métrica TotalIOBytespara ver el desempeño.

¿Cómo se puedesupervisar el número deinstancias Amazon EC2que se conectan a unsistema de archivos?

Puede monitorizar la estadística Sum de la métrica ClientConnections.Para calcular el valor medio de ClientConnections para períodossuperiores a un minuto, divida la suma por el número de minutos en elperiodo.

¿Cómo puedo ver missaldo de crédito deráfagas?

Puede ver su saldo monitorizando la métrica BurstCreditBalance parasu sistema de archivos. Para obtener más información sobre la transmisiónpor ráfaga y los créditos de ráfaga, consulte Escalado de desempeño con elmodo por ráfagas (p. 103).

85

Amazon Elastic File System Guía del usuarioAcceder a las métricas de CloudWatch

Acceder a las métricas de CloudWatchPuede ver las métricas de Amazon EFS para CloudWatch de muchas formas. Están disponibles en lasección Monitoring (Monitorización) de la página File system details (Detalles del sistema de archivos).Puede verlas a través de la consola de CloudWatch o puede acceder a ellas a través de la CLI deCloudWatch o la API de CloudWatch. Los siguientes procedimientos le muestran cómo obtener acceso alas métricas a través de estas herramientas.

Para ver las métricas y alarmas de CloudWatch en la consola de Amazon EFS


2. Seleccione File systems (Sistemas de archivos).3. Elija el sistema de archivos del que desea ver las métricas de CloudWatch.4. Seleccione Monitoring (Monitorización) para mostrar la página File system metrics (Métricas del

sistema de archivos).

La página File system metrics (Métricas del sistema de archivos) muestra las siguientes métricas deCloudWatch para el sistema de archivos:

• Utilización de desempeño (%) * (no es una métrica de CloudWatch, sino que se deriva de loscálculos de métricas de CloudWatch)

• IOPS por tipo *• Desempeño por tipo *• Tamaño medio de IP (KiB) *• Límite porcentual de E/S *• Conexiones de clientes *• Desempeño permitido• Saldo de crédito de ráfagas• Bytes de E/S de escritura de datos

86



Amazon Elastic File System Guía del usuarioCreación de alarmas

• Bytes de E/S de lectura de datos• Bytes de E/S de metadatos

* Estas métricas se muestran de forma predeterminada.

Las alarmas que se hayan configurado aparecen en estas métricas.

Para obtener información acerca de las definiciones de métricas, consulte Métricas de AmazonCloudWatch para Amazon EFS (p. 83).

En la página File system metrics (Métricas del sistema de archivos), puede utilizar los controles parahacer lo siguiente:

• Elegir las métricas que se muestran. Para ajustar las métricas que se muestran, seleccione laopción de los engranajes de la parte superior derecha para mostrar el cuadro de diálogo Metricdisplay settings (Configuración de visualización de métricas).

• Mostrar u ocultar las alarmas de CloudWatch configuradas para el sistema de archivos.• Cambiar el modo de visualización entre Time series (Serie temporal) o Single value (Valor único).• Añadir las métricas mostradas al panel de CloudWatch. Seleccione Add to dashboard (Añadir al

panel) para abrir el panel de CloudWatch.• Ajustar el intervalo de tiempo de las métricas que se muestra de 1 hora a 1 semana.

Para consultar las métricas desde la consola de CloudWatch

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, seleccione Metrics.3. Seleccione el espacio de nombres de EFS.4. (Opcional) Para ver una métrica, escriba su nombre en el campo de búsqueda.5. De manera opcional, para filtrar por dimensión, seleccione FileSystemId.

Para obtener acceso a las métricas desde la AWS CLI

• Utilice el comando list-metrics con el espacio de nombres de --namespace "AWS/EFS". Paraobtener más información, consulte la AWS CLI Command Reference.

Para obtener acceso a las métricas desde la API de CloudWatch

• Llame a GetMetricStatistics. Para obtener más información, consulte Amazon CloudWatch APIReference.

Creación de alarmas de CloudWatch para monitorizarAmazon EFSPuede crear una alarma de CloudWatch que envíe un mensaje de Amazon SNS cuando la alarma cambiede estado. Una alarma vigila una única métrica durante el periodo especificado y realiza una o varias

87

https://console.aws.amazon.com/cloudwatch

https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/list-metrics.html

https://docs.aws.amazon.com/cli/latest/reference/

https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/


Amazon Elastic File System Guía del usuarioCreación de alarmas

acciones en función del valor de la métrica relativo a un determinado umbral durante una serie de periodosde tiempo. La acción es una notificación que se envía a un tema de Amazon SNS o a una política de AutoScaling.

Las alarmas invocan acciones únicamente para los cambios de estado prolongados. Las alarmas deCloudWatch no invocan acciones simplemente por tener un estado determinado. Es necesario que elestado haya cambiado y se mantenga durante un número especificado de períodos.

Un importante uso de alarmas de CloudWatch para Amazon EFS consiste en implementar el cifrado enreposo para su sistema de archivos. Puede habilitar el cifrado en reposo para sistema de archivos deAmazon EFS al crear el sistema. Para aplicar las políticas de cifrado de datos en reposo para sistemasde archivos de Amazon EFS, puede utilizar Amazon CloudWatch y AWS CloudTrail para detectar lacreación de un sistema de archivos y verificar que el cifrado en reposo está habilitado. Para obtenermás información, consulte Tutorial: Aplicar cifrado en reposo a un sistema de archivos de AmazonEFS (p. 144).

Note

En la actualidad, no puede forzar el cifrado en tránsito.

Los siguientes procedimientos describen cómo crear alarmas para Amazon EFS.

Para establecer alarmas utilizando la consola de CloudWatch

1. Inicie sesión en la Consola de administración de AWS y abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

2. Elija Create Alarm. Esto lanza el Create Alarm Wizard (Asistente de creación de alarmas).3. Elija EFS Metrics (Métricas de EFS) y desplácese a través de las métricas de Amazon EFS para

localizar la métrica donde desea colocar una alarma. Para mostrar solo las métricas de AmazonEFS en este cuadro de diálogo, busque el ID del sistema de archivos de su sistema de archivos.Seleccione la métrica para crear una alarma y elija Next (Siguiente).

4. Rellene los valores de Name (Nombre), Description (Descripción) y Whenever (Siempre que) para lamétrica.

5. Si desea que CloudWatch le envíe un correo electrónico cuando se alcance el estado de la alarma,en el campo Whenever this alarm (Siempre que esta alarma), elija State is ALARM (El estado esALARM). En el campo Send notification to: (Enviar notificación a:), elija un tema de SNS. Si seleccionaCreate topic, puede definir el nombre y las direcciones de correo electrónico de una nueva lista desuscripción de correo electrónico. Esta lista se guarda y aparece en el campo para futuras alarmas.

Note

Si utiliza Create topic para crear un nuevo tema de Amazon SNS, debe verificar lasdirecciones de correo electrónico para que reciban notificaciones. Los correos electrónicossolo se envían cuando la alarma entra en estado de alarma. Si este cambio en el estado dela alarma se produce antes de que se verifiquen las direcciones de correo electrónico, noreciben una notificación.

6. En este momento, el área Alarm Preview le ofrece la oportunidad de previsualizar la alarma que está apunto de crear. Elija Create Alarm.

Para configurar una alarma mediante la AWS CLI

• Llame a put-metric-alarm. Para obtener más información, consulte AWS CLI CommandReference.

88

https://console.aws.amazon.com/cloudwatch/


https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/put-metric-alarm.html



Amazon Elastic File System Guía del usuarioUsar cálculos de métricas con Amazon EFS

Para configurar una alarma mediante la API de CloudWatch

• Llame a PutMetricAlarm. Para obtener más información, consulte Amazon CloudWatch APIReference.

Usar cálculos de métricas con Amazon EFSEl uso de cálculos de métricas permite consultar varias métricas de CloudWatch y usar expresionesmatemáticas para crear nuevas series temporales basadas en estas métricas. Puede visualizar la serietemporal resultante en la consola de CloudWatch y agregarla a los paneles. Por ejemplo, puede utilizarmétricas de Amazon EFS para realizar el recuento de muestra de operaciones DataRead dividido por 60.El resultado es el número medio de lecturas por segundo en su sistema de archivos para un determinadoperiodo de 1 minuto. Para obtener más información sobre los cálculos de métricas, consulte Usar loscálculos de métricas en la Guía del usuario de Amazon CloudWatch.

A continuación, hay algunas expresiones matemáticas de métricas útiles para Amazon EFS.

Temas• Cálculos de métricas: Desempeño en MiB/segundo (p. 89)• Cálculos de métricas: Desempeño porcentual (p. 90)• Cálculos de métricas: Porcentaje de utilización de desempeño permitido (p. 90)• Cálculos de métricas: Desempeño de IOPS (p. 91)• Cálculos de métricas: Porcentaje de IOPS (p. 91)• Cálculos de métricas: Tamaño medio de E/S en KiB (p. 92)• Usar cálculos de métricas a través de una plantilla de AWS CloudFormation para Amazon

EFS (p. 92)

Cálculos de métricas: Desempeño en MiB/segundoPara calcular el desempeño medio (en MiB por segundo) para un periodo de tiempo, en primer lugar,elija una estadística de suma (DataReadIOBytes, DataWriteIOBytes, MetadataIOBytes oTotalIOBytes). A continuación, convierta el valor a MiB y divida por el número de segundos del periodo.

Supongamos que la lógica del ejemplo es la siguiente: (suma de TotalIOBytes ÷ 1 048 576 (paraconvertir en MiB)) ÷ segundos en el periodo

A continuación, la información de las métricas de CloudWatch es la siguiente.

ID Métricas usables Estadística Período

m1 • DataReadIOBytes

• DataWriteIOBytes

• MetadataIOBytes

• TotalIOBytes

sum 1 minuto

Su ID de cálculo de métrica y expresión son los siguientes.

ID Expresión

e1 (m1/1048576)/PERIOD(m1)

89

https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html



https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-metric-math.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-metric-math.html


Cálculos de métricas: Desempeño porcentualPara calcular el desempeño porcentual de los distintos tipos de E/S (DataReadIOBytes,DataWriteIOBytes o MetadataIOBytes) para un periodo de tiempo, en primer lugar, multiplique lasrespectivas estadísticas de sumas por 100. A continuación, divida el resultado por la estadística de sumade TotalIOBytes para el mismo periodo.

Supongamos que la lógica del ejemplo es la siguiente: (suma de DataReadIOBytes x 100 (para convertira porcentaje)) ÷ suma de TotalIOBytes


ID Métricas o métricausable

Estadística Período

m1 • TotalIOBytes sum 1 minuto



• MetadataIOBytes

sum 1 minuto


ID Expresión

e1 (m2*100)/m1

Cálculos de métricas: Porcentaje de utilización de desempeñopermitidoPara calcular el porcentaje de utilización del desempeño permitido (TotalIOBytes) de un periodo detiempo, en primer lugar, multiplique el desempeño en MiB/segundo por 100. A continuación, divida elresultado por la estadística de suma de PermittedThroughput convertida a MiB del mismo periodo.

Supongamos que la lógica de ejemplo es la siguiente: (expresión del cálculo de métricas para eldesempeño en MiB/segundo x 100 (para convertir en porcentaje)) ÷ (suma de PermittedThroughput ÷1 048 576 (para convertir bytes en MiB))


ID Métricas o métricausable

Estadística Período

e1 • Throughput inMiB/Second

m1 • PermittedThroughputsum 1 minuto


90


ID Expresión

e2 (e1*100)/(m1/1048576)

Cálculos de métricas: Desempeño de IOPSPara calcular el valor medio de las operaciones por segundo (IOPS) durante un periodo de tiempo, dividala estadística de recuento de muestra (DataReadIOBytes, DataWriteIOBytes, MetadataIOBytes oTotalIOBytes) por el número de segundos en el periodo.

Supongamos que la lógica del ejemplo es la siguiente: recuento de muestra de DataWriteIOBytes ÷segundos en el periodo





• MetadataIOBytes

• TotalIOBytes

recuento de muestra 1 minuto


ID Expresión

e1 m1/PERIOD(m1)

Cálculos de métricas: Porcentaje de IOPSPara calcular el porcentaje de IOPS por segundo de los distintos tipos de E/S (DataReadIOBytes,DataWriteIOBytes o MetadataIOBytes) para un periodo de tiempo, en primer lugar, multiplique lasrespectivas estadísticas de recuento de muestra por 100. A continuación, divida el valor por la estadísticade recuento de muestra de TotalIOBytes para el mismo periodo.

Supongamos que la lógica del ejemplo es la siguiente: (recuento de muestra de MetadataIOBytes x 100(para convertir a porcentaje)) ÷ recuento de muestra de TotalIOBytes



m1 • TotalIOBytes recuento de muestra 1 minuto



• MetadataIOBytes



91

Amazon Elastic File System Guía del usuarioRegistro de llamadas a la API de

Amazon EFS con AWS CloudTrail

ID Expresión

e1 (m2*100)/m1

Cálculos de métricas: Tamaño medio de E/S en KiBPara calcular el tamaño medio de E/S (en KiB) durante un periodo, divida las respectivas estadísticasde suma para la métrica DataReadIOBytes, DataWriteIOBytes o MetadataIOBytes por la mismaestadística de recuento de muestra de esa métrica.

Supongamos que la lógica del ejemplo es la siguiente: (suma de DataReadIOBytes ÷ 1 024 (paraconvertir a KiB)) ÷ recuento de muestra de DataReadIOBytes





• MetadataIOBytes

sum 1 minuto



• MetadataIOBytes



ID Expresión

e1 (m1/1024)/m2

Usar cálculos de métricas a través de una plantilla de AWSCloudFormation para Amazon EFSTambién puede crear expresiones matemáticas de métricas de AWS CloudFormation a través de plantillas.Una de las plantilla está disponible para su descarga y personalización en los Tutoriales de Amazon EFSen GitHub. Para obtener más información acerca del uso de plantillas de AWS CloudFormation, consulteTrabajo con plantillas de AWS CloudFormation en la Guía del usuario de AWS CloudFormation.

Registro de llamadas a la API de Amazon EFS conAWS CloudTrail

Amazon EFS está integrado con AWS CloudTrail, un servicio que proporciona un registro de las accionesrealizadas por un usuario, un rol o un servicio de AWS en Amazon EFS. CloudTrail captura todas lasllamadas a la API de Amazon EFS como eventos, incluidas las llamadas procedentes de la consola deAmazon EFS y las llamadas del código realizadas a las operaciones de API de Amazon EFS.

Si crea un registro de seguimiento, puede habilitar la entrega continua de eventos de CloudTrail a unbucket de Amazon S3, incluidos los eventos de Amazon EFS. Si no configura un registro de seguimiento,

92

https://github.com/aws-samples/amazon-efs-tutorial

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html

Amazon Elastic File System Guía del usuarioInformación de Amazon EFS en CloudTrail

puede ver los eventos más recientes en la consola de CloudTrail en el Event history (Historial de eventos).Mediante la información que recopila CloudTrail, se puede determinar la solicitud que se envió a AmazonEFS, la dirección IP desde la que se realizó la solicitud, quién la realizó, cuándo la realizó y los detallesadicionales.

Para obtener más información sobre CloudTrail, consulte la AWS CloudTrail User Guide.

Información de Amazon EFS en CloudTrailCloudTrail se habilita en una cuenta de AWS al crearla. Cuando se produce una actividad en AmazonEFS, dicha actividad se registra en un evento de CloudTrail junto con los eventos de los demás serviciosde AWS en el Event history (Historial de eventos). Puede ver, buscar y descargar los últimos eventos dela cuenta de AWS. Para obtener más información, consulte Visualización de eventos con el historial deeventos de CloudTrail.

Para mantener un registro continuo de los eventos de la cuenta de AWS, incluidos los eventos de AmazonEFS, cree un registro de seguimiento. Un registro de seguimiento permite a CloudTrail enviar archivos deregistro a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registro de seguimientoen la consola, este se aplica a todas las regiones de AWS. El registro de seguimiento registra los eventosde todas las regiones de AWS de la partición de AWS y envía los archivos de registro al bucket de AmazonS3 especificado. También puede configurar otros servicios de AWS para analizar y actuar en función de losdatos de eventos recopilados en los registros de CloudTrail. Para obtener más información, consulte lossiguientes temas de la AWS CloudTrail User Guide:

• Introducción a la creación de registros de seguimiento• Servicios e integraciones compatibles con CloudTrail• Configuración de notificaciones de Amazon SNS para CloudTrail• Recibir archivos de registro de CloudTrail de varias regiones y Recepción de archivos de registro de

CloudTrail de varias cuentas

CloudTrail registra todas las llamadas a la API (p. 204) de Amazon EFS. Por ejemplo, las llamadas alas operaciones CreateFileSystem, CreateMountTarget y CreateTags generan entradas en losarchivos de registros de CloudTrail.

Cada entrada de registro o evento contiene información acerca de quién generó la solicitud. La informaciónde identidad del usuario le ayuda a determinar lo siguiente:

• Si la solicitud se realizó con credenciales de usuario AWS Identity and Access Management (IAM) ocredenciales de usuario raíz.

• Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.• Si la solicitud la realizó otro servicio de AWS.

Para obtener más información, consulte el elemento userIdentity de CloudTrail en la AWS CloudTrail UserGuide.

Descripción de las entradas de archivos de registro deAmazon EFSUn registro de seguimiento es una configuración que permite la entrega de eventos como archivos deregistro al bucket de Amazon S3 que se especifique. Los archivos de registro de CloudTrail contienenuna o varias entradas de registro. Un evento representa una única solicitud de cualquier origen e incluyeinformación sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud,etcétera. Los archivos de registro de CloudTrail no son un registro de seguimiento de la pila ordenada delas llamadas a la API públicas, por lo que no aparecen en ningún orden específico.

93

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html

Amazon Elastic File System Guía del usuarioDescripción de las entradas de

archivos de registro de Amazon EFS

El siguiente ejemplo muestra una entrada de registro de CloudTrail que muestra la operación CreateTagscuando sea crea una etiqueta para un sistema de archivos desde la consola.

{ "eventVersion": "1.06", "userIdentity": { "type": "Root", "principalId": "111122223333", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-01T18:02:37Z" } } }, "eventTime": "2017-03-01T19:25:47Z", "eventSource": "elasticfilesystem.amazonaws.com", "eventName": "CreateTags", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "console.amazonaws.com", "requestParameters": { "fileSystemId": "fs-00112233", "tags": [{ "key": "TagName", "value": "AnotherNewTag" } ] }, "responseElements": null, "requestID": "dEXAMPLE-feb4-11e6-85f0-736EXAMPLE75", "eventID": "eEXAMPLE-2d32-4619-bd00-657EXAMPLEe4", "eventType": "AwsApiCall", "apiVersion": "2015-02-01", "recipientAccountId": "111122223333"}

El siguiente ejemplo muestra una entrada de registro de CloudTrail que muestra la acción DeleteTagscuando sea elimina una etiqueta para un sistema de archivos desde la consola.

{ "eventVersion": "1.06", "userIdentity": { "type": "Root", "principalId": "111122223333", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-01T18:02:37Z" } } }, "eventTime": "2017-03-01T19:25:47Z", "eventSource": "elasticfilesystem.amazonaws.com", "eventName": "DeleteTags", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0",

94



"userAgent": "console.amazonaws.com", "requestParameters": { "fileSystemId": "fs-00112233", "tagKeys": [] }, "responseElements": null, "requestID": "dEXAMPLE-feb4-11e6-85f0-736EXAMPLE75", "eventID": "eEXAMPLE-2d32-4619-bd00-657EXAMPLEe4", "eventType": "AwsApiCall", "apiVersion": "2015-02-01", "recipientAccountId": "111122223333"}

Entradas de registro para roles vinculados al servicio EFSEl rol vinculado al servicio Amazon EFS realiza llamadas API a recursos de AWS. Verá entradas deregistro CloudTrail con username: AWSServiceRoleForAmazonElasticFileSystem para lasllamadas realizadas por el rol vinculado al servicio EFS. Para obtener más información acerca de EFS yroles vinculados a servicios, consulte Uso del rol vinculado a un servicio Amazon EFS (p. 169).

En el ejemplo siguiente se muestra una entrada de registro CloudTrail que muestra una acciónCreateServiceLinkedRole cuando se crea la función Amazon EFS vinculada al servicioAWSServiceRoleForAmazonElasticFileSystem.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "111122223333", "arn": "arn:aws:iam::111122223333:user/user1", "accountId": "111122223333", "accessKeyId": "A111122223333", "userName": "user1", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2019-10-23T22:45:41Z" } }, "invokedBy": "elasticfilesystem.amazonaws.com” }, "eventTime": "2019-10-23T22:45:41Z", "eventSource": "iam.amazonaws.com", "eventName": "CreateServiceLinkedRole", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "user_agent", "requestParameters": { "aWSServiceName": "elasticfilesystem.amazonaws.com” }, "responseElements": { "role": { "assumeRolePolicyDocument": "111122223333-10-111122223333Statement111122223333Action111122223333AssumeRole111122223333Effect%22%3A%20%22Allow%22%2C%20%22Principal%22%3A%20%7B%22Service%22%3A%20%5B%22 elasticfilesystem.amazonaws.com%22%5D%7D%7D%5D%7D", "arn": "arn:aws:iam::111122223333:role/aws-service-role/elasticfilesystem.amazonaws.com/AWSServiceRoleForAmazonElasticFileSystem", "roleId": "111122223333", "createDate": "Oct 23, 2019 10:45:41 PM", "roleName": "AWSServiceRoleForAmazonElasticFileSystem", "path": "/aws-service-role/elasticfilesystem.amazonaws.com/“

95



} }, "requestID": "11111111-2222-3333-4444-abcdef123456", "eventID": "11111111-2222-3333-4444-abcdef123456", "eventType": "AwsApiCall", "recipientAccountId": "111122223333"}

En el ejemplo siguiente se muestra una entrada de registro CloudTrail que muestrauna acción CreateNetworkInterface realizada por el rol vinculado del servicioAWSServiceRoleForAmazonElasticFileSystem, que se indica en el sessionContext.

{ "eventVersion": "1.05", "userIdentity": { "type": "AssumedRole", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:sts::0123456789ab:assumed-role/AWSServiceRoleForAmazonElasticFileSystem/0123456789ab", "accountId": "0123456789ab", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::0123456789ab:role/aws-service-role/elasticfilesystem.amazonaws.com/AWSServiceRoleForAmazonElasticFileSystem", "accountId": "0123456789ab", "userName": "AWSServiceRoleForAmazonElasticFileSystem" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2019-10-23T22:50:05Z" } }, "invokedBy": "AWS Internal" }, "eventTime": "20You 19-10-23T22:50:05Z", "eventSource": "ec2.amazonaws.com", "eventName": "CreateNetworkInterface", "awsRegion": "us-east-1", "sourceIPAddress": "elasticfilesystem.amazonaws.com”, "userAgent": "elasticfilesystem.amazonaws.com", "requestParameters": { "subnetId": "subnet-71e2f83a", "description": "EFS mount target for fs-1234567 (fsmt-1234567)", "groupSet": {}, "privateIpAddressesSet": {} }, "responseElements": { "requestId": "0708e4ad-03f6-4802-b4ce-4ba987d94b8d", "networkInterface": { "networkInterfaceId": "eni-0123456789abcdef0", "subnetId": "subnet-12345678", "vpcId": "vpc-01234567", "availabilityZone": "us-east-1b", "description": "EFS mount target for fs-1234567 (fsmt-1234567)", "ownerId": "666051418590", "requesterId": "0123456789ab", "requesterManaged": true, "status": "pending", "macAddress": "00:bb:ee:ff:aa:cc", "privateIpAddress": "192.0.2.0", "privateDnsName": "ip-192-0-2-0.ec2.internal",

96



"sourceDestCheck": true, "groupSet": { "items": [ { "groupId": "sg-c16d65b6", "groupName": "default" } ] }, "privateIpAddressesSet": { "item": [ { "privateIpAddress": "192.0.2.0", "primary": true } ] }, "tagSet": {} } }, "requestID": "11112222-3333-4444-5555-666666777777", "eventID": "aaaabbbb-1111-2222-3333-444444555555", "eventType": "AwsApiCall", "recipientAccountId": "111122223333"}

Entradas de registro para la autenticación IAM de EFSLa autorización IAM de Amazon EFS para clientes de NFS emite eventos CloudTrailNewClientConnection y UpdateClientConnection. Se emite un evento NewClientConnectioncuando se autoriza una conexión inmediatamente después de una conexión inicial e inmediatamentedespués de una reconexión. UpdateClientConnection se emite cuando se reautoriza una conexióny la lista de acciones permitidas ha cambiado. También se emite cuando la nueva lista de accionespermitidas no incluye ClientMount. Para obtener más información acerca de la autorización IAM de EFS,consulte Uso de IAM para controlar el acceso de NFS a Amazon EFS (p. 166).

El ejemplo siguiente contiene una entrada del registro de CloudTrail donde se muestra un eventoNewClientConnection.

{ "eventVersion": "1.05", "userIdentity": { "type": "AssumedRole", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:sts::0123456789ab:assumed-role/abcdef0123456789", "accountId": "0123456789ab", "accessKeyId": "AKIAIOSFODNN7EXAMPLE ", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::0123456789ab:role/us-east-2", "accountId": "0123456789ab", "userName": "username" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2019-12-23T17:50:16Z" }, "ec2RoleDelivery": "1.0" }

97

Amazon Elastic File System Guía del usuarioEntradas de archivos de registro de Amazon EFS

para sistemas de archivos cifrados en reposo

}, "eventTime": "2019-12-23T18:02:12Z", "eventSource": "elasticfilesystem.amazonaws.com", "eventName": "NewClientConnection", "awsRegion": "us-east-2", "sourceIPAddress": "AWS Internal", "userAgent": "elasticfilesystem", "requestParameters": null, "responseElements": null, "eventID": "27859ac9-053c-4112-aee3-f3429719d460", "readOnly": true, "resources": [ { "accountId": "0123456789ab", "type": "AWS::EFS::FileSystem", "ARN": "arn:aws:elasticfilesystem:us-east-2:0123456789ab:file-system/fs-01234567" }, { "accountId": "0123456789ab", "type": "AWS::EFS::AccessPoint", "ARN": "arn:aws:elasticfilesystem:us-east-2:0123456789ab:access-point/fsap-0123456789abcdef0" } ], "eventType": "AwsServiceEvent", "recipientAccountId": "0123456789ab", "serviceEventDetails": { "permissions": { "ClientRootAccess": true, "ClientMount": true, "ClientWrite": true }, "sourceIpAddress": "10.7.3.72" }}

Entradas de archivos de registro de Amazon EFS parasistemas de archivos cifrados en reposoAmazon EFS brinda la opción de utilizar el cifrado en reposo, en tránsito o ambos para los sistemas dearchivos. Para obtener más información, consulte Cifrado de datos en EFS (p. 150).

Si utiliza un sistema de archivos cifrados en reposo, las llamadas que hace Amazon EFS en su nombreaparecen en sus registros de AWS CloudTrail como procedentes de una cuenta propiedad de AWS. Si veuno de los siguientes ID de cuenta en los registros de CloudTrail, según la región de AWS en la que sehaya creado el sistema de archivos, este ID será propiedad del servicio de Amazon EFS.

Región de AWS ID de la cuenta

EE.UU. Este (Ohio) 771736226457

US East (N. Virginia) 055650462987

EE.UU. Oeste (Norte deCalifornia)

208867197265

EE.UU. Oeste (Oregón) 736298361104

África (Ciudad del Cabo) 855919597013

98

Amazon Elastic File System Guía del usuarioEntradas de archivos de registro de Amazon EFS

para sistemas de archivos cifrados en reposo

Región de AWS ID de la cuenta

Asia Pacífico (Hong Kong) 832882505983

Asia Pacífico (Mumbai) 063610658798

Asia Pacífico (Seúl) 518632624599

Asia Pacífico (Singapur) 448676862907

Asia Pacífico (Sídney) 288718191711

Asia Pacífico (Tokio) 620757817088

Canadá (Central) 838331228873

China (Pekín) 365623262523

China (Ningxia) 361049930386

Europa (Fráncfort) 992038834663

Europa (Irlanda) 805538244694

Europa (Londres) 838331228873

Europa (Milán) 393586363892

Europa (París) 063566772258

Europa (Estocolmo) 030059730498

Medio Oriente (Baréin) 545970776878

América del Sur (SãoPaulo)

041656882570

AWS GovCloud (EE.UU.Este)

167972735943

AWS GovCloud (US-West) 174619389399

Contexto de cifrado de Amazon EFS para el cifrado en reposoAmazon EFS envía el contexto de cifrado al hacer solicitudes de la API de AWS KMS para generar clavesde datos y para descifrar datos de Amazon EFS. El ID del sistema de archivos es el contexto de cifradopara todos los sistemas de archivos que se cifran en reposo. En el campo requestParameters de unaentrada de registro de CloudTrail, el contexto de cifrado es similar al siguiente.

"EncryptionContextEquals": {}"aws:elasticfilesystem:filesystem:id" : "fs-4EXAMPLE"

99

https://docs.aws.amazon.com/kms/latest/developerguide/encryption-context.html

Amazon Elastic File System Guía del usuarioInformación general sobre desempeño

Rendimiento de Amazon EFSA continuación, encontrará información general sobre el rendimiento de Amazon EFS y una explicaciónde los modos de rendimiento y desempeño disponibles, así como algunos consejos útiles sobre elrendimiento.

Información general sobre desempeñoLos sistemas de archivos Amazon EFS se distribuyen a través de un número sin restricciones deservidores de almacenamiento. Este diseño de almacenamiento de datos distribuido permite que lossistemas de archivos crezcan de manera elástica escalando hasta petabytes y permite un acceso masivoen paralelo desde las instancias Amazon EC2 hasta los datos. El diseño distribuido de Amazon EFS evitalos atascos y las restricciones inherentes a los servidores de archivos tradicionales.

Este diseño de almacenamiento de datos distribuido significa que las aplicaciones multiproceso y lasque acceden simultáneamente a datos desde varias instancias Amazon EC2 pueden generar nivelesconsiderables de capacidad de proceso total e IOPS. Las cargas de trabajo de análisis y big data, los flujosde trabajo de procesamiento de contenido multimedia, la administración de contenido y los servicios webson ejemplos de estas aplicaciones.

Además, los datos de Amazon EFS se distribuyen en varias zonas de disponibilidad, proporcionando unalto nivel de durabilidad y disponibilidad. Las siguientes tablas comparan el desempeño de alto nivel y lascaracterísticas de almacenamiento para servicios de almacenamiento en la nube de archivos y bloques deAmazon.

Comparación de rendimiento, Amazon EFS y Amazon EBS

Amazon EFS IOPS provisionadas de Amazon EBS

Latencia poroperación

Latencia coherente, baja. Latencia coherente, más baja.

Escala de desempeño Más de 10 GB por segundo. Hasta 2 GB por segundo.

Comparación de características de almacenamiento, Amazon EFS y Amazon EBS

Amazon EFS IOPS provisionadas de Amazon EBS

Disponibilidad ydurabilidad

Los datos se almacenan de formaredundante en varias zonas dedisponibilidad.

Los datos se almacenan de formaredundante en una única zona dedisponibilidad.

Acceso Hasta miles de instanciasAmazon EC2, de varias zonas dedisponibilidad, se pueden conectarsimultáneamente a un sistema dearchivos.

Una sola instancia Amazon EC2 enuna única zona de disponibilidadse puede conectar a un sistema dearchivos.

Casos de uso Análisis y big data, flujos de trabajode procesamiento de contenidomultimedia, administración decontenido, servicios web y directoriosprincipales.

Volúmenes de start-up, bases dedatos transaccionales y NoSQL,almacenamiento de datos y ETL.

100

Amazon Elastic File System Guía del usuarioCasos de uso de Amazon EFS

La naturaleza distribuida de Amazon EFS permite obtener altos niveles de disponibilidad, durabilidad yescalabilidad. Esta arquitectura distribuida da lugar a un costo de latencia pequeño por cada operacióncon archivos. Debido a esta latencia por operación, el desempeño global suele aumentar a la par queel tamaño medio de E/S, porque el costo se amortiza con la mayor cantidad de datos. Amazon EFSes compatible con cargas de trabajo muy paralelizadas (por ejemplo, con operaciones simultáneasdesde varios subprocesos y varias instancias Amazon EC2), lo que permite obtener niveles elevados decapacidad de proceso total y operaciones por segundo.

Casos de uso de Amazon EFSAmazon EFS está diseñado para satisfacer las necesidades de desempeño de los siguientes casos deuso.

Big data y análisisAmazon EFS ofrece la escala y desempeño requeridos para aplicaciones de big data que requieren undesempeño elevado para nodos de computación acoplados con coherencia de lectura tras escritura yoperaciones de archivo de baja latencia.

Flujos de trabajo de procesamiento multimediaLos flujos de trabajo multimedia como la edición de vídeo, producción de estudio, procesamiento dedifusión, diseño de sonido y renderizado suelen depender del almacenamiento compartido para manipulararchivos grandes. Un modelo de consistencia de datos sólido con una desempeño elevado y acceso aarchivos compartido puede reducir el tiempo que tardan en realizarse estas tareas y consolidar variosrepositorios de archivos locales en una única ubicación para todos los usuarios.

Administración de contenido y servicios webAmazon EFS ofrece un sistema de archivos de desempeño elevado y duradero para sistemas deadministración de contenido que almacenan y sirven información para diversas aplicaciones como sitiosweb, publicaciones online y archivos.

Directorios de inicioAmazon EFS puede proporcionar almacenamiento para organizaciones que tengan muchos usuariosque necesitan acceso y compartan conjuntos de datos comunes. Un administrador puede utilizar AmazonEFS para crear un sistema de archivos accesible al personal a través de una organización y establecerpermisos para usuarios y grupos en el nivel de archivo o de directorio.

Modos de rendimientoPara ofrecer compatibilidad con una amplia variedad de cargas de trabajo de almacenamiento en la nube,Amazon EFS ofrece dos modos de desempeño. El modo de desempeño de un sistema de archivos seelige cuando se crea.

Los dos modos de desempeño no tienen costos adicionales, por lo que el sistema de archivos deAmazon EFS se factura y se mide igual, independientemente del modo de desempeño. Para obtener másinformación sobre los límites de sistemas de archivos, consulte Cuotas para los sistemas de archivos deAmazon EFS (p. 187).

101

Amazon Elastic File System Guía del usuarioModo de desempeño de uso general

Note

El modo de desempeño de un sistema de archivos de Amazon EFS no se puede cambiar despuésde haber creado el sistema de archivos.

Modo de desempeño de uso generalLe recomendamos el modo de desempeño de uso general para la mayoría de sus sistemas de archivosde Amazon EFS. El uso general es ideal para casos de uso que dependen de la latencia, como entornosde servidores web, sistemas de administración de contenido, directorios de inicio y servicios de archivosgenerales. Si no elige un modo de desempeño al crear su sistema de archivos, Amazon EFS selecciona elmodo de uso general por usted de forma predeterminada.

Modo de desempeño de E/S máx.Los sistemas de archivos en el modo E/S máxima se pueden escalar a niveles superiores de rendimientoagregado y operaciones por segundo. Este escalado se realiza con un intercambio de latenciasligeramente superiores para las operaciones de archivos de metadatos. Las aplicaciones y cargas detrabajo muy paralelizadas, como los de análisis de big data, procesamiento de archivos multimedia yanálisis de genómica, se pueden beneficiar de este modo.

Uso del modo de rendimiento correctoNuestra recomendación para determinar qué tipo de desempeño debe usar es la siguiente:

1. Cree un nuevo sistema de archivos (p. 13) mediante el modo de rendimiento de uso generalpredeterminado.

2. Ejecute la aplicación (o un caso de uso similar a la aplicación) durante un periodo de tiempo para probarsu desempeño.

3. Supervise el métrica PercentIOLimit (p. 83) de Amazon CloudWatch para Amazon EFS durante laprueba de rendimiento. Para obtener más información acerca de cómo obtener acceso a esta y a otrasmétricas, consulte Métricas de Amazon CloudWatch (p. 81).

Si el porcentaje de PercentIOLimit devuelto era del 100 por ciento o un valor próximo para unacantidad de tiempo significativa durante la prueba, su aplicación debería utilizar el modo de desempeño deE/S máxima. De lo contrario, debería utilizar el modo de uso general.

Para pasar a otro modo de desempeño, migre los datos a otro sistema de archivos que se creara en el otromodo de desempeño. Puede utilizar DataSync para transferir archivos entre dos sistemas de archivos deEFS. Para obtener más información, consulte Transferir datos a Amazon EFS (p. 58).

Algunas cargas de trabajo sensibles a la latencia requieren los niveles de E/S más altos proporcionadospor el modo de desempeño de E/S máximo y la latencia más baja proporcionada por el modo dedesempeño de uso general. Para este tipo de carga de trabajo, recomendamos crear varios sistemas dearchivos en modo de desempeño de uso general. En este caso, le recomendamos que distribuya la cargade trabajo de la aplicación entre todos estos sistemas de archivos, siempre que la carga de trabajo y lasaplicaciones lo admitan.

Al adoptar este enfoque, puede crear un sistema de archivos lógico y fragmentar datos en varios sistemasde archivos de EFS. Cada sistema de archivos se monta como un subdirectorio y su aplicación puedeobtener acceso a estos subdirectorios en paralelo. Este enfoque permite que las cargas de trabajosensibles a la latencia se escalen a niveles superiores de operaciones del sistema de archivos porsegundo, agregadas en varios sistemas de archivos. Al mismo tiempo, estas cargas de trabajo puedenaprovechar las latencias más bajas que ofrecen los sistemas de archivos del modo de desempeño de usogeneral.

102

Amazon Elastic File System Guía del usuarioModos de desempeño

Modos de desempeñoExisten dos modos de desempeño entre los que elegir para su sistema de archivos: desempeño porráfagas y aprovisionado. Con el modo Rendimiento por ráfagas, el rendimiento de Amazon EFS se escalacuando aumenta el tamaño del sistema de archivos en la clase de almacenamiento estándar. Para obtenermás información acerca de las clases de almacenamiento de EFS, consulte Clases de almacenamiento deEFS (p. 58). Con el modo Desempeño aprovisionado, puede aprovisionar al instante el desempeño de susistema de archivos (en MiB/s), independientemente de la cantidad de datos almacenados.

Note

Puede reducir el desempeño del sistema de archivos en el modo aprovisionado, siempre quehayan transcurrido más de 24 horas desde la última disminución. Además, puede cambiar entreel modo de desempeño aprovisionado y el modo de desempeño por ráfagas predeterminado,siempre que hayan transcurrido más de 24 horas desde el último cambio del modo dedesempeño.

Escalado de desempeño con el modo por ráfagasCon el modo Rendimiento por ráfagas, el rendimiento de Amazon EFS se escala cuando aumenta elsistema de archivos en la clase de almacenamiento estándar. Las cargas de trabajo basadas en archivossuelen presentar picos, lo que genera altos niveles de desempeño durante periodos de tiempo breves ybajos niveles de desempeño el resto del tiempo. Para adaptarse a estas condiciones, Amazon EFS se hadiseñado para transmitir por ráfagas altos niveles de desempeño durante periodos de tiempo.

Todos los sistemas de archivos, con independencia de su tamaño, pueden transmitir por ráfagas hasta100 MB/s de desempeño. Los que tienen más de 1 TiB en la clase de almacenamiento estándar puedenaumentar hasta 100 MiB/s por TiB de datos almacenados en el sistema de archivos. Por ejemplo, unsistema de archivos de 10 TiB pueden transmitir por ráfagas hasta 1000 MiB/s de desempeño (10 TiBx 100 MiB/s/TiB). La parte de tiempo que un sistema de archivos puede transmitir por ráfagas sedetermina por su tamaño. El modelo de transmisión por ráfagas se ha diseñado para que las cargas detrabajo típicas del sistema de archivos puedan transmitir por ráfagas prácticamente en cualquier momentoque sea necesario. Para los sistemas de archivos con el modo de rendimiento por ráfagas, la velocidadpermitida se determina en función de la cantidad de datos almacenados únicamente en la clase dealmacenamiento Estándar. Para obtener más información acerca de las clases de almacenamiento deEFS, consulte Clases de almacenamiento de EFS (p. 58).

Amazon EFS utiliza un sistema de crédito para determinar cuándo pueden transmitir por ráfagas lossistemas de archivos. Cada sistema de archivos obtiene créditos a lo largo del tiempo a una tasainicial que se determina en función del tamaño del sistema de archivos que está almacenado en laclase de almacenamiento estándar. Un sistema de archivos utiliza estos créditos cuando lee o escribedatos. La tasa inicial es de 50 MiB/s por TiB de almacenamiento (equivalente a 50 KiB/s por GiB dealmacenamiento).

Los créditos de ráfaga acumulados ofrecen al sistema de archivos la capacidad para incrementar eldesempeño por encima de su tasa inicial. Un sistema de archivos puede incrementar el desempeño deforma continua a su tasa inicial y cuando está inactivo o el desempeño está por debajo de su tasa inicial, elsistema de archivos acumula créditos de ráfaga.

Por ejemplo, un sistema de archivos de 100 GiB puede transmitir por ráfagas (a 100 MiB/s) durante el 5por ciento del tiempo si está inactivo el 95 por ciento restante. En un periodo de 24 horas, el sistema dearchivos gana crédito por un valor de 432 000 MiBs, que se puede utilizar para transmitir por ráfagas a 100MiB/s durante 72 minutos.

Los sistemas de archivos mayores de 1 TiB siempre puedan transmitir por ráfagas hasta un 50 por cientodel tiempo si están inactivos el 50 por ciento restante.

103

Amazon Elastic File System Guía del usuarioTransmisión por ráfagas

La siguiente tabla ofrece ejemplos de comportamiento de transmisión por ráfagas.

Tamaño del sistema de archivos Desempeño total de lectura/escritura

Un sistema de archivos de 100GiB puede...

• Transmitir por ráfagas hasta 100 MB/s durante un máximo de 72minutos al día o

• Llegar hasta 5 MB/s de manera continuada

Un sistema de archivos de 1 TiBpuede...

• Transmitir por ráfagas a 100 MiB/s durante 12 horas al día o• Llegar a 50 MB/s de manera continuada

Un sistema de archivos de 10 TiBpuede...

• Transmitir por ráfagas a 1 GiB/s durante 12 horas al día o• Llegar a 500 MB/s de manera continuada

Por lo general, un sistema dearchivos de mayor tamañopuede...

• Transmitir por ráfagas a 100 MiB/s por TiB de almacenamientodurante 12 horas al día, o

• Llegar a 50 MiB/s por TiB de almacenamiento de forma continua

Note

El tamaño mínimo del sistema de archivos que se utiliza a la hora de calcular la tasa inicial es de1 GiB, de modo que todos los sistemas de archivos tienen una tasa inicial de al menos 50 KiB/s.El tamaño del sistema de archivos utilizado a la hora de determinar la tasa inicial y latasa de ráfaga es el mismo que el tamaño medido disponibles a través de la operaciónDescribeFileSystems.Los sistemas de archivos pueden obtener hasta un saldo de crédito máximo de 2,1 TiB parasistemas de archivos de tamaño inferior a 1 TiB o de 2,1 TiB por TiB almacenado para sistemasde archivos mayores de 1 TiB. Este concepto implica que los sistemas de archivos puedenacumular créditos suficientes para transmitir por ráfagas de forma continua durante un máximo de12 horas.

La tabla siguiente proporciona ejemplos más detallados del comportamiento de transmisión por ráfagas desistemas de archivos de diferentes tamaños.

Tamaño delsistema dearchivos (GiB)

Desempeño totalbase (MiB/s)

Desempeño totalpor ráfaga (MiB/s)

Duración de ráfagamáxima (Min/Día)

% de tiempo queel sistema dearchivos puedetransmitir porráfaga (al día)

10 0,5 100 7.2 0,5%

256 12,5 100 180 12,5%

512 25.0 100 360 25,0%

1024 50.0 100 720 50,0 %

1536 75.0 150 720 50,0 %

2048 100.0 200 720 50,0 %

3072 150.0 300 720 50,0 %

4096 200.0 400 720 50,0 %

104

Amazon Elastic File System Guía del usuarioDesempeño provisionado

Note

Tal como se ha mencionado anteriormente, los nuevos sistemas de archivos disponen de unsaldo de créditos de ráfaga inicial de 2,1 TiB. Con este saldo de partida, puede transmitir porráfagas a 100 MB/s durante 6,12 horas sin gastar ningún crédito que haya ganado con sualmacenamiento. Esta fórmula inicial se calcula como 2.1 x 1024 x (1024/100/3600) paraobtener 6,116 horas, redondeadas a 6,12.

Administración de créditos de ráfagasCuando un sistema de archivos tiene un saldo de créditos de ráfaga positivo, puede transmitir por ráfagas.Puede consultar el saldo de créditos de ráfaga para un sistema de archivos consultando la métricaBurstCreditBalance de Amazon CloudWatch para Amazon EFS. Para obtener más información acercade cómo obtener acceso a esta y otras métricas, consulte Monitorización de Amazon EFS (p. 81).

La capacidad de ráfaga (tanto en términos de duración de tiempo como de tasa de ráfaga) de un sistemade archivos está directamente relacionada con su tamaño. Los sistemas de archivos más grandes puedentransmitir por ráfagas a tasas mayores durante períodos más largos. En algunos casos, es posible quela aplicación necesite transmitir por ráfagas más (es decir, es posible que su sistema de archivos se estéquedando sin créditos de ráfaga). En estos casos, debería aumentar el tamaño del sistema de archivos, obien cambiar al modo de desempeño aprovisionado.

Utilice los patrones de desempeño históricos para calcular el tamaño del sistema de archivos que necesitapara mantener el nivel de actividad que quiere. Los pasos siguientes describen cómo hacerlo:

Para calcular el tamaño del sistema de archivos que necesita para mantener la actividad de nivelque desea

1. Identifique sus necesidades de desempeño atendiendo a su historial de uso. Desde la consola deAmazon CloudWatch, marque la estadística sum de la métrica TotalIOBytes con agregación diaria,durante los últimos 14 días. Identifique el día con el mayor valor para TotalIOBytes.

2. Divida este número por 24 horas, 60 minutos, 60 segundos y 1 024 bytes para obtener el valor mediode KiB/segundo que la aplicación necesitó ese día.

3. Calcule el tamaño del sistema de archivos (en GiB) necesario para mantener este desempeño mediodividiendo la cifra de desempeño media (en KiB/s) por la cifra de desempeño de referencia (50 KiB/s/GiB) que proporciona EFS.

Especificación del desempeño con el modoaprovisionadoEl modo de desempeño aprovisionado está disponible para aplicaciones con alta proporción dedesempeño por almacenamiento (MiB/s por TiB) o con requisitos mayores que lo que permite el modode desempeño por ráfagas. Por ejemplo, supongamos que utiliza Amazon EFS para herramientas dedesarrollo, servicios web o aplicaciones de administración de contenido en los que la cantidad de datos ensu sistema de archivos es baja en relación con las demandas de desempeño. Ahora el sistema de archivospuede obtener los altos niveles de desempeño que requieren sus aplicaciones sin tener que dejar margenen el sistema de archivos.

Existen cargos adicionales asociados con el uso del modo de desempeño aprovisionado. Con el modode rendimiento provisionado, se le facturará por el almacenamiento que utilice y por el rendimiento queaprovisione por encima de lo que se le ha proporcionado. El volumen de rendimiento que se le proporcionese basa en la cantidad de datos almacenados en la clase de almacenamiento Estándar. Para obtener másinformación acerca de las clases de almacenamiento de EFS, consulte Clases de almacenamiento deEFS (p. 58). Para obtener más información acerca de los precios, consulte Precios de Amazon EFS.

105




Amazon Elastic File System Guía del usuarioUso del modo de desempeño correcto

Los límites de desempeño siguen siendo los mismos, independientemente del modo de desempeño queelija. Para obtener más información sobre estos límites, consulte Cuotas de Amazon EFS que puedeincrementar (p. 185).

Si el sistema de archivos se encuentra en el modo de desempeño aprovisionado, puede aumentar eldesempeño aprovisionado de su sistema de archivos con la frecuencia que desee. Puede reducir eldesempeño del sistema de archivos en el modo aprovisionado, siempre que hayan transcurrido más de 24horas desde la última disminución. Además, puede cambiar entre el modo de desempeño aprovisionadoy el modo de desempeño por ráfagas predeterminado, siempre que hayan transcurrido más de 24 horasdesde el último cambio del modo de desempeño.

Si el tamaño medido del sistema de archivos proporciona una mayor tasa inicial que la cantidad dedesempeño que ha aprovisionado, su sistema de archivos sigue el modelo predeterminado de desempeñopor ráfagas de Amazon EFS. No se incurren en gastos por el desempeño aprovisionado por debajo de laconcesión del sistema de archivos en el modo de desempeño por ráfagas. Para obtener más información,consulte Escalado de desempeño con el modo por ráfagas (p. 103).

Uso del modo de desempeño correctoDe forma predeterminada, le recomendamos que ejecute la aplicación en el modo de desempeñopor ráfagas. Si tiene problemas de rendimiento, compruebe la métrica de BurstCreditBalanceCloudWatch. Si el valor de la métrica de BurstCreditBalance es cero o desciende de forma uniforme,el desempeño aprovisionado es el adecuado para su aplicación.

En algunos casos, el sistema de archivos podría ejecutarse en modo de desempeño aprovisionado singenerar ningún problema de rendimiento. Sin embargo, al mismo tiempo, su BurstCreditBalanceaumenta continuamente durante largos períodos de operaciones normales. En ese caso, baraje laposibilidad de reducir la cantidad de desempeño aprovisionado para reducir costes.

Si tiene previsto migrar grandes cantidades de datos a su sistema de archivos, baraje la posibilidad decambiar al modo de desempeño aprovisionado. En este caso, puede aprovisionar un desempeño superiora su capacidad de ráfaga asignada para acelerar la carga de datos. Tras la migración, baraje la posibilidadde reducir la cantidad de desempeño aprovisionado o de cambiar al modo de desempeño por ráfagas paralas operaciones normales.

Compare el desempeño medio al que dirige el sistema de archivos con lamétricaPermittedThroughput. Si el desempeño medio calculado al que está dirigiendo el sistema dearchivos es inferior al permitido, baraje la posibilidad de cambiar el desempeño para reducir costes.

En algunos casos, el desempeño medio calculado durante las operaciones normales puede ser igual oinferior a la relación entre el desempeño de referencia y la capacidad de almacenamiento en el modo dedesempeño por ráfagas. Esa relación es de 50 MiB/s por TiB de datos almacenados. En estos casos,baraje la posibilidad de cambiar al modo de desempeño por ráfagas. En otros casos, el desempeño mediocalculado durante las operaciones normales podría estar por encima de esta relación. En estos casos,baraje la posibilidad de reducir el desempeño aprovisionado a un punto entre el desempeño aprovisionadoactual y el desempeño medio calculado durante las operaciones normales.

Puede cambiar el modo de desempeño de su sistema de archivos con el Consola de administración deAWS, el AWS CLI o la API de EFS. Con la CLI, utilice la acción update-file-system. Con la API deEFS, utilice la operación UpdateFileSystem (p. 287).

Note

Tal como se ha mencionado anteriormente, los nuevos sistemas de archivos disponen de unsaldo de créditos de ráfaga inicial de 2,1 TB. Con este saldo de partida, puede transmitir porráfagas a 100 MB/s durante 6,12 horas sin gastar ningún crédito que haya ganado con sualmacenamiento. Esta fórmula inicial se calcula como 2.1 x 1024 x (1024/100/3600) paraobtener 6,116 horas, redondeadas a 6,12.

106

Amazon Elastic File System Guía del usuarioConsideraciones de capacidad de desempeño on-premise

Consideraciones de capacidad de desempeño on-premise

El modelo de desempeño por ráfagas para sistemas de archivos de Amazon EFS es el mismo tanto siaccede desde los servidores locales como desde las instancias Amazon EC2. Sin embargo, cuando seaccede a los datos de archivos de Amazon EFS desde los servidores locales, el desempeño máximotambién está limitado por el ancho de banda de la conexión de AWS Direct Connect.

Debido al retraso de propagación vinculado al recorrido de larga distancia de los datos, la latencia de redde una conexión de AWS Direct Connect entre su centro de datos local y la Amazon VPC puede ser dedecenas de milisegundos. Si las operaciones de archivos se organizan en serie, la latencia de la conexiónde AWS Direct Connect afecta directamente al desempeño de lectura y escritura. En esencia, el volumende datos que se pueden leer o escribir durante un periodo de tiempo viene limitado por la cantidad detiempo que tarda en completarse cada operación de lectura y escritura. Para maximizar el desempeño,paralelice sus operaciones de archivo de modo que Amazon EFS procese simultáneamente varias lecturasy escrituras. Herramientas estándar como GNU paralelo le permiten paralelizar la copia de datos dearchivo.

Diseño de alta disponibilidadPara garantizar una disponibilidad continua entre su centro de datos local y su Amazon VPC, lerecomendamos configurar dos conexiones de AWS Direct Connect. Para obtener más información,consulte Paso 4: Configurar conexiones redundantes con AWS Direct Connect en la Guía del usuario deAWS Direct Connect.

Para garantizar una disponibilidad continua entre su aplicación y Amazon EFS, le recomendamos diseñarla aplicación para recuperarse de posibles interrupciones de conexión. En general, existen dos escenariospara aplicaciones on-premise conectadas a un sistema de archivos de Amazon EFS, de alta disponibilidady no de alta disponibilidad.

En el primero, la aplicación está altamente disponible y utiliza varios servidores locales en su clúster dealta disponibilidad. En este caso, asegúrese de que cada servidor local en el clúster de alta disponibilidadse conecta a un destino de montaje en una zona de disponibilidad diferente en la Amazon VPC. Si elservidor local no puede obtener acceso al destino de montaje porque la zona de disponibilidad en la queexiste el destino de montaje no está disponible, la aplicación debería aplicar la conmutación por error a unservidor con un destino de montaje disponible.

En el segundo, la aplicación no es altamente disponible y su servidor local no puede obtener accesoal destino de montaje, ya que la zona de disponibilidad en la que existe el destino de montaje no estádisponible. En este caso, la aplicación debería implementar la lógica de reinicio y conectarse a un destinode montaje en una zona de disponibilidad diferente.

Consejos de rendimiento de Amazon EFSCuando se utiliza Amazon EFS tenga en cuenta los siguientes consejos de desempeño:

• Tamaño medio de E/S: la naturaleza distribuida de Amazon EFS permite obtener altos niveles dedisponibilidad, durabilidad y escalabilidad. Esta arquitectura distribuida da lugar a un costo de latenciapequeño por cada operación con archivos. Debido a esta latencia por operación, el desempeño globalsuele aumentar a la par que el tamaño medio de E/S, porque el costo se amortiza con la mayor cantidadde datos.

• Conexiones simultáneas: los sistemas de archivos de Amazon EFS se pueden montar en hastamiles de instancias de Amazon EC2 de forma simultánea. Si puede paralelizar su aplicación en más

107

https://www.gnu.org/software/parallel/

https://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html#RedundantConnections


instancias, puede ofrecer niveles de desempeño más altos en su sistema de archivos en general entrelas instancias.

• Modelo de solicitud: al activar escrituras asíncronas en el sistema de archivos, las operaciones deescritura pendientes se almacenan en el búfer de memoria en la instancia Amazon EC2 antes de que seescriban en Amazon EFS de forma asíncrona. Las escrituras asíncronas suelen tener latencias menores.Cuando se realizan escrituras asíncronas, el kernel utiliza memoria adicional para el almacenamiento encaché. Un sistema de archivos que tiene habilitadas escrituras síncronas o uno que abre archivos conuna opción que ignora la caché (por ejemplo, O_DIRECT), emite solicitudes síncronas a Amazon EFS.Cada operación realizará un recorrido de ida y vuelta entre el cliente y Amazon EFS.

Note

El modelo de solicitud elegido tiene contrapartidas en la coherencia (si utiliza varias instanciasAmazon EC2) y en la velocidad.

• Configuración de montaje de cliente NFS:– compruebe que utiliza las opciones de montajerecomendadas tal como se indica en Montar sistemas de archivos de EFS (p. 68) y en Consideracionesde montaje adicionales (p. 78). Amazon EFS es compatible con los protocolos de las versiones 4.0 y 4.1de Network File System (NFSv4) a la hora de montar los sistemas de archivos en instancias AmazonEC2. NFSv4.1 proporciona un mejor desempeño.

Note

Es posible que le interese aumentar el tamaño de los búferes de lectura y escritura de su clienteNFS a 1 MB al montar el sistema de archivos.

• Instancias Amazon EC2:– las aplicaciones que realizan un gran número de operaciones de lectura yescritura probablemente necesitan más memoria o capacidad de computación que las aplicacionesque no. Al lanzar las instancias Amazon EC2, elija tipos de instancias que tengan la cantidad de estosrecursos que requiere su aplicación. Las características de rendimiento de los sistemas de archivos deAmazon EFS no dependen del uso de instancias optimizadas para EBS.

• Cifrado: Amazon EFS admite dos formas de cifrado: el cifrado en tránsito y el cifrado en reposo. Estaopción es para cifrado en reposo. La elección de habilitar uno o ambos tipos de cifrado en el sistema dearchivos ejerce un efecto mínimo en el desempeño y la latencia de E/S.

Para obtener más información sobre los límites de Amazon EFS para el desempeño del sistema dearchivos total, capacidad de proceso por instancia y operaciones por segundo en modo de rendimiento deuso general, consulte Cuotas y límites de Amazon EFS (p. 185).

Temas relacionados• Consideraciones de capacidad de desempeño on-premise (p. 107)• Consejos de rendimiento de Amazon EFS (p. 107)• Medición: cómo registra Amazon EFS el tamaño del sistema de archivos y el tamaño de los

objetos (p. 62)• Solución de problemas de Amazon EFS (p. 190)

108

Amazon Elastic File System Guía del usuarioAWS Backup y EFS

Protección de datos para AmazonEFS

Hay dos opciones disponibles para proteger los datos mediante la copia de seguridad de los sistemas dearchivos EFS.

• Servicio de AWS Backup• Solución de copias de seguridad de EFS a EFS

AWS Backup es un método sencillo y rentable de crear copias de seguridad en sus sistemas de archivosde Amazon EFS que se encuentran en las regiones de AWS en las que el servicio de AWS Backupestá disponible. AWS Backup es un servicio de copia de seguridad unificado diseñado para simplificarla creación, migración, restauración y eliminación de copias de seguridad y, a la vez, ofrecer una mejorcreación de informes y auditorías. Para obtener más información, consulte Uso de AWS Backup conAmazon EFS (p. 109).

La solución de backup de EFS a EFS es adecuada para todos los sistemas de archivos de Amazon EFSen todas las regiones de AWS. Incluye una plantilla de AWS CloudFormation que lanza, configura yejecuta los servicios de AWS necesarios para implementar esta solución. Esta solución se adhiere a lasprácticas recomendadas de AWS en materia de seguridad y disponibilidad. Para obtener más información,consulte Solución de copia de seguridad de EFS a EFS en AWS Answers.

Uso de AWS Backup con Amazon EFSAWS Backup es una forma sencilla y rentable de proteger sus datos al realizar copias de seguridad desus sistemas de archivos de Amazon EFS. AWS Backup es un servicio de copias de seguridad unificadodiseñado para simplificar la creación, migración, restauración y eliminación de copias de seguridad, y queproporciona funciones de informes y auditorías mejoradas. AWS Backup le permite desarrollar fácilmenteuna estrategia de copias de seguridad centralizada para fines jurídicos, reglamentarios y de conformidad.AWS Backup también simplifica la protección de los volúmenes de almacenamiento de AWS, las basesde datos y los sistemas de archivos al proporcionar una ubicación centralizada en la que puede hacer losiguiente:

• Configurar y auditar los recursos de AWS en los que desea realizar una copia de seguridad• Automatizar la programación de copias de seguridad• Establecer políticas de retención• Monitorizar toda la actividad reciente de copias de seguridad y restauración

Amazon EFS está integrado de forma nativa con AWS Backup. Puede utilizar la consola de EFS, la API yAWS Command Line Interface (AWS CLI) para habilitar las copias de seguridad automáticas en el sistemade archivos. Las copias de seguridad automáticas utilizan un plan de copia de seguridad predeterminadocon la configuración recomendada de AWS Backup para las copias de seguridad automáticas. Paraobtener más información, consulte Copias de seguridad automáticas (p. 110). También puede utilizarAWS Backup para establecer sus propios planes de copias de seguridad en los que debe especificar lafrecuencia de creación de las copias, el momento de realizarlas, cuánto tiempo debe conservarlas y una

109

https://aws.amazon.com/answers/infrastructure-management/efs-backup/

Amazon Elastic File System Guía del usuarioFuncionamiento de AWS Backup

con los sistemas de archivos de EFS

política de ciclo de vida para las copias de seguridad. Posteriormente, puede asignar sistemas de archivosde Amazon EFS u otros recursos de AWS a ese plan de copia de seguridad.

Funcionamiento de AWS Backup con los sistemas dearchivos de EFSCon AWS Backup, primero debe crear un plan de copia de seguridad. El plan de copia de seguridaddefine la programación y el periodo de creación de copias de seguridad, la política de conservación, lapolítica de ciclo de vida y las etiquetas. Puede crear una copia de seguridad final mediante la consola deadministración de AWS Backup, la AWS CLI o la API de AWS Backup. Como parte de un plan de copia deseguridad, puede definir lo siguiente:

• Programación: cuándo se realiza la copia de seguridad• Periodo de copia de seguridad: el periodo de tiempo en el que debe iniciarse la copia de seguridad• Ciclo de vida: cuándo desplazar un punto de recuperación al almacenamiento en frío y cuándo eliminarlo• Almacén de copias de seguridad: se utiliza para organizar los puntos de recuperación creados por la

regla de copias de seguridad.

Tras crear el plan de copia de seguridad, debe asignar los sistemas de archivos Amazon EFS específicosal plan de copia de seguridad utilizando etiquetas o el ID del sistema de archivos de Amazon EFS.Después de asignar un plan, AWS Backup empieza a crear automáticamente una copia de seguridad delsistema de archivos de Amazon EFS en su nombre, de acuerdo con el plan de copia de seguridad definido.Puede utilizar la consola de AWS Backup para administrar las configuraciones de copia de seguridado monitorizar la actividad de copia de seguridad. Para obtener más información, consulte la Guía paradesarrolladores de AWS Backup.

Note

Los sockets y las canalizaciones con nombres no son compatibles y se omiten de las copias deseguridad.

Copias de seguridad incrementalesAWS Backup realiza copias de seguridad incrementales de los sistemas de archivos de EFS. Durante lacopia de seguridad inicial, se crea una copia de la totalidad del sistema de archivos. Durante las copiasde seguridad posteriores de ese mismo sistema de archivos, solo se copian los archivos y directorios quese hayan cambiado, añadido o eliminado. Este enfoque disminuye el tiempo necesario para completar lacopia de seguridad y ahorra costos de almacenamiento, ya que no se duplican los datos.

Copias de seguridad automáticasAl crear un sistema de archivos mediante la consola de Amazon EFS, las copias de seguridad automáticasse activan de forma predeterminada. EFS utiliza un plan de copia de seguridad predeterminado con laconfiguración recomendada de AWS Backup para las copias de seguridad automáticas. Para obtener másinformación acerca de la configuración del plan de copia de seguridad predeterminado de EFS, consulteOpción 3: crear copias de seguridad automáticas en la Guía para desarrolladores de AWS Backup. Puedever todas las copias de seguridad automáticas y editar la configuración del plan de copia de seguridadpredeterminado de EFS con la consola de administración de AWS Backup.

Note

Las copias de seguridad automáticas están exentas de la configuración de baja del servicio deAWS Backup. Para obtener más información, consulte Introducción a AWS Backup en la Guíapara desarrolladores de AWS Backup.

110

https://console.aws.amazon.com/backup


https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html

https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html

https://docs.aws.amazon.com/aws-backup/latest/devguide/create-auto-backup.html


https://docs.aws.amazon.com/aws-backup/latest/devguide/getting-started.html



Activar o desactivar las copias de seguridad automáticas en los sistemas dearchivos existentes

Después de crear un sistema de archivos, se pueden activar o desactivar las copias de seguridadautomáticas con la consola, la CLI o la API de EFS. No se pueden activar las copias de seguridadautomáticas cuando se crea un nuevo sistema de archivos con la CLI o la API de Amazon EFS.

Activar o desactivar las copias de seguridad automáticas en un sistema de archivos existente(consola)

1. Abra la consola de Amazon Elastic File System en https://console.aws.amazon.com/efs/.2. En la página File systems (Sistemas de archivos), elija el sistema de archivos en el que desea activar

o desactivar las copias de seguridad automáticas y acceda a la página File system details (Detalles delsistema de archivos).

3. Seleccione Edit (Editar) en el panel de configuración General.4. • Para activar las copias de seguridad automáticas, seleccione Enable automatic backups (Habilitar

copias de seguridad automáticas).• Para desactivar las copias de seguridad automáticas, desmarque Enable automatic backups

(Habilitar copias de seguridad automáticas).5. Elija Save changes.

Activar o desactivar las copias de seguridad automáticas en un sistema de archivos existente(CLI)

• Utilice el comando put-backup-policy de la CLI (la operación correspondiente de la API esPutBackupPolicy (p. 273)) para activar o desactivar las copias de seguridad automáticas en unsistema de archivos existente.

• Utilice el siguiente comando para activar las copias de seguridad automáticas.

$ aws efs put-backup-policy --file-system-id fs-01234567 \--backup-policy Status="ENABLED"

EFS responde con la nueva política de copia de seguridad.

{ "BackupPolicy": { "Status": "ENABLING" }}

• Utilice el siguiente comando para desactivar las copias de seguridad automáticas.

$ aws efs put-backup-policy --file-system-id fs-01234567 \--backup-policy Status="DISABLED"

EFS responde con la nueva política de copia de seguridad.

{ "BackupPolicy": { "Status": "DISABLING" }}

111




Coherencia de la copia de seguridadAmazon EFS está diseñado para tener un alto nivel de disponibilidad. En AWS Backup, puede obteneracceso a los sistemas de archivos de Amazon EFS y modificarlos mientras se realiza la copia deseguridad. Sin embargo, pueden producirse incoherencias, como datos duplicados, sesgados o excluidossi realiza modificaciones en su sistema de archivos mientras se realiza la copia de seguridad. Entre estasmodificaciones se incluyen las operaciones de escritura, cambio de nombre, traslado o eliminación. Paragarantizar la coherencia entre copias de seguridad, le recomendamos que pause las aplicaciones oprocesos que modifiquen el sistema de archivos durante el proceso de copia de seguridad. También puedeprogramar las copias de seguridad para que se produzcan durante los periodos en los que el sistema dearchivos no se esté modificando.

RendimientoEn general, cabe esperar las siguientes velocidades de copia de seguridad con AWS Backup:

• 100 MB/s para sistemas de archivos compuestos principalmente de archivos grandes• 500 archivos/s para sistemas de archivos compuestos principalmente de archivos pequeños• La duración máxima de una operación de copia de seguridad o restauración en AWS Backup es de siete

días.

Completar las operaciones de restauración, por lo general, tarda más que la copia de seguridadcorrespondiente.

El uso de AWS Backup no consume créditos de ráfaga acumulados y no cuenta para los límites deoperaciones en archivos del modo de uso general. Para obtener más información, consulte Cuotas para lossistemas de archivos de Amazon EFS (p. 187).

Ventana de finalizaciónSi lo desea, puede especificar una ventana de finalización para una copia de seguridad. Esta ventanadefine el periodo de tiempo en el que debe completarse una copia de seguridad. Si especifica una ventanade finalización, asegúrese de tener en cuenta el rendimiento esperado y el tamaño y la composición desu sistema de archivos. Esto le ayuda a garantizar que su copia de seguridad se pueda completar en eseperiodo.

Las copias de seguridad que no se completan durante el periodo especificado se marcan con el estadoincompleto. Durante la siguiente copia de seguridad programada, AWS Backup la reanuda en el puntoen que la dejó. Puede ver el estado de todas sus copias de seguridad en la consola de administración deAWS Backup.

Clases de almacenamiento de EFSPuede utilizar AWS Backup para realizar una copia de seguridad de todos los datos de un sistema dearchivos de EFS, independientemente de la clase de almacenamiento de los datos. No se le aplicaráningún cargo por el acceso a los datos cuando realice copias de seguridad de un sistema de archivos deEFS que tenga la administración del ciclo de vida habilitada y con datos en la clase de almacenamientoAcceso poco frecuente (IA).

Al restaurar un punto de recuperación, todos los archivos se restauran en la clase de almacenamientoEstándar. Para obtener más información sobre las clases de almacenamiento, consulte Clases dealmacenamiento de EFS (p. 58) y Administración del ciclo de vida de EFS (p. 59).

Copias de seguridad bajo demandaMediante la consola de administración de AWS Backup o la CLI, puede guardar un único recurso en unalmacén de copias de seguridad bajo demanda. A diferencia de las copias de seguridad programadas,

112






no tiene por qué crear un plan de copia de seguridad para iniciar una copia de seguridad bajo demanda.Puede seguir asignando un ciclo de vida a su copia de seguridad, que traslada automáticamente el puntode recuperación en el nivel del almacenamiento en frío y crea una nota sobre cuándo eliminarlo.

Copias de seguridad simultáneasAWS Backup limita las copias de seguridad a una única copia simultánea por recurso. Por lo tanto, lascopias de seguridad programadas o bajo demanda podrían producir un error si ya hay un trabajo de copiade seguridad en progreso. Para obtener más información sobre los límites de AWS Backup, consulteLímites de AWS Backup en la Guía para desarrolladores de AWS Backup.

Restauración de un punto de recuperaciónMediante la consola de administración de AWS Backup o la CLI, puede restaurar un punto de recuperaciónen un nuevo sistema de archivos de EFS o en el sistema de archivos de origen. Puede realizar unaoperación de restauración completa, que restaura todo el sistema de archivos. O bien, puede restaurararchivos y directorios específicos mediante una restauración parcial. Para restaurar un archivo o directorioconcretos, debe especificar la ruta relativa relacionada con el punto de montaje. Por ejemplo, si el sistemade archivos está montado en /user/home/myname/efs y la ruta de archivo es user/home/myname/efs/file1, escriba /file1. Las rutas distinguen entre mayúsculas y minúsculas y no pueden contenercaracteres especiales, caracteres comodín ni cadenas de expresiones regulares.

Cuando realiza una restauración completa o parcial, el punto de recuperación se restaura en el directoriode restauración aws-backup-restore_timestamp-of-restore, que puede ver en la raíz del sistemade archivos cuando se complete la restauración. Si intenta realizar varias restauraciones de la misma ruta,es posible que existan varios directorios que contengan los elementos restaurados. Si la restauración nose puede completar, podrá ver el directorio aws-backup-failed-restore_timestamp-of-restore.Debe eliminar manualmente los directorios restore y failed_restore cuando termine de usarlos.

Note

Para restauraciones parciales en un sistema de archivos EFS existente, AWS Backup restauralos archivos y directorios en un nuevo directorio bajo el directorio raíz del sistema de archivos. Lajerarquía completa de los elementos especificados se conserva en el directorio de recuperación.Por ejemplo, si el directorio A contiene subdirectorios B, C y D, AWS Backup conserva laestructura jerárquica cuando se recuperan A, B, C y D.

Tras restaurar un punto de recuperación, los fragmentos de datos que no se puedan restaurar en eldirectorio correspondiente se colocan en el directorio aws-backup-lost+found. Se podrían moverfragmentos a este directorio si se realizan modificaciones en el sistema de archivos mientras se produce lacopia de seguridad.

113

https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-limits.html


Amazon Elastic File System Guía del usuarioTutorial: Crear y montar un sistemade archivos utilizando la AWS CLI

Tutoriales de Amazon Elastic FileSystem

Esta sección ofrece tutoriales que puede usar para explorar Amazon EFS y probar la configuraciónintegral.

Temas• Tutorial: Crear un sistema de archivos de Amazon EFS y montarlo en una instancia Amazon EC2 con

la AWS CLI (p. 114)• Tutorial: Configurar un servidor web Apache y ofrecer archivos de Amazon EFS (p. 126)• Tutorial: Crear subdirectorios que se pueden escribir por usuario y configurar la opción de volver a

montar automáticamente al reiniciar (p. 132)• Tutorial: Crear y montar un sistema de archivos local con AWS Direct Connect y una VPN (p. 133)• Tutorial: Montar un sistema de archivos desde una VPC distinta (p. 140)• Tutorial: Aplicar cifrado en reposo a un sistema de archivos de Amazon EFS (p. 144)• Tutorial: Habilitar la agrupación de nodo raíz mediante la autorización de IAM para clientes

NFS (p. 147)

Tutorial: Crear un sistema de archivos de AmazonEFS y montarlo en una instancia Amazon EC2 conla AWS CLI

Este tutorial utiliza la AWS CLI para explorar la API de Amazon EFS. En este tutorial, creará un sistema dearchivos de Amazon EFS, lo montará en una instancia Amazon EC2 en su VPC y probará la configuración.

Note

Este tutorial es similar al ejercicio de introducción. En el ejercicio Introducción (p. 12), va a utilizarla consola para crear recursos de EC2 y de Amazon EFS. En este tutorial, va a utilizar la AWS CLIpara hacer lo mismo, es decir, para familiarizarse con la API de Amazon EFS.

En este tutorial crea los siguientes recursos de AWS en su cuenta:

• Recursos de Amazon EC2:• Dos grupos de seguridad (para la instancia EC2 y el sistema de archivos de Amazon EFS).

Añada reglas a los grupos de seguridad para autorizar el acceso de entrada/salida adecuado. Deeste modo, la instancia EC2 puede conectarse al sistema de archivos a través del destino de montajemediante un puerto TCP NFSv4.1 estándar.

• Una instancia de Amazon EC2 en la VPC.• Recursos de Amazon EFS:

• Un sistema de archivos.

114

Amazon Elastic File System Guía del usuarioAntes de empezar

• Un destino de montaje para su sistema de archivos.

Para montar su sistema de archivos en una instancia EC2 tiene que crear un destino de montaje en laVPC. Puede crear un destino de montaje en cada una de las zonas de disponibilidad de la VPC. Paraobtener más información, consulte Amazon EFS: cómo funciona (p. 3).

A continuación, prueba el sistema de archivos en su instancia EC2. El paso de limpieza al final del tutorialle ofrece información para que elimine estos recursos.

El tutorial crea todos estos recursos en la región EE.UU. Oeste (Oregón) (us-west-2).Independientemente de la región de AWS que utilice, asegúrese de utilizarla de forma coherente. Todoslos recursos (su VPC, los recursos de EC2 y los recursos de Amazon EFS) deben estar en la misma regiónde AWS.

Antes de empezar• Puede utilizar las credenciales raíz de su cuenta de AWS para iniciar sesión en la consola y probar

el ejercicio de introducción. Sin embargo, AWS Identity and Access Management (IAM) recomiendaque no utilice las credenciales raíz de la cuenta de AWS. En su lugar, cree un usuario administradoren su cuenta y utilice esas credenciales para administrar los recursos de su cuenta. Para obtener másinformación, consulte Configuración (p. 9).

• Puede utilizar una VPC predeterminada o una VPC personalizada que haya creado en su cuenta. Paraeste tutorial, la configuración de la VPC predeterminada funciona. Sin embargo, si utiliza una VPCpersonalizada, verifique lo siguiente:• Los nombres de host de DNS están habilitados. Para obtener más información, consulte Actualización

de soporte de DNS para su VPC en la Guía del usuario de Amazon VPC.• La gateway de Internet está conectada a su VPC. Para obtener más información, consulte Gateways

de Internet en la Guía del usuario de Amazon VPC.• Las subredes de VPC se configuran para solicitar direcciones IP públicas para instancias lanzadas en

las subredes de la VPC. Para obtener más información, consulte Direcciones IP en su VPC en la Guíadel usuario de Amazon VPC.

• La tabla de ruteo de la VPC incluye una regla para enviar todo el tráfico vinculado a Internet a lagateway de Internet.

• Debe configurar la AWS CLI y añadir el perfil adminuser.

Configuración del AWS CLIUtilice las siguientes instrucciones para configurar la AWS CLI y el perfil de usuario.

Para configurar la AWS CLI

1. Descargue y configure la AWS CLI. Para obtener instrucciones, consulte los siguientes temas en laAWS Command Line Interface Guía del usuario.

Configuración inicial de la interfaz de línea de comandos de AWS

Instalación de la interfaz de línea de comandos de AWS

Configuración de la interfaz de línea de comandos de AWS2. Definir perfiles.

Puede almacenar las credenciales de usuarios en el archivo config de la AWS CLI. Los comandosCLI de ejemplo de este tutorial especifican el perfil adminuser. Cree el perfil adminuser en el archivo

115



https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html


https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-set-up.html

https://docs.aws.amazon.com/cli/latest/userguide/installing.html

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html

Amazon Elastic File System Guía del usuarioPaso 1: Crear recursos de Amazon EC2

config. También puede definir el perfil de usuario del administrador como predeterminado en elarchivo config como se muestra.

[profile adminuser]aws_access_key_id = admin user access key IDaws_secret_access_key = admin user secret access keyregion = us-west-2

[default]aws_access_key_id = admin user access key IDaws_secret_access_key = admin user secret access keyregion = us-west-2

El perfil anterior también define la región de AWS predeterminada. Si no especifica una región en elcomando de la CLI, se supone la región us-west-2.

3. Verifique la configuración introduciendo el siguiente comando en el símbolo del sistema. Amboscomandos no proporcionan las credenciales de forma explícita, por lo que se utilizan las credencialesdel perfil predeterminado.

• Pruebe el comando de ayuda

También puede especificar el perfil de usuario de forma explícita añadiendo el parámetro --profile.

aws help

aws help \--profile adminuser

Paso siguiente

Paso 1: Crear recursos de Amazon EC2 (p. 116)

Paso 1: Crear recursos de Amazon EC2En este paso, hará lo siguiente:

• Cree dos grupos de seguridad.• Añada reglas a los grupos de seguridad para autorizar el acceso adicional.• Lance una instancia EC2. Cree y monte un sistema de archivos Amazon EFS en esta instancia en el

siguiente paso.

Temas• Paso 1.1: Crear dos grupos de seguridad (p. 116)• Paso 1.2: Añadir reglas a los grupos de seguridad para autorizar el acceso de entrada/salida (p. 118)• Paso 1.3: Lanzar una instancia EC2 (p. 118)

Paso 1.1: Crear dos grupos de seguridadEn esta sección, crea grupos de seguridad en su VPC para la instancia EC2 y el destino de montajede Amazon EFS. Más adelante en el tutorial, asigna estos grupos de seguridad a una instancia EC2 yun destino de montaje de Amazon EFS. Para obtener información acerca de los grupos de seguridad,

116


consulte Grupos de seguridad para EC2-VPC en la Guía del usuario de Amazon EC2 para instancias deLinux.

Para crear grupos de seguridad

1. Crear dos grupos de seguridad utilizando el comando de la CLI create-security-group:

a. Cree un grupo de seguridad (efs-walkthrough1-ec2-sg) para la instancia EC2 y proporcionarel ID de su VPC.

$ aws ec2 create-security-group \--region us-west-2 \--group-name efs-walkthrough1-ec2-sg \--description "Amazon EFS walkthrough 1, SG for EC2 instance" \--vpc-id vpc-id-in-us-west-2 \--profile adminuser

Anote el ID del grupo de seguridad. A continuación se muestra un ejemplo de respuesta.

{ "GroupId": "sg-aexample"}

Puede encontrar el ID de la VPC utilizando el siguiente comando.

$ aws ec2 describe-vpcs

b. Cree un grupo de seguridad (efs-walkthrough1-mt-sg) para su destino de montaje deAmazon EFS. Tiene que proporcionar su ID de VPC.

$ aws ec2 create-security-group \--region us-west-2 \--group-name efs-walkthrough1-mt-sg \--description "Amazon EFS walkthrough 1, SG for mount target" \--vpc-id vpc-id-in-us-west-2 \--profile adminuser

Anote el ID del grupo de seguridad. A continuación se muestra un ejemplo de respuesta.

{ "GroupId": "sg-aexample"}

2. Verifique los grupos de seguridad.

aws ec2 describe-security-groups \--group-ids list of security group IDs separated by space \--profile adminuser \--region us-west-2

Ambos deben tener solo una regla de salida que permita que todo el tráfico salga.

En la siguiente sección, autoriza el acceso adicional que permite lo siguiente:

• Permitirle conectar a su instancia EC2.• Habilite el tráfico entre una instancia EC2 y un destino de montaje de Amazon EFS (al que asociará

estos grupos de seguridad más adelante en este tutorial).117

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#vpc-security-groups


Paso 1.2: Añadir reglas a los grupos de seguridad para autorizarel acceso de entrada/salidaEn este paso, añade reglas a los grupos de seguridad para autorizar el acceso de entrada/salida.

Para añadir reglas

1. Autorice las conexiones Secure Shell (SSH) de entrada al grupo de seguridad para la instancia EC2(efs-walkthrough1-ec2-sg) para que pueda conectarse a la instancia EC2 mediante SSH desdecualquier host.

$ aws ec2 authorize-security-group-ingress \--group-id id of the security group created for EC2 instance \--protocol tcp \--port 22 \--cidr 0.0.0.0/0 \--profile adminuser \--region us-west-2

Compruebe que el grupo de seguridad tenga la regla de entrada y salida que ha añadido.

aws ec2 describe-security-groups \--region us-west-2 \--profile adminuser \--group-id security-group-id

2. Autorice el acceso de entrada al grupo de seguridad para el destino de montaje de Amazon EFS(efs-walkthrough1-mt-sg).

En el símbolo del sistema, ejecute el siguiente comando authorize-security-group-ingressde la AWS CLI utilizando el perfil adminuser para añadir la regla de entrada.

$ aws ec2 authorize-security-group-ingress \--group-id ID of the security group created for Amazon EFS mount target \--protocol tcp \--port 2049 \--source-group ID of the security group created for EC2 instance \--profile adminuser \--region us-west-2

3. Compruebe que ambos grupos de seguridad autorizan ahora el acceso de entrada.

aws ec2 describe-security-groups \--group-names efs-walkthrough1-ec2-sg efs-walkthrough1-mt-sg \--profile adminuser \--region us-west-2

Paso 1.3: Lanzar una instancia EC2En este paso, lance una instancia EC2.

Para lanzar una instancia EC2

1. Reúna la siguiente información que debe proporcionar al lanzar una instancia EC2:

• Nombre del par de claves:

118


• Para obtener información de introducción, consulte Configuración con Amazon EC2 en la Guía delusuario de Amazon EC2 para instancias de Linux.

• Para obtener instrucciones para crear un archivo .pem, consulte Crear un par de claves en laGuía del usuario de Amazon EC2 para instancias de Linux.

• El ID único de la imagen de Amazon Machine (AMI) que desea lanzar.

El comando de la AWS CLI que utiliza para lanzar una instancia EC2 requiere el ID de la AMI quedesea implementar como parámetro. El ejercicio utiliza la AMI de Amazon Linux HVM.

Note

Puede utilizar la mayoría de las AMI basadas en Linux de uso general. Si utiliza otra AMIde Linux, asegúrese de utilizar el administrador de paquetes de la distribución para instalarel cliente de NFS en la instancia. Además, es posible que tenga que añadir paquetes desoftware conforme los necesite.

Para la AMI de Amazon Linux HVM, puede encontrar los ID más recientes en AMI de Amazon Linux.Usted elige el valor de ID de la tabla de ID de la AMI de Amazon Linux de la siguiente manera:• Elija la región EE. UU. Oeste (Oregón). Este tutorial supone que está creando todos los recursos

en la región EE.UU. Oeste (Oregón) (us-west-2).• Elija el tipo EBS-backed HVM 64-bit (porque en el comando de la CLI especifica el tipo de

instancia t2.micro, que no admite el almacén de instancias).• ID del grupo de seguridad que ha creado para una instancia EC2.• Región AWS. Este tutorial utiliza la región us-west-2.• Su ID de subred de VPC donde desea lanzar la instancia. Puede obtener la lista de subredes

utilizando el comando describe-subnets.

$ aws ec2 describe-subnets \--region us-west-2 \--filters "Name=vpc-id,Values=vpc-id" \--profile adminuser

Después de elegir el ID de subred, anote los siguientes valores del resultado de describe-subnets:• ID de subred: necesita este valor para crear un destino de montaje. En este ejercicio, deberá

crear un destino de montaje en la misma subred en la que lanza una instancia EC2.• Zona de disponibilidad de la subred: necesita este valor para construir el nombre de DNS de su

destino de montaje, que se utiliza para montar un sistema de archivos en la instancia EC2.2. Ejecute el siguiente comando run-instances de la AWS CLI para lanzar una instancia EC2.

$ aws ec2 run-instances \--image-id AMI ID \--count 1 \--instance-type t2.micro \--associate-public-ip-address \--key-name key-pair-name \--security-group-ids ID of the security group created for EC2 instance \--subnet-id VPC subnet ID \--region us-west-2 \--profile adminuser

3. Anote el ID de instancia devuelto por el comando run-instances.4. La instancia de EC2 que ha creado deben tener un nombre de DNS público que utilice para

conectarse a la instancia EC2 y montar el sistema de archivos en ella. El nombre de DNS público tieneel siguiente formato:

119


https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/get-set-up-for-amazon-ec2.html#create-a-key-pair

https://aws.amazon.com/amazon-linux-ami/

Amazon Elastic File System Guía del usuarioPaso 2: Crear recursos de Amazon EFS

ec2-xx-xx-xx-xxx.compute-1.amazonaws.com

Ejecute el siguiente comando de la CLI y anote el nombre de DNS público.

aws ec2 describe-instances \--instance-ids EC2 instance ID \--region us-west-2 \ --profile adminuser

Si no encuentra el nombre de DNS público, compruebe la configuración de la VPC en la que halanzado la instancia EC2. Para obtener más información, consulte Antes de empezar (p. 115).

5. (Opcional) Asigne un nombre a la instancia EC2 que ha creado. Para ello, añada una etiqueta con elnombre de clave y el valor establecido en el nombre que desea asignar a la instancia. Puede hacerloejecutando el comando create-tags de la AWS CLI.

$ aws ec2 create-tags \--resources EC2-instance-ID \--tags Key=Name,Value=Provide-instance-name \--region us-west-2 \--profile adminuser

Paso siguiente

Paso 2: Crear recursos de Amazon EFS (p. 120)

Paso 2: Crear recursos de Amazon EFSEn este paso, hará lo siguiente:

• Crear un sistema de archivos de Amazon EFS.• Habilitar la administración del ciclo de vida• Cree un destino de montaje en la zona de disponibilidad en la que ha lanzado la instancia EC2.

Temas• Paso 2.1: Crear un sistema de archivos de Amazon EFS (p. 120)• Paso 2.2: Habilitar la administración del ciclo de vida (p. 121)• Paso 2.3: Crear un destino de montaje (p. 122)

Paso 2.1: Crear un sistema de archivos de Amazon EFSEn este paso, crea un sistema de archivos de Amazon EFS. Anote el FileSystemId para utilizarloposteriormente al crear destinos de montaje para el sistema de archivos en el siguiente paso.

Para crear un sistema de archivos

• Cree un sistema de archivos con la etiqueta Name opcional.

a. En el símbolo del sistema, ejecute el siguiente comando create-file-system de la CLI deAWS.

$ aws efs create-file-system \

120

Amazon Elastic File System Guía del usuarioPaso 2: Crear recursos de Amazon EFS

--creation-token FileSystemForWalkthrough1 \--tags Key=Name,Value=SomeExampleNameValue \--region us-west-2 \--profile adminuser


{ "OwnerId": "123456789abcd", "CreationToken": "FileSystemForWalkthrough1", "FileSystemId": "fs-c657c8bf", "CreationTime": 1548950706.0, "LifeCycleState": "creating", "NumberOfMountTargets": 0, "SizeInBytes": { "Value": 0, "ValueInIA": 0, "ValueInStandard": 0 }, "PerformanceMode": "generalPurpose", "Encrypted": false, "ThroughputMode": "bursting", "Tags": [ { "Key": "Name", "Value": "SomeExampleNameValue" } ]}

b. Anote el valor FileSystemId. Necesitará este valor cuando cree un destino de montaje paraeste sistema de archivos en Paso 2.3: Crear un destino de montaje (p. 122).

Paso 2.2: Habilitar la administración del ciclo de vidaEn este paso, habilita la administración del ciclo de vida en su sistema de archivos para utilizar la clase dealmacenamiento Acceso poco frecuente. Para obtener más información, consulte Administración del ciclode vida de EFS (p. 59) y Clases de almacenamiento de EFS (p. 58).

Para habilitar la administración del ciclo de vida

• En el símbolo del sistema, ejecute el siguiente comando put-lifecycle-configuration de laAWS CLI.

$ aws efs put-lifecycle-configuration \--file-system-id fs-c657c8bf \--lifecycle-policies TransitionToIA=AFTER_30_DAYS \--region us-west-2 \--profile adminuser



121

Amazon Elastic File System Guía del usuarioPaso 3: Montar y probar el sistema de archivos

Paso 2.3: Crear un destino de montajeEn este paso, crea un destino de montaje para el sistema de archivos en la zona de disponibilidad en laque se ha lanzado la instancia EC2.

1. Asegúrese de que dispone de la siguiente información:

• ID del sistema de archivos (por ejemplo, fs-example) para el que se crea el destino de montaje.• ID de subred de VPC en la que ha lanzado la instancia EC2 en el Paso 1.

En este tutorial, crea el destino de montaje en la misma subred en la que ha lanzado la instanciaEC2, por lo que necesita el ID de subred (por ejemplo, subnet-example).

• ID del grupo de seguridad que ha creado para el destino de montaje en el paso anterior.2. En el símbolo del sistema, ejecute el siguiente comando create-mount-target de la AWS CLI.

$ aws efs create-mount-target \--file-system-id file-system-id \--subnet-id subnet-id \--security-group ID-of-the security-group-created-for-mount-target \--region us-west-2 \--profile adminuser


{ "MountTargetId": "fsmt-example", "NetworkInterfaceId": "eni-example", "FileSystemId": "fs-example", "PerformanceMode" : "generalPurpose", "LifeCycleState": "available", "SubnetId": "fs-subnet-example", "OwnerId": "account-id", "IpAddress": "xxx.xx.xx.xxx"}

3. También puede utilizar el comando describe-mount-targets para obtener las descripciones delos destinos de montaje que ha creado en un sistema de archivos.

$ aws efs describe-mount-targets \--file-system-id file-system-id \--region us-west-2 \--profile adminuser

Paso siguiente

Paso 3: Montar el sistema de archivos de Amazon EFS en la instancia EC2 y probar (p. 122)

Paso 3: Montar el sistema de archivos de AmazonEFS en la instancia EC2 y probarEn este paso, hará lo siguiente:

Temas

122

https://docs.aws.amazon.com/efs/latest/ug/wt1-create-ec2-resources.html


• Paso 3.1: Recopilar información (p. 123)• Paso 3.2: Instalar el cliente NFS en la instancia EC2 (p. 123)• Paso 3.3: Montar el sistema de archivos en su instancia EC2 y probar (p. 124)

Paso 3.1: Recopilar informaciónAsegúrese de que dispone de la siguiente información a medida que siga los pasos de esta sección:

• Nombre de DNS público de su instancia EC2 en el siguiente formato:

ec2-xx-xxx-xxx-xx.aws-region.compute.amazonaws.com

• Nombre de DNS de su sistema de archivos. Puede construir este nombre de DNS usando el siguienteformulario genérico:


La instancia EC2 en la que se monta el sistema de archivos mediante el destino de montaje puederesolver el nombre DNS del sistema de archivos en la dirección IP del destino de montaje.

Note

Amazon EFS no requiere que su instancia Amazon EC2 tenga una dirección IP pública o unnombre de DNS público. Los requisitos indicados con anterioridad son solo para este ejemplo deltutorial, para garantizar que podrá conectarse a través de SSH a la instancia desde fuera de laVPC.

Paso 3.2: Instalar el cliente NFS en la instancia EC2Puede conectarse a la instancia EC2 desde Windows o desde un equipo que ejecute Linux, macOS X ocualquier otra variante de Unix.

Para instalar un cliente NFS


• Para conectarse a la instancia desde un equipo que ejecute macOS o Linux, especifique elarchivo .pem para su comando SSH con la opción -i y la ruta a su clave privada.

• Para conectarse a la instancia desde un equipo que ejecuta Windows, puede utilizar MindTerm oPuTTY. Si pretende utilizar PuTTY, debe instalarlo y utilizar el siguiente procedimiento para convertirel archivo.pem a un archivo.ppk.


• Conexión a la instancia Linux desde Windows utilizando PuTTY• Conexión a la instancia de Linux mediante SSH

2. Ejecute los siguientes comandos en la instancia EC2 usando la sesión de SSH:

a. (Opcional) Obtener actualizaciones y reiniciar.

$ sudo yum -y update

123




$ sudo reboot

Tras el reinicio, vuelva a conectarse a su instancia EC2.b. Instale el cliente NFS.

$ sudo yum -y install nfs-utils

Note

Si elige la AMI de Amazon Linux Amazon Linux AMI 2016.03.0 al lanzar su instanciaAmazon EC2, no tendrá que instalar nfs-utils, porque ya está incluido en la AMI deforma predeterminada.

Paso 3.3: Montar el sistema de archivos en su instancia EC2 yprobarAhora monta el sistema de archivos en su instancia EC2.

1. Haga un directorio ("efs-mount-point").

$ mkdir ~/efs-mount-point

2. Monte el sistema de archivos de Amazon EFS.

$ sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport mount-target-DNS:/ ~/efs-mount-point

La instancia EC2 puede resolver el nombre de DNS del destino de montaje a la dirección IP. Comoalternativa, puede especificar la dirección IP del destino de montaje directamente.

$ sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport mount-target-ip:/ ~/efs-mount-point

3. Ahora que tiene el sistema de archivos Amazon EFS montado en la instancia EC2, puede creararchivos.

a. Cambie el directorio.

$ cd ~/efs-mount-point

b. Enumera el contenido del directorio.

$ ls -al

Debe estar vacío.

drwxr-xr-x 2 root root 4096 Dec 29 22:33 .drwx------ 4 ec2-user ec2-user 4096 Dec 29 22:54 ..

c. El directorio raíz de un sistema de archivos, en el momento de su creación, es propiedad delusuario raíz que es quien puede escribir en el mismo, por lo que es necesario cambiar lospermisos para añadir archivos.

124

Amazon Elastic File System Guía del usuarioPaso 4: Eliminación

$ sudo chmod go+rw .

Ahora, si prueba el comando ls -al verá que los permisos se han modificado.

drwxrwxrwx 2 root root 4096 Dec 29 22:33 .drwx------ 4 ec2-user ec2-user 4096 Dec 29 22:54 ..

d. Cree un archivo de texto.

$ touch test-file.txt

e. Genere un listado del contenido del directorio.

$ ls -l

Ya ha creado y montado correctamente un sistema de archivos de Amazon EFS en la instancia EC2 en suVPC.

El sistema de archivos que ha montado no persistirá una vez que se reinicie. Para volver a montarautomáticamente el directorio, puede utilizar el archivo fstab. Para obtener más información, consulteVolver a montar automáticamente al reiniciar (p. 133). Si está utilizando un grupo de Auto Scalingpara lanzar instancias EC2, también puede definir scripts en una configuración de lanzamiento. Paraver un ejemplo, consulte Tutorial: Configurar un servidor web Apache y ofrecer archivos de AmazonEFS (p. 126).

Paso siguiente

Paso 4: Eliminación (p. 125)

Paso 4: EliminaciónSi ya no necesita los recursos que ha creado, debe eliminarlos. Puede hacerlo con la CLI.

• Elimine los recursos de EC2 (la instancia EC2 y los dos grupos de seguridad). Amazon EFS elimina lainterfaz de red al borrar el destino de montaje.

• Elimine los recursos de Amazon EFS (sistema de archivos, destino de montaje).

Para eliminar los recursos de AWS creados en este tutorial

1. Finalice la instancia EC2 que ha creado para este tutorial.

$ aws ec2 terminate-instances \--instance-ids instance-id \--profile adminuser

También puede eliminar recursos de EC2 a través de la consola. Para obtener instrucciones, consulteFinalización de una instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.

2. Eliminar el destino de montaje.

Debe eliminar los destinos de montaje creados para el sistema de archivos antes de eliminar elsistema de archivos. Puede obtener una lista de destinos de montaje utilizando el comando de la CLIdescribe-mount-targets.

125

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html#terminating-instances-console

Amazon Elastic File System Guía del usuarioTutorial: Configurar un servidorweb Apache y ofrecer archivos

$ aws efs describe-mount-targets \--file-system-id file-system-ID \--profile adminuser \--region aws-region

A continuación, elimine el destino de montaje utilizando el comando de la CLI delete-mount-target.

$ aws efs delete-mount-target \--mount-target-id ID-of-mount-target-to-delete \--profile adminuser \--region aws-region

3. (Opcional) Elimine los dos grupos de seguridad que ha creado. No hay que pagar para crear gruposde seguridad.

Debe eliminar el grupo de seguridad del destino de montaje en primer lugar, antes de eliminar el grupode seguridad de la instancia EC2. El grupo de seguridad del destino de montaje tiene una regla quehace referencia al grupos de seguridad de EC2. Por lo tanto, no puede eliminar en primer lugar elgrupo de seguridad de la instancia EC2.

Para obtener instrucciones, consulte Eliminación de un grupo de seguridad en la Guía del usuario deAmazon EC2 para instancias de Linux.

4. Elimine el sistema de archivos utilizando el comando de la CLI delete-file-system. Puedeobtener una lista de los sistemas de archivos utilizando el comando de la CLI describe-file-systems. Puede obtener el ID del sistema de archivos de la respuesta.

aws efs describe-file-systems \--profile adminuser \--region aws-region

Elimine el sistema de archivos proporcionando el ID de sistema de archivos.

$ aws efs delete-file-system \--file-system-id ID-of-file-system-to-delete \--region aws-region \--profile adminuser

Tutorial: Configurar un servidor web Apache yofrecer archivos de Amazon EFS

Puede disponer de instancias EC2 que ejecutan el servidor web Apache que ofrece archivos almacenadosen su sistema de archivos de Amazon EFS. Puede ser una instancia EC2, o si la aplicación lo necesita,puede disponer de varias instancias EC2 que ofrecen archivos desde su sistema de archivos de AmazonEFS. Se describen los siguientes procedimientos.

• Configurar un servidor web Apache en una instancia EC2 (p. 127).• Configurar un servidor web Apache en varias instancias EC2 mediante la creación de un grupo de Auto

Scaling (p. 129). Puede crear varias instancias EC2 mediante Amazon EC2 Auto Scaling, un serviciode AWS que le permite aumentar o reducir el número de instancias EC2 en un grupo en función de lasnecesidades de su aplicación. Si dispone de varios servidores web, también necesita un balanceador decarga para distribuir el tráfico de solicitudes entre ellos.

126

https://docs.aws.amazon.com/cli/latest/userguide/cli-ec2-sg.html#deleting-a-security-group

Amazon Elastic File System Guía del usuarioUna sola instancia EC2 para ofrecer archivos

Note

Para ambos procedimientos, debe crear todos los recursos en la región Región EE.UU. Oeste(Oregón) (us-west-2).

Una sola instancia EC2 para ofrecer archivosSiga los pasos para configurar un servidor web Apache en una instancia EC2 para ofrecer los archivos quecree en su sistema de archivos de Amazon EFS.

1. Siga los pasos que se indican en el ejercicio de introducción, a fin de disponer de una configuraciónactiva que conste de lo siguiente:

• Sistema de archivos de Amazon EFS• Instancia EC2• Sistema de archivos montado en la instancia EC2

Para obtener instrucciones, consulte Introducción a Amazon Elastic File System (p. 12). Cuando sigalos pasos, anote lo siguiente:

• Nombre DNS público de la instancia EC2.• Nombre DNS público del destino de montaje creado en la misma zona de disponibilidad en la que

ha lanzado la instancia EC2.2. (Opcional) Puede elegir desmontar el sistema de archivos desde el punto de montaje que creó en el

ejercicio de introducción.

$ sudo umount ~/efs-mount-point

En este tutorial crea otro punto de montaje para el sistema de archivos.3. En la instancia EC2, instale el servidor web Apache y configúrelo como se indica a continuación:

a. Conéctese a su instancia EC2 e instale el servidor web Apache.

$ sudo yum -y install httpd

b. Inicie el servicio.

$ sudo service httpd start

c. Cree un punto de montaje.

En primer lugar, tenga en cuenta que DocumentRoot en el archivo /etc/httpd/conf/httpd.conf apunta a /var/www/html (DocumentRoot "/var/www/html").

Montará su sistema de archivos de Amazon EFS en un subdirectorio bajo el documento raíz.

i. Cree un subdirectorio efs-mount-point en /var/www/html.

$ sudo mkdir /var/www/html/efs-mount-point

ii. Monte su sistema de archivos de Amazon EFS. Tiene que actualizar el siguiente comandode montaje mediante la utilidad de ayudante de montaje de EFS proporcionando el ID de susistema de archivos.

$ sudo mount -t efs fs-12345678:/ /var/www/html/efs-mount-point

127

Amazon Elastic File System Guía del usuarioUna sola instancia EC2 para ofrecer archivos

4. Pruebe la configuración.

a. Añada una regla en el grupo de seguridad de la instancia EC2, que ha creado en el ejercicio deintroducción, para permitir el tráfico HTTP en el puerto TCP 80 desde cualquier lugar.

Después de agregar la regla, el grupo de seguridad de la instancia EC2 tendrá las siguientesreglas de entrada.

Para obtener instrucciones, consulte Crear grupos de seguridad mediante la Consola deadministración de AWS (p. 36).

b. Cree un archivo html de muestra.

i. Cambie el directorio.

$ cd /var/www/html/efs-mount-point

ii. Haga un subdirectorio para sampledir y cambie la propiedad. Y cambie el directorio parapoder crear archivos en el subdirectorio sampledir.

$ sudo mkdir sampledir $ sudo chown ec2-user sampledir$ sudo chmod -R o+r sampledir$ cd sampledir

iii. Cree un archivo hello.html de muestra.

$ echo "<html><h1>Hello from Amazon EFS</h1></html>" > hello.html

c. Abra una ventana del navegador e introduzca la dirección URL para acceder al archivo (es elnombre de DNS pública de la instancia EC2 seguido del nombre de archivo). Por ejemplo:

http://EC2-instance-public-DNS/efs-mount-point/sampledir/hello.html

Ahora está ofreciendo páginas web almacenadas en un sistema de archivos de Amazon EFS.

Note

Esta configuración no configura la instancia EC2 para que inicie automáticamente httpd (servidorweb) durante el arranque y además no monta el sistema de archivos durante el arranque. En elsiguiente tutorial se crea una configuración de lanzamiento para hacerlo.

128

Amazon Elastic File System Guía del usuarioVarias instancias EC2 para ofrecer archivos

Varias instancias EC2 para ofrecer archivosSiga los pasos para ofrecer el mismo contenido en su sistema de archivos de Amazon EFS desde variasinstancias EC2 para mejorar la escalabilidad o la disponibilidad.

1. Siga los pasos que se indican en el ejercicio Introducción (p. 12) para tener un sistema de archivos deAmazon EFS creado y probado.

Important

En este tutorial no se usa la instancia EC2 que ha creado en el ejercicio de introducción. Ensu lugar, puede lanzar nuevas instancias EC2.

2. Cree un balanceador de carga en su VPC siguiendo estos pasos.

1. Definir un balanceador de carga

En la sección Basic Configuration (Configuración básica), seleccione la VPC donde también secrean las instancias EC2 en las que se monta el sistema de archivos.

En la sección Select Subnets (Seleccionar subredes), seleccione todas las subredes disponibles .Para obtener más información, consulte el script cloud-config en la siguiente sección.

2. Asignar grupos de seguridad

Cree un nuevo grupo de seguridad para el balanceador de carga para permitir el acceso HTTPdesde el puerto 80 desde cualquier lugar, tal y como se muestra a continuación:

• Type: HTTP• Protocol: TCP• Port Range: 80• Origen: cualquiera (0.0.0.0/0)

Note

Cuando todo funciona, también puede actualizar la regla de entrada del grupo deseguridad de la instancia EC2 para permitir el tráfico HTTP únicamente desde elbalanceador de carga.

3. Configure una comprobación de estado

Establezca el valor de Ping Path (Ruta de ping) en /efs-mount-point/test.html. El efs-mount-point es el subdirectorio en el que tiene el sistema de archivos montado. Añade lapágina test.html más adelante en este procedimiento.

Note

No incluya ninguna instancia EC2. Posteriormente, cree un grupo de Auto Scaling en el quelanzar la instancia EC2 y especifique este balanceador de carga.

Para obtener instrucciones para crear un balanceador de carga, consulte Introducción a Elastic LoadBalancing en la Guía del usuario de Elastic Load Balancing.

3. Cree un grupo de Auto Scaling con dos instancias EC2. En primer lugar, debe crear una configuraciónde lanzamiento que describa las instancias. A continuación, debe crear un grupo de Auto Scalingespecificando la configuración de lanzamiento. Los pasos siguientes ofrecen información deconfiguración que especifica para crear un grupo de Auto Scaling desde la consola de Amazon EC2.

129

https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/elb-getting-started.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/elb-getting-started.html


a. Seleccione Launch Configurations (Configuraciones de lanzamiento) en AUTO SCALING en elpanel de navegación de la izquierda.

b. Seleccione Create Auto Scaling group (Crear grupo de Auto Scaling) para lanzar el asistente.c. Elija Create launch configuration.d. En Quick Start (Inicio rápido), seleccione la versión más reciente de la AMI de Amazon Linux

(HVM). Se trata de la misma AMI que utiliza en Paso 2: Crear sus recursos de EC2 y lanzar lainstancia EC2 (p. 15) del ejercicio de introducción.

e. En la sección Advanced (Avanzado), haga lo siguiente:

• Para IP Address Type (Tipo de dirección IP), elija Assign a public IP address to every instance(Asignar una dirección IP pública a cada instancia).

• Copie y pegue el siguiente script en el cuadro User data (Datos del usuario).

Debe actualizar el script proporcionando valores para file-system-id y aws-region (si seha seguido el ejercicio de introducción, habrá creado el sistema de archivos en la región us-west-2).

En el script, tenga en cuenta lo siguiente:• El script instala el cliente NFS y el servidor web Apache.• El comando echo escribe la siguiente entrada en el archivo /etc/fstab identificando

el nombre de DNS del sistema de archivos y el subdirectorio donde montarlo. Estaentrada garantiza que el archivo se monte después de cada reinicio del sistema. Tenga encuenta que el nombre de DNS del sistema de archivos se construye de forma dinámica.Para obtener más información, consulte Montaje en Amazon EC2 con un nombre deDNS (p. 324).

file-system-ID.efs.aws-region.amazonaws.com:/ /var/www/html/efs-mount-point nfs4 defaults

• Crea el subdirectorio efs-mount-point y monta el sistema de archivos en el mismo.• Crea una página test.html para que la comprobación de estado de ELB pueda encontrar el

archivo (al crear un balanceador de carga ha especificado este archivo como el punto deping).

Para obtener más información sobre los scripts de datos de usuario, consulte Adición de datosde usuario en la Guía del usuario de Amazon EC2 para instancias de Linux.

#cloud-configpackage_upgrade: truepackages:- nfs-utils- httpdruncmd:- echo "$(curl -s http://169.254.169.254/latest/meta-data/placement/availability-zone).file-system-id.efs.aws-region.amazonaws.com:/ /var/www/html/efs-mount-point nfs4 defaults" >> /etc/fstab- mkdir /var/www/html/efs-mount-point- mount -a- touch /var/www/html/efs-mount-point/test.html- service httpd start- chkconfig httpd on

f. Para Assign a security group (Asignar un grupo de seguridad), elija Select an existing securitygroup (Seleccionar un grupo de seguridad existente) y, a continuación, el grupo de seguridad queha creado para la instancia EC2.

130

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html#instancedata-add-user-data

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html#instancedata-add-user-data


Al configurar los detalles del grupo de Auto Scaling, utilice la siguiente información:

1. Para Group size (Tamaño del grupo), elija Start with 2 instances. Creará dos instanciasEC2.

2. Seleccione la VPC en la lista Network (Red).3. Seleccione una subred en la misma zona de disponibilidad que utilizó al especificar el ID del

destino de montaje en el script de datos de usuario al crear la configuración de lanzamiento en elpaso anterior.

4. En la sección Detalles avanzados

a. Para Load Balancing (Balanceador de carga), elija Receive traffic from Elastic LoadBalancer(s) (Recibir tráfico de balanceadores de carga elásticos) y, a continuación,seleccione el balanceador de carga que ha creado para este ejercicio.

b. En Health Check Type (Tipo de comprobación de estado), seleccione ELB.

Siga las instrucciones para crear un grupo de Auto Scaling en Configuración de una aplicación conescalado y balanceo de carga aplicados en la Guía del usuario de Amazon EC2 Auto Scaling. Utilice lainformación de las tablas anteriores cuando proceda.

4. Tras la correcta creación del grupo de Auto Scaling, dispone de dos instancias EC2 con nfs-utilsy el servidor web Apache instalado. En cada instancia, verifique que tiene el subdirectorio /var/www/html/efs-mount-point y su sistema de archivos de Amazon EFS montado en él. Para obtenerinstrucciones sobre cómo conectarse a una instancia EC2, consulte Conexión a la instancia de Linuxen la Guía del usuario de Amazon EC2 para instancias de Linux.

Note

Si elige la AMI de Amazon Linux Amazon Linux AMI 2016.03.0 al lanzar su instanciaAmazon EC2, no tendrá que instalar nfs-utils porque ya está incluido en la AMI de formapredeterminada.

5. Cree una página de muestra (index.html).

a. Cambie el directorio.

$ cd /var/www/html/efs-mount-point

b. Haga un subdirectorio para sampledir y cambie la propiedad. Y cambie el directorio para podercrear archivos en el subdirectorio sampledir. Si ha seguido el Una sola instancia EC2 paraofrecer archivos (p. 127) anterior, ya ha creado el subdirectorio sampledir, de modo quepuede omitir este paso.

$ sudo mkdir sampledir $ sudo chown ec2-user sampledir$ sudo chmod -R o+r sampledir$ cd sampledir

c. Cree un archivo index.html de muestra.

$ echo "<html><h1>Hello from Amazon EFS</h1></html>" > index.html

6. Ahora puede probar la configuración. Con el nombre de DNS público del balanceador de carga,acceda a la página index.html.

http://load balancer public DNS Name/efs-mount-point/sampledir/index.html

131

https://docs.aws.amazon.com/autoscaling/latest/userguide/as-register-lbs-with-asg.html

https://docs.aws.amazon.com/autoscaling/latest/userguide/as-register-lbs-with-asg.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstances.html

Amazon Elastic File System Guía del usuarioTutorial: Crear subdirectorios que

se pueden escribir por usuario

El balanceador de carga envía una solicitud a una de las instancias EC2 que ejecuta el servidor webApache. A continuación, el servidor web ofrece el archivo que está almacenado en su sistema dearchivos Amazon EFS.

Tutorial: Crear subdirectorios que se puedenescribir por usuario y configurar la opción de volvera montar automáticamente al reiniciar

Después de crear un sistema de archivos de Amazon EFS y montarlo localmente en su instancia EC2,expone un directorio vacío denominado raíz del sistema de archivos. Un caso de uso comúnconsiste en crear un subdirectorio "que se puede escribir" debajo de esta raíz del sistema de archivospara cada usuario que cree en la instancia EC2 y montarlo en el directorio principal del usuario. Todoslos archivos y subdirectorios que el usuario crea en su directorio principal se crean a continuación en elsistema de archivos de Amazon EFS.

En este tutorial, primero crea un usuario "mike" en su instancia EC2. A continuación, monta unsubdirectorio de Amazon EFS en el directorio principal del usuario mike. El tutorial también explica cómoconfigurar volver a montar de forma automática los subdirectorios si se reinicia el sistema.

Suponga que dispone de un sistema de archivos de Amazon EFS creado y montado en un directorio localen la instancia EC2. Vamos a llamarlo EFSroot.

Note

Puede seguir el ejercicio Introducción (p. 12) para crear y montar un sistema de archivos deAmazon EFS en su instancia EC2.

En los siguientes pasos, va a crear un usuario (mike), un subdirectorio para el usuario (EFSroot/mike),asegurarse de que el usuario mike es el propietario del subdirectorio, otorgarle permisos completos y, porúltimo, montar el subdirectorio de Amazon EFS en el directorio principal del usuario (/home/mike).

1. Cree el usuario mike:

• Inicie sesión en la instancia EC2. Utilizando privilegios raíz (en este caso, utilizando el comandosudo), cree el usuario mike y asigne una contraseña.

$ sudo useradd -c "Mike Smith" mike$ sudo passwd mike

Esto también crea un directorio principal, /home/mike, para el usuario.2. Cree un subdirectorio bajo EFSroot para el usuario mike:

a. Cree el subdirectorio mike bajo EFSroot.

$ sudo mkdir /EFSroot/mike

Tendrá que sustituir EFSroot por el nombre de su directorio local.b. El usuario raíz y el grupo raíz son los propietarios del subdirectorio /mike (puede verificarlo

utilizando el comando ls -l). Para habilitar los permisos completos para el usuario mike en estesubdirectorio, conceda a mike la propiedad del directorio.

$ sudo chown mike:mike /EFSroot/mike

132

Amazon Elastic File System Guía del usuarioVolver a montar automáticamente al reiniciar

3. Utilice el comando mount para montar el subdirectorio EFSroot/mike en el directorio principal demike.

$ sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport mount-target-DNS:/mike /home/mike

La dirección mount-target-DNS identifica la raíz del sistema de archivos de Amazon EFS remoto.

Ahora el directorio principal del usuario mike es un subdirectorio, en el que mike puede escribir, del sistemade archivos de Amazon EFS. Si desmonta este destino de montaje, el usuario no puede obtener acceso asu directorio de EFS sin volver a montar, lo que requiere permisos raíz.

Volver a montar automáticamente al reiniciarPuede utilizar el archivo fstab para volver a montar automáticamente su sistema de archivos después decualquier reinicio del sistema. Para obtener más información, consulte Cómo montar el sistema de archivosde Amazon EFS automáticamente (p. 72).

Tutorial: Crear y montar un sistema de archivoslocal con AWS Direct Connect y una VPN

Este tutorial utiliza la Consola de administración de AWS para crear y montar un sistema de archivos en uncliente local. Puede realizar esta operación mediante una conexión AWS Direct Connect o una conexión enuna red privada virtual (VPN) de AWS.

Note

No se admite el uso de Amazon EFS con clientes basados en Microsoft Windows.

Temas• Antes de empezar (p. 134)• Paso 1: Crear sus recursos de Amazon Elastic File System (p. 134)• Paso 2: Instalar el cliente NFS (p. 135)• Paso 3: Montar el sistema de archivos de Amazon EFS en su cliente local (p. 136)• Paso 4: Limpiar recursos y proteger la cuenta de AWS (p. 137)• Opcional: Cifrado de datos en tránsito (p. 137)

En este tutorial, se parte de la base de que ya dispone de una conexión AWS Direct Connect o VPN. Sino dispone de una, puede iniciar el proceso de conexión ahora y volver a este tutorial cuando se hayaestablecido la conexión. Para obtener más información sobre AWS Direct Connect, consulte la Guía delusuario de AWS Direct Connect. Para obtener más información sobre cómo configurar una conexión deVPN, consulte Conexiones de VPN en la Guía del usuario de Amazon VPC.

Si tiene una conexión AWS Direct Connect o de VPN, creará un sistema de archivos de Amazon EFS y undestino de montaje en su Amazon VPC. Después, descargue e instale las herramientas amazon-efs-utils.

133

https://docs.aws.amazon.com/directconnect/latest/UserGuide/

https://docs.aws.amazon.com/directconnect/latest/UserGuide/

https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html

Amazon Elastic File System Guía del usuarioAntes de empezar

A continuación, probará el sistema de archivos desde su cliente local. Por último, el paso de limpieza alfinal del tutorial le ofrece información para que elimine estos recursos.

El tutorial crea todos estos recursos en la región EE.UU. Oeste (Oregón) (us-west-2).Independientemente de la región de AWS que utilice, asegúrese de utilizarla de forma coherente. Todoslos recursos (su VPC, su objetivo montado y su sistema de archivos de Amazon EFS) deben estar en lamisma región de AWS.

Note

En algunos casos, la aplicación local es posible que tenga que saber si el sistema de archivosse encuentra disponible. En estos casos, la aplicación debe ser capaz de apuntar a unadirección IP de punto de montaje diferente si el primer punto de montaje deja de estar disponibletemporalmente. En este caso, le recomendamos que tenga dos clientes locales conectados a susistema de archivos a través de distintas zonas de disponibilidad (AZ) para mayor disponibilidad.

Antes de empezarPuede utilizar las credenciales raíz de su cuenta de AWS para iniciar sesión en la consola y probar esteejercicio. Sin embargo, las prácticas recomendadas de AWS Identity and Access Management (IAM) dicenque no utilicen las credenciales raíz de su cuenta de AWS. En su lugar, cree un usuario administradoren su cuenta y utilice esas credenciales para administrar los recursos de su cuenta. Para obtener másinformación, consulte Configuración (p. 9).

Puede utilizar una VPC predeterminada o una VPC personalizada que haya creado en su cuenta. Paraeste tutorial, la configuración de la VPC predeterminada funciona. Sin embargo, si utiliza una VPCpersonalizada, verifique lo siguiente:

• La gateway de Internet está conectada a su VPC. Para obtener más información, consulte Gateways deInternet en la Guía del usuario de Amazon VPC.

• La tabla de ruteo de la VPC incluye una regla para enviar todo el tráfico vinculado a Internet a la gatewayde Internet.

Paso 1: Crear sus recursos de Amazon Elastic FileSystemEn este paso, crea el sistema de archivos de Amazon EFS y los destinos de montaje.

Para crear su sistema de archivos de Amazon EFS

1. Abra la consola de Amazon EFS en https://console.aws.amazon.com/efs/.2. Seleccione Create File System (Crear sistema de archivos).3. Seleccione su VPC predeterminada en la lista VPC.4. Seleccione las casillas de verificación para todas las zonas de disponibilidad. Asegúrese de que

todos tengan las subredes predeterminadas, direcciones IP automáticas y los grupos de seguridadpredeterminados elegidos. Estos son sus destinos de montaje. Para obtener más información,consulte Crear destinos de montaje (p. 29).

5. Seleccione Next Step.6. Asigne un nombre al sistema de archivos, mantenga el modo general purpose (fines generales)

seleccionado como modo de desempeño predeterminado y elija Next Step (Paso siguiente).7. Seleccione Create File System (Crear sistema de archivos).8. Elija su sistema de archivos de la lista y anote el valor de Security group (Grupo de seguridad).

Necesitará este valor para el siguiente paso.

134




Amazon Elastic File System Guía del usuarioPaso 2: Instalar el cliente NFS

El sistema de archivos que acaba de crear tiene destinos de montaje. Cada destino de montaje tiene ungrupo de seguridad asociado. El grupo de seguridad funciona como un firewall virtual que controla el tráficode red. Si no proporciona un grupo de seguridad al crear un destino de montaje, Amazon EFS le asocia elgrupo de seguridad predeterminado de la VPC. Si ha seguido los pasos anteriores exactamente, entonceslos destinos de montaje están utilizando el grupo de seguridad predeterminado.

A continuación, añadirá una regla al grupo de seguridad del destino de montaje para permitir el tráficoentrante al puerto de Network File System (NFS) (2049). Puede utilizar la Consola de administración deAWS para añadir la regla a los grupos de seguridad de su destino de montaje en la VPC.

Para permitir el tráfico entrante al puerto NFS

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

2. En NETWORK & SECURITY (RED Y SEGURIDAD), elija Security Groups (Grupos de seguridad).3. Elija el grupo de seguridad asociado a su sistema de archivos. Ha tomado nota de ello al final de Paso

1: Crear sus recursos de Amazon Elastic File System (p. 134).4. En el panel de pestañas que aparece debajo de la lista de grupos de seguridad, elija la pestaña

Inbound (Entrante).5. Elija Edit.6. Elija Add Rule (Añadir regla) y elija una regla del siguiente tipo:

• Type (Tipo): NFS• Source (Origen): cualquiera

Le recomendamos que solo use el origen Anywhere (Cualquiera) para pruebas. Tiene la opción decrear un origen personalizado definido en la dirección IP del cliente local o utilizar la consola del propiocliente y elegir My IP (Mi IP).

Note

No es necesario añadir una regla de salida, ya que la regla de salida predeterminada permiteque salga todo el tráfico. Si no dispone de esta regla de salida predeterminada, añada unaregla de salida para abrir una conexión TCP en el puerto NFS, identificando el grupo deseguridad de destino de montaje como destino.

Paso 2: Instalar el cliente NFSEn este paso, instalará y configurará el cliente NFS.

Para instalar el cliente NFS en el servidor local

Note

Si necesita cifrar datos en tránsito, utilice el ayudante de montaje de Amazon EFS, amazon-efs-utils, en lugar del cliente NFS. Para obtener información acerca de la instalación de amazon-efs-utils, consulte la sección Opcional: Cifrado de datos en tránsito.

1. Obtenga acceso al terminal para su cliente local.2. Instale NFS.

Si utiliza Red Hat Linux, instale NFS con el siguiente comando.


135



Amazon Elastic File System Guía del usuarioPaso 3: Montar el sistema de archivos

de Amazon EFS en su cliente local

Si utiliza Ubuntu, instale NFS con el siguiente comando.

$ sudo apt-get -y install nfs-common

Paso 3: Montar el sistema de archivos de AmazonEFS en su cliente localPara crear un directorio de montaje

1. Haga un directorio para el punto de montaje con el siguiente comando.

Example

mkdir ~/efs

2. Elija su dirección IP preferida del destino de montaje en la zona de disponibilidad. Puede medir lalatencia de sus clientes de Linux locales. Para ello, utilice una herramienta basada en el terminalcomo ping frente a la dirección IP de sus instancias EC2 en diferentes zonas de disponibilidad paraencontrar la que tenga la latencia más baja.

• Ejecute el comando de montaje para montar el sistema de archivos utilizando la dirección IP deldestino de montaje.

$ sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport mount-target-IP:/ ~/efs

Ahora que ha montado su sistema de archivos de Amazon EFS, puede probarlo con el procedimiento quese indica a continuación.

Para probar la conexión del sistema de archivos de Amazon EFS

1. Cambie los directorios al nuevo directorio que ha creado con el comando siguiente.

$ cd ~/efs

2. Cree un subdirectorio y cambie la propiedad de dicho subdirectorio a su usuario de instancia EC2. Acontinuación, diríjase a ese nuevo directorio con los siguientes comandos.

$ sudo mkdir getting-started$ sudo chown ec2-user getting-started$ cd getting-started

3. Cree un archivo de texto con el siguiente comando.


4. Muestre el contenido del directorio con el siguiente comando.

$ ls -al

136


Como resultado, se crea el siguiente archivo.

-rw-rw-r-- 1 username username 0 Nov 15 15:32 test-file.txt

También puede montar el sistema de archivos automáticamente mediante la incorporación de una entradaen el archivo /etc/fstab. Para obtener más información, consulte Cómo montar el sistema de archivosde Amazon EFS automáticamente (p. 72).

Warning


Paso 4: Limpiar recursos y proteger la cuenta de AWSUna vez que haya terminado este tutorial o si no desea explorarlo, debe seguir estos pasos para limpiarsus recursos y proteger su cuenta de AWS.


1. Desmonte el sistema de archivos de Amazon EFS con el siguiente comando.

$ sudo umount ~/efs



6. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.7. En el panel de navegación, elija Security Groups.8. Seleccione el nombre del grupo de seguridad al que añadió la regla a para este tutorial.

Warning

No elimine el grupo de seguridad predeterminado para la VPC.9. En Actions (Acciones), elija Edit inbound rules (Editar reglas de entrada).10. Elija la X al final de la regla de entrada que ha añadido y seleccione Save (Guardar).

Opcional: Cifrado de datos en tránsitoPara cifrar datos en tránsito, utilice el ayudante de montaje de Amazon EFS, amazon-efs-utils, en lugar delcliente NFS.

El paquete amazon-efs-utils es una colección de herramientas de Amazon EFS de código abierto. Lacolección de amazon-efs-utils incluye un ayudante de montaje y las herramientas que facilitan el cifrado dedatos en tránsito para Amazon EFS. Para obtener más información sobre este paquete, consulte Uso de

137



Amazon Elastic File System Guía del usuarioOpcional: Cifrado de datos en tránsito

las herramientas amazon-efs-utils (p. 44). Este paquete se puede descargar de forma gratuita de GitHub,que puede obtener clonando el repositorio del paquete.

Para clonar amazon-efs-utils de GitHub

1. Obtenga acceso al terminal para su cliente local.2. Desde el terminal, clone la herramienta amazon-efs-utils de GitHub a un directorio de su elección, con

el siguiente comando.

git clone https://github.com/aws/efs-utils

Ahora que tiene el paquete, puede instalarlo. Esta instalación se gestiona de forma distinta en función de ladistribución de Linux de su cliente local. Se admiten las siguientes distribuciones:

• Amazon Linux 2• Amazon Linux• Red Hat Enterprise Linux (y sus derivados como CentOS) versión 7 y posteriores• Ubuntu 16.04 LTS y posterior

Para compilar e instalar amazon-efs-utils como un paquete RPM



make rpm

Note

Si aún no lo ha hecho, instale el paquete rpm-builder con el comando siguiente.

sudo yum -y install rpm-build


sudo yum -y install build/amazon-efs-utils*rpm

Para compilar e instalar amazon-efs-utils como un paquete deb



./build-deb.sh


sudo apt-get install build/amazon-efs-utils*deb

Una vez que el paquete esté instalado, configure amazon-efs-utils para que utilice su región de AWS conAWS Direct Connect o la VPN.

138

Amazon Elastic File System Guía del usuarioOpcional: Cifrado de datos en tránsito

Para configurar amazon-efs-utils para que utilice su región de AWS

1. Con el editor de textos que prefiera, abra /etc/amazon/efs/efs-utils.conf para editarlo.2. Busque la línea “dns_name_format = {fs_id}.efs.{region}.amazonaws.com”.3. Cambie {region} con el ID de la región de AWS, por ejemplo us-west-2.

Para montar el sistema de archivos de EFS en su cliente local, en primer lugar, abra un terminal en sucliente Linux local. Para montar el sistema, necesita el ID del sistema de archivos, la dirección IP deldestino de montaje para uno de sus destinos de montaje y la región de AWS del sistema de archivos. Si hacreado varios destinos de montaje para su sistema de archivos, entonces puede elegir cualquiera de estos.

Cuando tenga esa información, puede montar el sistema de archivos en tres pasos:

Para crear un directorio de montaje


Example

mkdir ~/efs

2. Elija su dirección IP preferida del destino de montaje en la zona de disponibilidad. Puede medir lalatencia de sus clientes de Linux locales. Para ello, utilice una herramienta basada en el terminalcomo ping frente a la dirección IP de sus instancias EC2 en diferentes zonas de disponibilidad paraencontrar la que tenga la latencia más baja.

Para actualizar /etc/hosts

• Agregue una entrada a su archivo /etc/hosts local con el ID de sistema de archivos y la direcciónIP del destino de montaje, en el siguiente formato.

mount-target-IP-Address file-system-ID.efs.region.amazonaws.com

Example

192.0.2.0 fs-12345678.efs.us-west-2.amazonaws.com



Example

mkdir ~/efs

2. Ejecute el comando de montaje para montar el sistema de archivos.

Example

sudo mount -t efs fs-12345678 ~/efs

Si desea utilizar el cifrado de datos en tránsito, el comando de montaje será parecido al siguiente.

139

Amazon Elastic File System Guía del usuarioTutorial: Montar un sistema de

archivos desde una VPC distinta

Example

sudo mount -t efs -o tls fs-12345678 ~/efs

Tutorial: Montar un sistema de archivos desde unaVPC distinta

En este tutorial, va a configurar una instancia Amazon EC2 para montar un sistema de archivos deAmazon EFS que está en una nube virtual privada (VPC) distinta. Para ello, utilice el ayudante de montajede EFS. El ayudante de montaje forma parte del conjunto de herramientas amazon-efs-utils. Paraobtener más información acerca de amazon-efs-utils, consulte Uso de las herramientas amazon-efs-utils (p. 44).

La VPC del cliente y la VPC de su sistema de archivos de EFS deben conectarse mediante unainterconexión de VPC o una gateway de tránsito de VPC. Cuando utiliza una interconexión de VPC o unagateway de tránsito para conectar las VPC, las instancias Amazon EC2 en una VPC pueden acceder a lossistemas de archivos de EFS en otra VPC, incluso si las VPC pertenecen a diferentes cuentas.

Note

No se admite el uso de Amazon EFS con clientes basados en Microsoft Windows.

Temas• Antes de empezar (p. 140)• Paso 1: Determinar el ID de la zona de disponibilidad del destino de montaje de EFS (p. 141)• Paso 2: Determinar la dirección IP del destino de montaje (p. 141)• Paso 3: Agregar una entrada de host para el destino de montaje (p. 142)• Paso 4: Montar el sistema de archivos con el ayudante de montaje de EFS (p. 142)• Paso 5: Limpiar recursos y proteger la cuenta de AWS (p. 144)

Antes de empezarEn este tutorial, se supone que ya dispone de lo siguiente:

• El conjunto de herramientas amazon-efs-utils se instala en la instancia EC2 antes de utilizar esteprocedimiento. Para obtener instrucciones sobre cómo instalar amazon-efs-utils, consulte Uso delas herramientas amazon-efs-utils (p. 44).

• Uno de los siguientes:• Una interconexión con VPC entre la VPC donde reside el sistema de archivos de EFS y la VPC donde

reside la instancia EC2. Una interconexión de VPC es una conexión de red entre dos instancias deVPC. Este tipo de conexión permite enrutar el tráfico entre ellas mediante direcciones de protocolode Internet versión 4 (IPv4) o de protocolo de Internet versión 6 (IPv6) privadas. Puede utilizar lainterconexión de VPC para conectar VPC dentro de la misma región de AWS o entre regiones deAWS. Para obtener más información, consulte Creación y aceptación de interconexiones de VPC en laAmazon VPC Peering Guide.

• Una gateway de tránsito que conecta la VPC donde reside el sistema de archivos EFS y la VPC dondereside la instancia EC2. Un gateway de tránsito es un hub de tránsito de red que puede utilizar parainterconectar sus VPC y redes locales. Para obtener más información, consulte Getting Started withTransit Gateways en la Guía Gateways de tránsito de Amazon VPC.

140

https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html



Amazon Elastic File System Guía del usuarioPaso 1: Determinar el ID de la zona de

disponibilidad del destino de montaje de EFS

Paso 1: Determinar el ID de la zona de disponibilidaddel destino de montaje de EFSPara garantizar una alta disponibilidad del sistema de archivos, recomendamos utilizar siempre unadirección IP del destino de montaje de EFS que esté en la misma zona de disponibilidad que su clienteNFS. Si va a montar un sistema de archivos de EFS que esté en otra cuenta, asegúrese de que el clienteNFS y el destino de montaje de EFS estén en el mismo ID de zona de disponibilidad. Este requisito seaplica porque los nombres de zona de disponibilidad pueden ser distintos entre las cuentas.

Para determinar el ID de la zona de disponibilidad de la instancia EC2


• Para conectarse a la instancia desde un equipo que ejecute macOS o Linux, especifique elarchivo .pem para su comando SSH. Para ello, use la opción -i y la ruta a su clave privada.



• Conexión a la instancia de Linux mediante SSH• Conexión a la instancia Linux desde Windows utilizando PuTTY

2. Determine el ID de zona de disponibilidad en el que se encuentra la instancia EC2 mediante elcomando describe-availability-zones de la CLI, como se indica a continuación.

[[email protected]] $ aws ec2 describe-availability-zones --zone-name `curl -s http://169.254.169.254/latest/meta-data/placement/availability-zone`{ "AvailabilityZones": [ { "State": "available", "ZoneName": "us-east-2b", "Messages": [], "ZoneId": "use2-az2", "RegionName": "us-east-2" } ]}

El ID de zona de disponibilidad se devuelve en la propiedad ZoneId, use2-az2.

Paso 2: Determinar la dirección IP del destino demontajeAhora que conoce el ID de zona de disponibilidad de la instancia EC2, puede recuperar la dirección IP deldestino de montaje que está en el mismo ID de zona de disponibilidad.

Para determinar la dirección IP del destino de montaje en el mismo ID de zona de disponibilidad

• Recupere la dirección IP del destino de montaje para su sistema de archivos en el ID de AZ use2-az2 mediante el comando de la CLI describe-mount-targets, como se indica a continuación.

141



Amazon Elastic File System Guía del usuarioPaso 3: Agregar una entrada dehost para el destino de montaje

$ aws efs describe-mount-targets --file-system-id file_system_id{ "MountTargets": [ { "OwnerId": "111122223333", "MountTargetId": "fsmt-11223344", =====> "AvailabilityZoneId": "use2-az2", "NetworkInterfaceId": "eni-048c09a306023eeec", "AvailabilityZoneName": "us-east-2b", "FileSystemId": "fs-01234567", "LifeCycleState": "available", "SubnetId": "subnet-06eb0da37ee82a64f", "OwnerId": "958322738406", =====> "IpAddress": "10.0.2.153" }, ... { "OwnerId": "111122223333", "MountTargetId": "fsmt-667788aa", "AvailabilityZoneId": "use2-az3", "NetworkInterfaceId": "eni-0edb579d21ed39261", "AvailabilityZoneName": "us-east-2c", "FileSystemId": "fs-01234567", "LifeCycleState": "available", "SubnetId": "subnet-0ee85556822c441af", "OwnerId": "958322738406", "IpAddress": "10.0.3.107" } ]}

El destino de montaje en el ID de zona de disponibilidad use2-az2 tiene una dirección IP de10.0.2.153.

Paso 3: Agregar una entrada de host para el destinode montajeAhora puede agregar una entrada en el archivo /etc/hosts de la instancia EC2 que asigne la direcciónIP del destino de montaje al nombre de host de su sistema de archivos de EFS.

Para agregar una entrada de host para el destino de montaje

• Agregue una línea para la dirección IP del destino de montaje al archivo /etc/hosts de lainstancia EC2. La entrada utiliza el formato mount-target-IP-Address file-system-ID.efs.region.amazonaws.com. Utilice el comando siguiente para agregar la línea al archivo.

echo "10.0.2.153 fs-01234567.efs.us-east-2.amazonaws.com" | sudo tee -a /etc/hosts

Paso 4: Montar el sistema de archivos con el ayudantede montaje de EFSPara montar el sistema de archivos de EFS, primero debe crear un directorio de montaje en la instanciaEC2. Después, utilizando el ayudante de montaje de EFS, puede montar el sistema de archivos con unaautorización de IAM o un punto de acceso EFS. Para obtener más información, consulte Uso de IAM

142

Amazon Elastic File System Guía del usuarioPaso 4: Montar el sistema de archivoscon el ayudante de montaje de EFS

para controlar el acceso de NFS a Amazon EFS (p. 166) y Trabajar con puntos de acceso AmazonEFS (p. 178).


• Cree un directorio para montar el sistema de archivos mediante el comando siguiente.

$ sudo mkdir /mnt/efs/

Para montar el sistema de archivos con una autorización de IAM

• Utilice el comando siguiente para montar el sistema de archivos con una autorización de IAM.

$ sudo mount -t efs -o tls,iam file-system-id /mnt/efs/

Para montar el sistema de archivos con un punto de acceso EFS

• Utilice el comando siguiente para montar el sistema de archivos con un punto de acceso EFS.

$ sudo mount -t efs -o tls,accesspoint=access-point-id file-system-id /mnt/efs/

Ahora que ha montado su sistema de archivos de Amazon EFS, puede probarlo con el procedimiento quese indica a continuación.

Para probar la conexión del sistema de archivos de Amazon EFS

1. Cambie los directorios al nuevo directorio que ha creado con el comando siguiente.

$ cd ~/mnt/efs

2. Cree un subdirectorio y cambie la propiedad de dicho subdirectorio a su usuario de instancia EC2. Acontinuación, diríjase a ese nuevo directorio con los siguientes comandos.

$ sudo mkdir getting-started$ sudo chown ec2-user getting-started$ cd getting-started

3. Cree un archivo de texto con el siguiente comando.


4. Muestre el contenido del directorio con el siguiente comando.

$ ls -al

Como resultado, se crea el siguiente archivo.

-rw-rw-r-- 1 username username 0 Nov 15 15:32 test-file.txt

También puede montar el sistema de archivos automáticamente mediante la incorporación de unaentrada en el archivo /etc/fstab. Para obtener más información, consulte Usar /etc/fstab para montarautomáticamente (p. 73).

143


Warning


Paso 5: Limpiar recursos y proteger la cuenta de AWSUna vez que haya terminado este tutorial, o si no desea explorar los tutoriales, asegúrese de realizar lospasos siguientes. Estos sirven para limpiar los recursos y proteger su cuenta de AWS.


1. Desmonte el sistema de archivos de Amazon EFS con el siguiente comando.

$ sudo umount ~/efs



6. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.7. En el panel de navegación, elija Security Groups.8. Seleccione el nombre del grupo de seguridad al que añadió la regla a para este tutorial.

Warning

No elimine el grupo de seguridad predeterminado para la VPC.9. En Actions (Acciones), elija Edit inbound rules (Editar reglas de entrada).10. Elija la X al final de la regla de entrada que ha añadido y seleccione Save (Guardar).

Tutorial: Aplicar cifrado en reposo a un sistema dearchivos de Amazon EFS

A continuación, encontrará detalles acerca de cómo aplicar cifrado en reposo utilizando AmazonCloudWatch y AWS CloudTrail. Este tutorial se basa en el documento técnico de AWS sobre Cifrado dedatos en reposo con sistemas de archivos cifrados de Amazon EFS.

Aplicación del cifrado en reposoSu organización podría necesitar el cifrado en reposo de todos los datos que cumplan una clasificaciónespecífica o que se asocien a una determinada aplicación, carga de trabajo o entorno. Puede aplicarpolíticas para el cifrado de datos en reposo para los sistemas de archivos de Amazon EFS mediante el usode controles de detección. Estos controles detectan la creación de un sistema de archivos y verifican queel cifrado en reposo esté habilitado.

Si se detecta un sistema de archivos sin cifrado en reposo, puede responder de varias formas distintas.Estas van desde eliminar el sistema de archivos y destinos de montaje a notificar al administrador.

144



https://d1.awsstatic.com/whitepapers/Security/amazon-efs-encrypted-filesystems.pdf

https://d1.awsstatic.com/whitepapers/Security/amazon-efs-encrypted-filesystems.pdf

Amazon Elastic File System Guía del usuarioAplicación del cifrado en reposo

Si desea eliminar un sistema de archivos que carece de cifrado en reposo, pero desea conservar los datos,primero debe crear un nuevo sistema de archivos con cifrado en reposo. A continuación, copie los datosal nuevo sistema de archivos con cifrado en reposo. Una vez que se copian los datos, puede eliminar elsistema de archivos que carece de cifrado en reposo.

Detectar sistemas de archivos que carecen de cifrado en reposoPuede crear una alarma de CloudWatch para monitorear los registros de CloudTrail para el eventoCreateFileSystem. A continuación, puede activar la alarma para que notifique a un administrador si elsistema de archivos que se creó carecía de cifrado en reposo.

Crear un filtro de métricasPara crear una alarma de CloudWatch que se active cuando se crea un sistema de archivos de AmazonEFS sin cifrado en reposo, utilice el siguiente procedimiento.

Antes de comenzar, debe disponer de un registro de seguimiento existente que envíe registros deCloudTrail a un grupo de registros de CloudWatch Logs. Para obtener más información, consulte Envío deeventos a CloudWatch Logs en la AWS CloudTrail User Guide.

Para crear un filtro de métricas

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, elija Logs.3. En la lista de grupos de registro, seleccione el grupo de registro que ha creado para los eventos de

registro de CloudTrail.4. Elija Create Metric Filter.5. En la página Define Logs Metric Filter (Definir filtro de métricas de registros), seleccione Filter Pattern

(Patrón del filtro) y escriba lo siguiente:

{ ($.eventName = CreateFileSystem) && ($.responseElements.encrypted IS FALSE) }

6. Elija Assign Metric.7. En Filter Name (Nombre del filtro), escriba UnencryptedFileSystemCreated.8. En Metric Namespace (Espacio de nombres de métrica), escriba CloudTrailMetrics.9. En Metric Name (Nombre de la métrica), escriba UnencryptedFileSystemCreatedEventCount.10. Elija Show advanced metric settings.11. En Metric Value (Valor de la métrica), escriba 1.12. Elija Create Filter.

Crear una alarmaDespués de crear el filtro de métricas, utilice el siguiente procedimiento para crear una alarma.

Para crear una alarma

1. En Filters (Filtros) en la página Log_Group_Name (Registro_Grupo_Nombre), al lado del nombre dearchivo UnencryptedFileSystemCreated, seleccione Create Alarm (Crear alarma).

2. En la página Create Alarm (Crear alarma), defina los siguientes parámetros:

• En Name (Nombre), escriba Unencrypted File System Created• En Whenever (Siempre que), haga lo siguiente:

• Establezca is (es) en > = 1

145

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html


Amazon Elastic File System Guía del usuarioAplicación del cifrado en reposo

• Establezca for: (para:) en 1 periodo(s) consecutivo(s).• Para Treat missing data as (Tratar los datos que faltan como), seleccione good (not breaching

threshold) (correctos [dentro del umbral]).• En Actions (Acciones), haga lo siguiente:

• En Whenever this alarm, elija State is ALARM.• En Send notification to (Enviar notificación a), seleccioneNotifyMe (Notificarme), New list (Nueva

lista) y escriba un nombre de tema único para esta lista.• En Email list (Lista de direcciones de correo electrónico), escriba la dirección de correo electrónico

a donde desea que se envíen las notificaciones. (Debe recibir un correo electrónico en estadirección para confirmar que ha creado esta alarma).

• En Alarm Preview (Vista previa de la alarma), haga lo siguiente:• En Period (Periodo), seleccione 1 Minute (1 minuto).• En Statistic (Estadística), seleccione Standard (Estándar) y Sum (Suma).

3. Elija Create Alarm.

Probar la alarma para la Creación de sistemas de archivos sincifrarPara probar la alarma, cree un sistema de archivos sin cifrado en reposo, tal y como se indica acontinuación.

Para probar la alarma, cree un sistema de archivos sin cifrado en reposo


2. Seleccione Create file system (Crear sistema de archivos) para mostrar el cuadro de diálogo Createfile system (Crear sistema de archivos).

3. Para crear un sistema de archivos sin cifrado en reposo, seleccione Customize (Personalizar) paramostrar la página File system settings (Configuración del sistema de archivos).

4. En la configuración General, escriba lo siguiente.

a. (Opcional) Escriba un nombre para el sistema de archivos.b. Mantenga Lifecycle management (Administración del ciclo de vida), Performance mode (Modo de

rendimiento) y Throughput mode (Modo de desempeño) en los valores predeterminados.c. Desactive el cifrado desmarcando Enable encryption of data at rest (Habilitar cifrado de datos en

reposo).5. Seleccione Next (Siguiente) para continuar con el paso Network Access (Acceso a la red) del proceso

de configuración.6. Elija la Virtual Private Cloud (VPC) predeterminada.7. En Mount targets (Destinos de montaje), elija los grupos de seguridad predeterminados en cada uno

de los destinos de montaje.8. Seleccione Next (Siguiente) para mostrar la página File system policy (Política de sistema de

archivos).9. Seleccione Next (Siguiente) para pasar a la página Review and create (Revisar y crear).10. Revise el sistema de archivos y seleccione Create (Crear) para crear el sistema de archivos y volver a

la página File systems (Sistemas de archivos).

Su registro de seguimiento registra la operación CreateFileSystem y suministra el evento a su grupode registro de CloudWatch Logs. El evento activa la alarma métrica y CloudWatch Logs le envía unanotificación sobre el cambio.

146



Amazon Elastic File System Guía del usuarioTutorial: Habilitar la agrupación denodo raíz mediante IAM para NFS

Tutorial: Habilitar la agrupación de nodo raízmediante la autorización de IAM para clientes NFS

En esta explicación, se configura Amazon EFS para impedir el acceso del nodo raíz a su sistema dearchivos de Amazon EFS en todas las entidades principales de AWS, excepto para una única estación detrabajo de administración. Se hace configurando la autorización de AWS Identity and Access Management(IAM) para clientes de sistema de archivos de red (NFS). Para obtener más información acerca de laautorización de IAM para clientes NFS en EFS, consulte Uso de IAM para controlar el acceso de NFS aAmazon EFS (p. 166).

Para ello, es necesario configurar dos políticas de permisos de IAM, como se indica a continuación.

• Cree una política de sistema de archivos EFS que permita explícitamente el acceso de lectura y escrituraal sistema de archivos y deniegue implícitamente el acceso del nodo raíz.

• Asigne una identidad de IAM a la estación de trabajo de administración de Amazon EC2 que requiereacceso de nodo raíz al sistema de archivos mediante un perfil de instancia Amazon EC2. Para obtenermás información acerca de los perfiles de instancias de Amazon EC2, consulte Uso de perfiles deinstancia en la Guía del usuario de AWS Identity and Access Management.

• Asigne la política administrada de AWS AmazonElasticFileSystemClientFullAccess al rolde IAM de la estación de trabajo de administración. Para obtener más información sobre las políticasadministradas de AWS para EFS, consulte Políticas administradas (predefinidas) de AWS para AmazonEFS (p. 162).

Para habilitar la agrupación de nodo raíz mediante la autorización de IAM para clientes NFS, utilice losprocedimientos siguientes.

Para impedir el acceso raíz al sistema de archivos

1. Abra la consola de Amazon Elastic File System en https://console.aws.amazon.com/efs/.2. Seleccione File systems (Sistemas de archivos).3. En la página File systems (Sistemas de archivo), elija el sistema de archivos donde desea habilitar la

agrupación raíz.4. En la página de detalles del sistema de archivos, seleccione File system policy (Política de sistema de

archivos) y, a continuación, Edit (Editar). Aparece la página File system policy (Política del sistema dearchivos).

147

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html



5. Seleccione Prevent root access by default* (Impedir el acceso raíz de forma predeterminada*) enPolicy options (Opciones de política). El objeto JSON de la política aparece en el editor de políticas.

6. Elija Save (Guardar) para guardar la política del sistema de archivos.

Los clientes que no son anónimos pueden obtener acceso raíz al sistema de archivosa través de una política basada en la identidad. Cuando asocia la política administradaAmazonElasticFileSystemClientFullAccess a la función de la estación de trabajo, IAM concedeacceso raíz a la estación de trabajo en función de su política de identidad.

Para habilitar el acceso raíz desde la estación de trabajo de administración

1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.2. Crear un rol para Amazon EC2 llamado EFS-client-root-access. IAM crea un perfil de instancia

con el mismo nombre que el rol de EC2 que ha creado.3. Asigne la política administrada de AWS AmazonElasticFileSystemClientFullAccess a la

función EC2 que ha creado. El contenido de esta política se muestra a continuación.

{ “Version”: “2012-10-17”, “Statement”: [ { “Resource”: “*”, “Effect”: “Allow”, “Action”: “elasticfilesystem:Client*” } ], "Condition": {}}

4. Asocie el perfil de instancia a la instancia EC2 que está utilizando como estación de trabajo deadministración, como se describe a continuación. Para obtener más información, consulte Adjuntar unrol de IAM a una instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.

a. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

148

https://console.aws.amazon.com/iam/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#attach-iam-role

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#attach-iam-role



b. En el panel de navegación, seleccione Instances (Instancias).c. Seleccione la instancia. Para Actions (Acciones), elija Instance Settings (Configuración de

instancia) y, a continuación, elija Attach/Replace IAM role (Asociar/sustituir rol de IAM).d. Seleccione el rol de IAM que creó en el primer paso, EFS-client-root-access, y elija Apply

(Aplicar).5. Instale el ayudante de montaje EFS en la estación de trabajo de administración. Para obtener más

información sobre el ayudante de montaje EFS y el paquete amazon-efs-utils, consulte Uso de lasherramientas amazon-efs-utils (p. 44).

6. Monte el sistema de archivos EFS en la estación de trabajo de administración mediante el siguientecomando con la opción de montaje iam.

$ sudo mount -t efs -o tls,iam file-system-id:/ efs-mount-point

Puede configurar la instancia de Amazon EC2 para que monte automáticamente el sistema dearchivos con autorización de IAM. Para obtener más información sobre cómo montar un sistema dearchivos EFS con autorización de IAM, consulte Montar con autorización IAM (p. 69).

149

Amazon Elastic File System Guía del usuarioCifrado de datos en EFS

Seguridad en Amazon EFSLa seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficiará de unaarquitectura de red y un centro de datos diseñados para satisfacer los requisitos de seguridad de lasorganizaciones más exigentes.

La seguridad es una responsabilidad compartida entre AWS y usted. El modelo de responsabilidadcompartida la describe como seguridad de la nube y seguridad en la nube:

• Seguridad de la nube – AWS es responsable de proteger la infraestructura que ejecuta servicios deAWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura.Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marcode los programas de conformidad de AWS. Para obtener más información acerca de los programas deconformidad que se aplican a Amazon Elastic File System, consulte Servicios de AWS en el ámbito delprograma de conformidad.

• Seguridad en la nube: su responsabilidad viene determinada por el servicio de AWS que utilice. Tambiénes responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa yla legislación y los reglamentos aplicables.

Esta documentación le ayuda a comprender cómo puede aplicar el modelo de responsabilidad compartidacuando se utiliza Amazon EFS. En los siguientes temas, aprenderá a configurar Amazon EFS parasatisfacer sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros servicios de AWSque le ayudarán a monitorizar y proteger sus recursos de Amazon EFS.

A continuación encontrará una descripción de las consideraciones de seguridad para trabajar con AmazonEFS. Existen cuatro niveles de control de acceso que deben tenerse en cuenta para sistemas de archivosde Amazon EFS, con distintos mecanismos utilizados para cada uno de ellos.

Temas• Cifrado de datos en EFS (p. 150)• Administración de identidad y acceso para Amazon EFS (p. 155)• Control del acceso de red a sistemas de archivo Amazon EFS para clientes NFS (p. 171)• Trabajar con usuarios, grupos y permisos en el nivel de Network File System (NFS) (p. 175)• Trabajar con puntos de acceso Amazon EFS (p. 178)• Registro y monitorización en Amazon EFS (p. 182)• Validación de la conformidad en Amazon Elastic File System (p. 182)• Resiliencia de Amazon Elastic File System (p. 183)• Aislamiento de red Amazon Elastic File System (p. 183)

Cifrado de datos en EFSAmazon EFS admite dos formas de cifrado para sistemas de archivos, el cifrado de datos en tránsito y enreposo. Puede habilitar el cifrado de datos en reposo al crear un sistema de archivos de Amazon EFS.Puede habilitar el cifrado de datos en tránsito cuando monte el sistema de archivos.

Cuándo usar cifradoSi su organización está sujeta a políticas reglamentarias o corporativas que requieren el cifrado de datosy metadatos en reposo, recomendamos crear un sistema de archivos cifrados montando el sistema dearchivos con el cifrado de datos en tránsito.

150

http://aws.amazon.com/compliance/shared-responsibility-model/

http://aws.amazon.com/compliance/shared-responsibility-model/

http://aws.amazon.com/compliance/programs/

http://aws.amazon.com/compliance/services-in-scope/


Amazon Elastic File System Guía del usuarioCifrado de datos en reposo

Temas relacionadosPara obtener más información acerca del cifrado con Amazon EFS, consulte estos temas relacionados:

• Usar los recursos de Amazon EFS (p. 18)• Administrar el acceso a los sistemas de archivos cifrados (p. 66)• Consejos de rendimiento de Amazon EFS (p. 107)• Permisos de la API de Amazon EFS: referencia de acciones, recursos y condiciones (p. 164)• Entradas de archivos de registro de Amazon EFS para sistemas de archivos cifrados en reposo (p. 98)• Resolución de problemas de cifrado (p. 202)

Temas• Cifrado de datos en reposo (p. 151)• Cifrado de datos en tránsito (p. 153)

Cifrado de datos en reposoAl igual que ocurre con los sistemas de archivos sin cifrar, puede crear sistemas de archivos cifrados conla Consola de administración de AWS o la AWS CLI, o bien, mediante programación con la API de AmazonEFS o uno de los SDK de AWS. Su organización podría necesitar el cifrado en reposo de todos los datosque cumplan una clasificación específica o que se asocien a una determinada aplicación, carga de trabajoo entorno.

Puede supervisar si se está utilizando el cifrado en reposo para los sistemas de archivos Amazon EFSmediante Amazon CloudWatch y AWS CloudTrail para detectar la creación de un sistema de archivosy comprobar que el cifrado está habilitado. Para obtener más información, consulte Tutorial: Aplicarcifrado en reposo a un sistema de archivos de Amazon EFS (p. 144). Puede aplicar el cifrado en tránsitoen sistemas de archivos mediante una política de sistema de archivos. Para obtener más información,consulte Uso de IAM para controlar el acceso de NFS a Amazon EFS (p. 166).

Note

La infraestructura de administración de claves de AWS utiliza algoritmos criptográficos aprobadosFederal Information Processing Standards (FIPS) 140-2. La infraestructura se adhiere a lasrecomendaciones del National Institute of Standards and Technology (NIST) 800-57.

Cifrado de un sistema de archivos en reposo con la consolaPuede elegir habilitar el cifrado en reposo para un sistema de archivos cuando lo crea. El siguienteprocedimiento describe cómo habilitar el cifrado de un nuevo sistema de archivos cuando se crea desde laconsola.

Para cifrar un nuevo sistema de archivos en la consola

1. Abra la consola de Amazon Elastic File System en https://console.aws.amazon.com/efs/.2. Seleccione Create file system (Crear sistema de archivos) para abrir el asistente de creación de

sistemas de archivos.3. Para el paso 1: Configurar acceso a la red, elija la VPC, cree los destinos de montaje y seleccione

Next Step (Paso siguiente).4. Para el paso 2: Configurar los ajustes del sistema de archivos, agregue etiquetas, habilite la

administración del ciclo de vida, elija los modos de rendimiento y desempeño y habilite el cifrado paracifrar el sistema de archivos y, a continuación, elija Next step (Paso siguiente).

151


Amazon Elastic File System Guía del usuarioCifrado de datos en reposo

5. Para el paso 3. Configurar el acceso del cliente, puede elegir una File system policy (Política delsistema de archivos), preconfigurada o usar el editor JSON en la pestaña {} JSON para crear unapolítica más avanzada. Para obtener más información, consulte Uso de IAM para controlar el accesode NFS a Amazon EFS (p. 166). Seleccione Next Step.

6. Para Paso 4: Revisar y crear, revise la configuración y haga clic en Create File System (Crear sistemade archivos).

Ahora tiene un nuevo sistema de archivos con cifrado en reposo.

Funcionamiento del cifrado en reposoEn un sistema de archivos cifrados, los datos y los metadatos se cifran automáticamente antes deescribirse en el sistema de archivos. Del mismo modo, cuando se leen los datos y metadatos, se descifranautomáticamente antes de que se presenten a la aplicación. Estos procesos los administra Amazon EFSde forma transparente, por lo que no tiene que modificar sus aplicaciones.

Amazon EFS utiliza un algoritmo de cifrado AES-256 EFS estándar de la industria para cifrar datos ymetadatos en reposo. Para obtener más información, consulte el tema Conceptos básicos de la criptografíaen la AWS Key Management Service Developer Guide.

Cómo Amazon EFS usa AWS KMSAmazon EFS se integra con AWS Key Management Service (AWS KMS) para la administración de claves.Amazon EFS usa claves maestras de cliente (CMK) para cifrar el sistema de archivos de la siguienteforma:

• Cifrado de metadatos en reposo: Amazon EFS usa la CMK administrada por AWS para AmazonEFS, aws/elasticfilesystem, para cifrar y descifrar metadatos del sistema de archivos (es decir,nombres de archivo, nombres de directorio y contenido de los directorios).

• Cifrado de datos de archivos en reposo: usted elige la CMK que se usa para cifrar y descifrar los datosde archivo (es decir, el contenido de los archivos). Puede habilitar, deshabilitar o revocar concesiones enesta CMK. Esta CMK puede ser de uno de los dos siguientes tipos:• CMK gestionada por AWS para Amazon EFS: esta es la CMK predeterminada, aws/elasticfilesystem. No se le cobrará por crear ni almacenar una CMK, pero sí por utilizarla. Paraobtener más información, consulte Precios de AWS Key Management Service.

• CMK administrada por el cliente: se trata de la clave maestra más flexible, ya que puede configurarlas políticas de claves y concesiones para varios usuarios o servicios. Para obtener más informaciónacerca de la creación de CMK, consulte Creación de claves en la AWS Key Management ServiceDeveloper Guide.

Si utiliza una CMK administrada por el cliente como clave maestra para el cifrado y descifrado dedatos de archivo, puede activar la rotación de claves. Cuando se activa la rotación de claves, AWSKMS rota automáticamente su clave una vez al año. Además, una CMK administrada por el cliente lepermite elegir el momento en que desea deshabilitar, volver a habilitar, eliminar o revocar el acceso asu CMK. Para obtener más información, consulte Desactivar, eliminar o revocar el acceso a la CMKpara un sistema de archivos (p. 66).

Important

Amazon EFS solo admite CMK simétricas. No se pueden usar CMK asimétricos con AmazonEFS.

El cifrado y descifrado de datos en reposo se administran de forma transparente. Sin embargo, los ID decuenta de AWS específicos de Amazon EFS aparecen en sus registros de AWS CloudTrail relacionadoscon las acciones de AWS KMS. Para obtener más información, consulte Entradas de archivos de registrode Amazon EFS para sistemas de archivos cifrados en reposo (p. 98).

152

https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html

https://aws.amazon.com/kms/pricing/

https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html

Amazon Elastic File System Guía del usuarioCifrado de datos en tránsito

Políticas de claves de Amazon EFS para AWS KMS

Las políticas de claves son la forma principal de controlar el acceso a las CMK. Para obtener másinformación sobre políticas de claves, consulte Uso de políticas de claves en AWS KMS en la AWS KeyManagement Service Developer Guide. En la siguiente lista se describen todos los permisos relacionadoscon AWS KMS que Amazon EFS admite para sistemas de archivos cifrados en reposo:

• kms:Encrypt: (opcional) cifra texto no cifrado en texto cifrado. Este permiso está incluido en la política declaves predeterminada.

• kms:Decrypt: (obligatorio) descifra texto cifrado. El texto cifrado es texto no cifrado que se ha cifradopreviamente. Este permiso está incluido en la política de claves predeterminada.

• kms:ReEncrypt: (opcional) cifra datos del lado del servidor con una nueva clave maestra de cliente(CMK) sin exponer el texto no cifrado de los datos en el lado del cliente. Los datos se descifran en primerlugar y luego se vuelven a cifrar. Este permiso está incluido en la política de claves predeterminada.

• kms:GenerateDataKeyWithoutPlaintext: (obligatorio) devuelve una clave de cifrado de datos cifrada conuna CMK. Este permiso está incluido en la política de claves predeterminada en kms:GenerateDataKey*.

• kms:CreateGrant: (obligatorio) añade una concesión a una clave para especificar quién puede utilizar laclave y en qué condiciones. Las concesiones son mecanismos de permiso alternativo para las políticasde claves. Para obtener más información acerca de concesiones, consulte Uso de concesiones en laAWS Key Management Service Developer Guide. Este permiso está incluido en la política de clavespredeterminada.

• kms:DescribeKey: (obligatorio) proporciona información detallada acerca de la clave maestra de clienteespecificada. Este permiso está incluido en la política de claves predeterminada.

• kms:ListAliases: (opcional) muestra todos los alias de clave de la cuenta. Si utiliza la consola para crearun sistema de archivos cifrados, este permiso rellena la lista Select KMS master key (Seleccionar clavemaestra de KMS). Le recomendamos que utilice este permiso para proporcionar la mejor experiencia deusuario. Este permiso está incluido en la política de claves predeterminada.

Cifrado de datos en tránsitoPuede cifrar los datos en tránsito utilizando un sistema de archivos de Amazon EFS sin necesidad demodificar las aplicaciones.

Cifrado de datos en tránsito con TLSHabilitar el cifrado de datos en tránsito para el sistema de archivos de Amazon EFS se realiza habilitandoTLS (Transport Layer Security) cuando se monta el sistema de archivos mediante dicho ayudante demontaje de Amazon EFS. Para obtener más información, consulte Montar con el ayudante de montaje deEFS (p. 68).

Cuando el cifrado de datos en tránsito se declara como una opción de montaje para su sistema dearchivos de Amazon EFS, el ayudante de montaje inicializa un proceso stunnel cliente. Stunnel es unaretransmisión de red multipropósito de código abierto. El proceso de stunnel cliente escucha en un puertolocal el tráfico entrante y el ayudante de montaje redirige el tráfico de cliente de sistema de archivos de red(NFS) a este puerto local. El ayudante de montaje usa TLS versión 1.2 para comunicarse con su sistemade archivos.

Para montar el sistema de archivos Amazon EFS con el ayudante de montaje con el cifrado dedatos en tránsito habilitado


153

https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html

https://docs.aws.amazon.com/kms/latest/developerguide/grants.html


Amazon Elastic File System Guía del usuarioCifrado de datos en tránsito

2. Ejecute el siguiente comando para montar el sistema de archivos.

sudo mount -t efs -o tls fs-12345678:/ /mnt/efs

Cómo funciona el cifrado en tránsitoPara habilitar el cifrado de datos en tránsito, se conecta Amazon EFS mediante TLS. Recomendamos queutilice el ayudante de montaje porque es la opción más sencilla.

Aunque no utilice el ayudante de montaje, puede habilitar el cifrado de datos en tránsito. A grandes rasgos,los pasos para hacerlo son los siguientes:

Para habilitar el cifrado de datos en tránsito sin el ayudante de montaje

1. Descargue e instale stunnel, y anote el puerto en que la aplicación escucha.2. Ejecute stunnel para conectarse al sistema de archivos de Amazon EFS en el puerto 2049 mediante

TLS.3. Utilizando el cliente NFS, monte localhost:port, donde port es el puerto que anotó en el primer

paso.

Debido a que el cifrado de datos en tránsito se configura según cada base de conexión, cada montajeconfigurado tiene un proceso stunnel específico que se ejecuta en la instancia. De forma predeterminada,el proceso de stunnel utilizado por el ayudante de montaje de los puertos locales escucha en los puertoslocales 20049 y 20449 y se conecta con Amazon EFS en el puerto 2049.

Note

De forma predeterminada, cuando se utiliza el ayudante de montaje de Amazon EFS con TLS,el ayudante de montaje aplica la comprobación de nombre de host del certificado. El ayudantede montaje de Amazon EFS utiliza el programa stunnel para la funcionalidad de TLS. Algunasversiones de Linux no incluyen una versión de stunnel que admita estas características de TLS deforma predeterminada. Cuando se utiliza una de esas versiones de Linux, montar un sistema dearchivos de Amazon EFS mediante TLS da error.Después de instalar el paquete amazon-efs-utils, para actualizar la versión de stunnel del sistema,consulte Actualización de stunnel (p. 46).Si tiene problemas con el cifrado, consulte Resolución de problemas de cifrado (p. 202).

Cuando se utiliza el cifrado de datos en tránsito, la configuración de su cliente NFS se modifica. Cuandoinspecciona los sistemas de archivos montados activamente, verá uno montado en 127.0.0.1 o localhost,tal y como se muestra en el siguiente ejemplo.

$ mount | column -t127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

Cuando monta con TLS y el ayudante de montaje de Amazon EFS, vuelve a configurar el cliente NFSpara montar en un puerto local. El ayudante de montaje inicia un proceso stunnel de cliente que escuchaen este puerto local y stunnel abre una conexión cifrada a EFS usando TLS. El ayudante de montaje deEFS es responsable de la configuración y el mantenimiento de esta conexión cifrada y la configuraciónasociada.

Para determinar qué ID de sistema de archivos de Amazon EFS corresponde a qué punto de montaje,puede utilizar el siguiente comando. Reemplace efs-mount-point por la ruta local donde montó elsistema de archivos.

154

Amazon Elastic File System Guía del usuarioIdentity and Access Management

grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1

Cuando utiliza el ayudante de montaje para el cifrado de datos en tránsito, también se crea un procesodenominado amazon-efs-mount-watchdog. Este proceso de vigilancia garantiza que cada proceso destunnel del montaje se está ejecutando y detiene el stunnel cuando el sistema de archivos de Amazon EFSestá desmontado. Si por alguna razón un proceso de stunnel termina de forma inesperada, el proceso delwatchdog lo reinicia.

Administración de identidad y acceso para AmazonEFS

El acceso a Amazon EFS requiere credenciales que AWS puede utilizar para autenticar las solicitudes.Estas credenciales deben tener permisos para acceder a los recursos de AWS, como, por ejemplo, unsistema de archivos de Amazon EFS o una instancia Amazon EC2. En las secciones siguientes, se incluyeinformación detallada sobre el uso de AWS Identity and Access Management (IAM) y Amazon EFS paraayudar a proteger sus recursos controlando quién puede acceder a ellos.

• Autenticación (p. 155)• Control de acceso (p. 156)

AutenticaciónPuede obtener acceso a AWS con los siguientes tipos de identidades:

• Usuario raíz de la cuenta de AWS: cuando se inscribe en AWS, proporciona una dirección de correoelectrónico y la contraseña asociada a su cuenta de AWS. Se trata de su usuario raíz de la cuenta deAWS. cuyas credenciales permiten el acceso completo a todos sus recursos de AWS.

Important

Por motivos de seguridad, le recomendamos que utilice el usuario raíz solo para crear unadministrador, que es un usuario de IAM con permisos completos sobre su cuenta de AWS.Podrá utilizar luego este administrador para crear otros usuarios y roles de IAM con permisoslimitados. Para obtener más información, consulte Prácticas recomendadas de IAM y Creaciónde un grupo y usuario administrador en la Guía del usuario de IAM.

• Usuario de IAM: un usuario de IAM es simplemente una identidad dentro de una cuenta de AWS quetiene permisos personalizados específicos (por ejemplo, permisos para crear un a file system en AmazonEFS). Puede utilizar un nombre de usuario y una contraseña de IAM para iniciar sesión en páginas webseguras de AWS, como la Consola de administración de AWS, los foros de debate de AWS o el AWSSupport Center.

Además de un nombre de usuario y una contraseña, también puede generar claves de acceso paracada usuario. Puede utilizar estas claves al acceder a los servicios de AWS mediante programación, yasea a través de uno de los varios SDK o mediante la AWS Command Line Interface (CLI). El SDK y lasherramientas de CLI usan claves de acceso para firmar criptográficamente su solicitud. Si no utiliza lasherramientas de AWS, debe firmar usted mismo la solicitud. Amazon EFS supports Signature Version4, un protocolo para autenticar solicitudes de API de entrada. Para obtener más información acercade la autenticación de solicitudes, consulte Proceso de firma Signature Version 4 en la AWS GeneralReference.

155

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html

https://console.aws.amazon.com/

https://forums.aws.amazon.com/

https://console.aws.amazon.com/support/home#/


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

https://aws.amazon.com/tools/

https://aws.amazon.com/cli/

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

Amazon Elastic File System Guía del usuarioControl de acceso

• Rol de IAM: un rol de IAM es otra identidad de IAM que puede crear en la cuenta que tiene permisosespecíficos. Es similar a un usuario de IAM, pero no está asociado a una determinada persona. Lasfunciones de IAM le permiten obtener claves de acceso temporales que se pueden usar para obteneracceso a los recursos y servicios de AWS. Las funciones de IAM con credenciales temporales son útilesen los siguientes casos:

• Acceso de usuarios federados: en lugar de crear un usuario de IAM, puede usar identidades de

usuario preexistentes de AWS Directory Service, el directorio de usuarios de la compañía o unproveedor de identidad web. A estas identidades se les llama usuarios federados. AWS asigna unafunción a un usuario federado cuando se solicita acceso a través de un proveedor de identidad. Paraobtener más información acerca de los usuarios federados, consulte Usuarios federados y roles en laGuía del usuario de IAM.

• Administración entre cuentas: puede utilizar un rol de IAM de su cuenta para conceder permisos de

otra cuenta de AWS que administre los recursos de Amazon EFS de su cuenta. Para ver un ejemplo,consulte Tutorial: Delegación del acceso entre cuentas de AWS mediante roles de IAM en la Guíadel usuario de IAM. No puede montar sistemas de archivos de Amazon EFS desde otras VPC ocuentas. Para obtener más información, consulte Administrar la accesibilidad de red del sistema dearchivos (p. 51).

• Acceso a servicios de AWS: puede utilizar un rol de IAM de su cuenta para conceder permisos a un

servicio de AWS para tener acceso a los recursos de su cuenta. Por ejemplo, puede crear un rol quepermita a Amazon Redshift tener acceso a un bucket de Amazon S3 en su nombre y, a continuación,cargar los datos de ese bucket en un clúster de Amazon Redshift. Para obtener más información,consulte Creación de un rol para delegar permisos a un servicio de AWS en la Guía del usuario deIAM.

• Aplicaciones que se ejecutan en Amazon EC2: puede usar un rol de IAM para administrar

credenciales temporales para aplicaciones que se ejecutan en una instancia EC2 y realizan solicitudesAPI de AWS. Es preferible hacerlo de este modo a almacenar claves de acceso en la instancia EC2.Para asignar un rol de AWS a una instancia EC2 y ponerla a disposición de todas las aplicaciones,cree un perfil de instancia asociado a la misma. Un perfil de instancia contiene la función y permite alos programas que se encuentran en ejecución en la instancia EC2 obtener credenciales temporales.Para obtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicacionesque se ejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.

Control de accesoAunque tenga credenciales válidas para autenticar las solicitudes, si no tiene permisos, no podrá crear losrecursos de Amazon Elastic File System ni obtener acceso a ellos. Por ejemplo, debe tener permisos paracrear un sistema de archivos de Amazon EFS.

En las siguientes secciones se describe cómo administrar los permisos de Amazon EFS. Lerecomendamos que lea primero la información general.

• Información general sobre la administración de los permisos de acceso a los recursos de AmazonEFS (p. 157)

• Control del acceso al API de EFS (p. 160)

156

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

Amazon Elastic File System Guía del usuarioInformación general sobre la administración de acceso

Información general sobre la administración de lospermisos de acceso a los recursos de Amazon EFSCada recurso de AWS es propiedad de una cuenta de AWS, y los permisos para crear o tener acceso aun recurso se rigen por las políticas de permisos. Un administrador de cuentas puede asociar políticasde permisos a identidades de IAM (es decir, usuarios, grupos y funciones). Algunos servicios, incluidoAmazon EFS, también permiten asociar políticas de permisos a los recursos.

Note

Un administrador de la cuenta (o usuario administrador) es un usuario con privilegios deadministrador. Para obtener más información, consulte Prácticas recomendadas de IAM en laGuía del usuario de IAM.

Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienenpermisos y qué acciones específicas desea permitir en esos recursos.

Temas• Recursos y operaciones de Amazon EFS (p. 157)• Titularidad de los recursos (p. 157)• Administración del acceso a los recursos (p. 158)• Especificar elementos de política: acciones, efectos y entidades principales (p. 159)• Especificación de las condiciones de una política (p. 160)

Recursos y operaciones de Amazon EFSEn Amazon EFS, el recurso principal es un sistema de archivos. Amazon EFS también admite otros tiposde recursos, el destino de montaje y punto de acceso. Sin embargo, para Amazon EFS, puede creardestinos de montaje y puntos de acceso solo en el contexto de un sistema de archivos existente. Losobjetivos de montaje y los puntos de acceso se denominan subrecursos.

Estos recursos y subrecursos tienen nombres de recursos de Amazon (ARN) únicos asociados a ellos, taly como se muestra en la siguiente tabla:

Amazon EFS proporciona un conjunto de operaciones para trabajar con recursos de Amazon EFS. Paraobtener una lista de operaciones disponibles, consulte Amazon EFS Actions (p. 206) y Acciones de EFSpara clientes de NFS (p. 167).

Titularidad de los recursosLa cuenta de AWS es la propietaria de los recursos que se crean en ella, independientemente de quién loshaya creado. En concreto, el propietario de los recursos es la cuenta de AWS; de la entidad principal (esdecir, la cuenta raíz, un usuario de IAM o un rol IAM) que autentica la solicitud de creación de recursos.Los siguientes ejemplos ilustran cómo funciona:

• Si usa las credenciales de cuenta raíz de su cuenta de AWS para crear un sistema de archivos, sucuenta de AWS es la propietaria del recurso (en Amazon EFS, el recurso es el sistema de archivo).

• Si crea un usuario de IAM en su cuenta de AWS y concede permisos para crear un sistema de archivospara ese usuario, el usuario puede crear un sistema de archivos. Sin embargo, su cuenta de AWS, a laque pertenece el usuario, es la propietaria del recurso del sistema de archivos.

• Si crea un rol de IAM en su cuenta de AWS con permisos para crear un sistema de archivos, cualquierpersona que pueda asumir el rol podrá crear un sistema de archivos. Su cuenta de AWS, a la quepertenece el rol, es la propietaria del recurso del sistema de archivos.

157

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html


Administración del acceso a los recursosUna política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican lasopciones disponibles para crear políticas de permisos.

Note

En esta sección, se explica cómo se utiliza IAM en el contexto de Amazon EFS. No seproporciona información detallada sobre el servicio de IAM. Para ver toda la documentación deIAM, consulte ¿Qué es IAM? en la Guía del usuario de IAM. Para obtener información sobre lasintaxis y descripciones de las políticas de IAM, consulte Referencia de políticas de IAM en laGuía del usuario de IAM.

Las políticas asociadas a una identidad de IAM se denominan políticas basadas en identidad (políticasde IAM), mientras que las políticas asociadas a un recurso se denominan políticas basadas en recursos.Amazon EFS es compatible con las políticas basadas en identidad y las políticas basadas en recursos.

Temas• Políticas basadas en identidad (políticas de IAM) (p. 158)• Políticas basadas en recursos (p. 159)

Políticas basadas en identidad (políticas de IAM)

Puede adjuntar políticas a identidades IAM para controlar el acceso a la API de EFS o para controlarel acceso del cliente NFS. Por ejemplo, para conceder a un usuario permisos para crear un recurso deAmazon EFS, como un sistema de archivos, puede adjuntar una política de permisos a un usuario o grupoal que pertenece el usuario.

Para obtener más información acerca del uso de IAM para delegar permisos, consulte Administración deaccesos en la Guía del usuario de IAM.

A continuación se ofrece un ejemplo de una política que permite a un usuario realizar la acciónCreateFileSystem para su cuenta de AWS.

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "Stmt1EFSpermissions", "Effect": "Allow", "Action": [ "elasticfilesystem:CreateFileSystem", "elasticfilesystem:CreateMountTarget" ], "Resource": "arn:aws:elasticfilesystem:us-west-2:account-id:file-system/*" }, { "Sid" : "Stmt2EC2permissions", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ]

158

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html




Para obtener más información acerca del uso de políticas basadas en la identidad con Amazon EFS,consulte Control del acceso al API de EFS (p. 160). Para obtener más información acerca de losusuarios, grupos, funciones y permisos, consulte Identidades (usuarios, grupos y roles) en la Guía delusuario de IAM.

Políticas basadas en recursosPuede utilizar políticas del sistema de archivos para controlar el acceso a la API y el acceso del clienteNFS al sistema de archivos. Amazon EFS admite una política basada en recursos para sistemas dearchivos, denominada FileSystemPolicy. Mediante FileSystemPolicy de EFS puede especificarquién tiene acceso al sistema de archivos y qué acciones pueden realizar en él. El uso de políticas delsistema de archivos proporciona una forma sencilla de controlar el acceso a los sistemas de archivosy permite conceder permisos de uso a otras cuentas por sistema de archivos. La siguiente política delsistema de archivos concede permisos ClientMount, o de solo lectura, a todas las entidades principalesde cuentas IAM de AWS.

{ "Version": "2012-10-17", "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "elasticfilesystem:ClientMount" ] } ]}

Especificar elementos de política: acciones, efectos y entidadesprincipalesPara cada recurso Amazon EFS (consulte Recursos y operaciones de Amazon EFS (p. 157)), el serviciodefine un conjunto de operaciones de API de acciones (consulte Actions (p. 206) y Acciones de EFSpara clientes de NFS (p. 167)) para las que puede conceder permisos. Para el recurso del sistemade archivos Amazon EFS, las acciones de ejemplo son: CreateFileSystem, DeleteFileSystem, yDescribeFileSystems. Para realizar una operación API pueden ser necesarios permisos para más deuna acción.

A continuación se indican los elementos más básicos de la política:

• Recurso: En políticas basadas en recursos (políticas del sistema de archivos), el recurso al que estáasociada la política es el recurso implícito. Para las basadas en identidad, utilice un nombre de recursode Amazon (ARN) para identificar el recurso al que se aplican. Para obtener más información, consulteRecursos y operaciones de Amazon EFS (p. 157).

• Acción – Utilice palabras clave de acción para identificar las operaciones del recursoque desea permitir o denegar. Por ejemplo, en función del efecto especificado,elasticfilesystem:CreateFileSystem permite o deniega los permisos de usuario para realizar laoperación CreateFileSystem de Amazon EFS.

• Efecto: especifique el efecto que se producirá cuando el usuario solicite la acción específica, que puedeser permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso sedeniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarsede que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.

159

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html

Amazon Elastic File System Guía del usuarioControl del acceso a la API

• Entidad principal – En las políticas basadas en identidad (políticas de IAM), el usuario al que se asociaesta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar elusuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticasbasadas en recursos).

Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM consulte Referenciade políticas de IAM en la Guía del usuario de IAM.

Para ver una tabla con todas las acciones de API de Amazon EFS, consulte Permisos de la API deAmazon EFS: referencia de acciones, recursos y condiciones (p. 164).

Para obtener una tabla que muestra todas las acciones del cliente de NFS de Amazon EFS, consulte Usode IAM para controlar el acceso de NFS a Amazon EFS (p. 166).

Especificación de las condiciones de una políticaAl conceder permisos, puede usar el lenguaje de la política de IAM para especificar las condiciones enla que se debe aplicar una política. Para obtener información sobre cómo especificar condiciones en unlenguaje de política, consulte Elementos de la política de JSON de IAM: Condition en la Guía del usuariode IAM.

Hay claves de condición que se aplican a todo AWS y específicas de EFS que pueden utilizar cuandocorresponda. Para ver una lista completa de claves generales de AWS, consulte Claves disponibles paracondiciones en la Guía del usuario de IAM. Para obtener una lista completa de las claves de condiciónespecíficas de EFS, consulte Claves de condición EFS para clientes de NFS (p. 167).

Note

La condición general de AWS aws:SourceIp se puede utilizar para controlarlos hosts que son capaces de usar acciones EFS como CreateFileSystem,CreateMountTarget, DeleteMountTarget, DescribeMountTargetSecurityGroupso ModifyMountTargetSecurityGroup. La condición aws:SourceIp no se puede utilizarpara controlar el acceso NFS a los destinos de montaje de EFS. Para controlar el acceso a estosdestinos, consulte Control del acceso de red a sistemas de archivo Amazon EFS para clientesNFS (p. 171).

Control del acceso al API de EFSPuede utilizar políticas de identidad de IAM y políticas de recursos para conceder permisos para realizaroperaciones de API en recursos de Amazon EFS. En este tema se proporcionan ejemplos de políticasbasadas en identidades que demuestran cómo un administrador de cuentas puede adjuntar políticas depermisos a identidades de IAM (es decir, usuarios, grupos y roles) porque esta es la forma más común decontrolar el acceso a la API de Amazon EFS.

Important

Le recomendamos que consulte primero los temas de introducción en los que se explicanlos conceptos básicos y las opciones disponibles para administrar el acceso a sus recursosde Amazon EFS. Para obtener más información, consulte Información general sobre laadministración de los permisos de acceso a los recursos de Amazon EFS (p. 157).

En las secciones de este tema se explica lo siguiente:

• Permisos necesarios para usar la consola de Amazon EFS (p. 161)• Políticas administradas (predefinidas) de AWS para Amazon EFS (p. 162)• Ejemplos de políticas administradas por el cliente (p. 163)

160



https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys



A continuación se muestra un ejemplo de una política de permisos.

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "AllowFileSystemPermissions", "Effect": "Allow", "Action": [ "elasticfilesystem:CreateFileSystem", "elasticfilesystem:CreateMountTarget" ], "Resource": "arn:aws:elasticfilesystem:us-west-2:account-id:file-system/*" }, { "Sid" : "AllowEC2Permissions", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ]}

La política tiene dos declaraciones:

• La primera declaración concede permisos para dos acciones de Amazon EFS(elasticfilesystem:CreateFileSystem y elasticfilesystem:CreateMountTarget) enun recurso que utiliza el Nombre de recurso de Amazon (ARN) para el sistema de archivos. El ARNespecifica un comodín (*), ya que no conoce el ID del sistema de archivos hasta después de que hayacreado un sistema de archivos.

• La segunda declaración concede permisos para algunas de las acciones de Amazon EC2, ya que laacción elasticfilesystem:CreateMountTarget en la primera declaración requiere permisos paraacciones de Amazon EC2 específicas. Dado que estas acciones de Amazon EC2 no son compatiblescon los permisos en el nivel de recursos, la política especifica el carácter comodín (*) como el valorResource en lugar de especificar un ARN de sistema de archivos.

La política no especifica el elemento Principal, ya que en una política basada en la identidad no seespecifica el elemento principal que obtiene el permiso. Al asociar una política a un usuario, el usuarioes la entidad principal implícita. Cuando se asocia una política de permisos a un rol de IAM, el elementoprincipal identificado en la política de confianza del rol obtiene los permisos.

Para ver una tabla con todas las acciones de la API de Amazon EFS y los recursos a los que se aplican,consulte Permisos de la API de Amazon EFS: referencia de acciones, recursos y condiciones (p. 164).

Permisos necesarios para usar la consola de Amazon EFSLa tabla de referencia de los permisos muestra las operaciones API de Amazon EFS e indica lospermisos necesarios para cada operación. Para obtener más información sobre las operaciones deAPI de Amazon EFS, consulte Permisos de la API de Amazon EFS: referencia de acciones, recursos ycondiciones (p. 164).

Para usar la consola de Amazon EFS, debe conceder permisos para realizar acciones adicionales, tal ycomo se muestra en la política de permisos siguiente:

{

161


"Version": "2012-10-17", "Statement": [ { "Sid" : "Stmt1AddtionalEC2PermissionsForConsole", "Effect": "Allow", "Action": [ "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:DescribeVpcAttribute"

], "Resource": "*" } { "Sid" : "Stmt2AdditionalKMSPermissionsForConsole", "Effect": "Allow", "Action": [ "kms:ListAliases", "kms:DescribeKey" ], "Resource": "*" } ]}

La consola de Amazon EFS necesita estos permisos adicionales por las razones siguientes:

• Los permisos para las acciones de Amazon EFS habilitan la consola para mostrar recursos de AmazonEFS en la cuenta.

• La consola necesita permisos para que las acciones de ec2 consulten a Amazon EC2 para mostrar laszonas de disponibilidad, VPC, grupos de seguridad y atributos de la cuenta.

• La consola necesita permisos para que las acciones kms creen un sistema de archivos cifrados.Para obtener más información sobre los sistemas de archivos cifrados, consulte Cifrado de datos enEFS (p. 150).

Políticas administradas (predefinidas) de AWS para Amazon EFSAWS aborda muchos casos de uso comunes proporcionando políticas de IAM independientes que secrean y administran en AWS. Las políticas administradas por AWS conceden los permisos necesarios paracasos de uso comunes, lo que le evita tener que investigar los permisos que se necesitan. Para obtenermás información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Las siguientes políticas administradas por AWS, que puede asociar a los usuarios de su cuenta, sonespecíficas de Amazon EFS:

• AmazonElasticFileSystemReadOnlyAccess:– concede acceso de solo lectura a recursos de AmazonEFS.

• AmazonElasticFileSystemFullAccess:– concede acceso completo a recursos de Amazon EFS.

Note

Para consultar estas políticas de permisos, inicie sesión en la consola de IAM y busque laspolíticas específicas.

También puede crear sus propias políticas de IAM personalizadas con el fin de conceder permisos pararealizar acciones de la API de Amazon EFS. Puede asociar estas políticas personalizadas a los usuarios ogrupos de IAM que requieran esos permisos.

162

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies


Ejemplos de políticas administradas por el clienteEn esta sección, encontrará ejemplos de políticas de usuario que conceden permisos para diversasacciones de Amazon EFS. Estas políticas funcionan cuando se utilizan los AWS SDK o la CLI de AWS.Cuando se utiliza la consola, debe conceder permisos adicionales específicos a la consola, tal y como seexplica en Permisos necesarios para usar la consola de Amazon EFS (p. 161).

Note

Todos los ejemplos utilizan la región us-west-2 y contienen identificadores de cuenta ficticios.

Ejemplos• Ejemplo 1: Permitir a un usuario crear un destino de montaje y etiquetas en un sistema de archivos

existente (p. 163)• Ejemplo 2: Permitir a un usuario realizar todas las acciones de Amazon EFS (p. 163)

Ejemplo 1: Permitir a un usuario crear un destino de montaje y etiquetas en unsistema de archivos existenteLas siguientes políticas de permisos otorga a usuario permisos para crear destinos de montaje y etiquetasen un determinado sistema de archivos en la región us-west-2. Para crear destinos de montaje, tambiénse requieren permisos para acciones de Amazon EC2 específicas y se incluyen en la política de permisos.

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "Stmt1CreateMountTargetAndTag", "Effect": "Allow", "Action": [ "elasticfilesystem:CreateMountTarget", "elasticfilesystem:DescribeMountTargets", "elasticfilesystem:CreateTags", "elasticfilesystem:DescribeTags" ], "Resource": "arn:aws:elasticfilesystem:us-west-2:123456789012:file-system/file-system-ID" }, { "Sid" : "Stmt2AdditionalEC2PermissionsToCreateMountTarget", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ]}

Ejemplo 2: Permitir a un usuario realizar todas las acciones de Amazon EFSLa siguiente política de permisos utiliza un carácter comodín ("elasticfilesystem:*") para permitirtodas las acciones de Amazon EFS en la región us-west-2. Dado que algunas de las acciones deAmazon EFS también requieren permisos para las acciones de Amazon EC2, la política también otorgapermisos para todas estas acciones.

{

163


"Version": "2012-10-17", "Statement": [ { "Sid" : "Stmt1PermissionForAllEFSActions", "Effect": "Allow", "Action": "elasticfilesystem:*", "Resource": "arn:aws:elasticfilesystem:us-west-2:123456789012:file-system/*" }, { "Sid" : "Stmt2RequiredEC2PermissionsForAllEFSActions", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeNetworkInterfaceAttribute" ], "Resource": "*" } ]}

Permisos de la API de Amazon EFS: referencia de acciones,recursos y condicionesCuando configure Control de acceso (p. 156) y escriba una política de permisos que se pueda asociara una identidad de IAM (políticas basadas en identidad), puede utilizar la siguiente lista como referencia.La lista incluye cada operación de API de Amazon EFS, las acciones correspondientes a las que puedeconceder permisos para realizar la acción y el recurso de AWS al que puede conceder los permisos. Lasacciones se especifican en el campo Action de la política y el valor del recurso se especifica en el campoResource de la política.

Puede utilizar claves de condiciones generales de AWS en sus políticas de Amazon EFS para expresarcondiciones. Para ver una lista completa de claves generales de AWS, consulte Claves disponibles en laGuía del usuario de IAM.

Note

Para especificar una acción, use el prefijo elasticfilesystem: seguido del nombre deoperación de la API (por ejemplo, elasticfilesystem:CreateFileSystem).

API de Amazon EFS y permisos necesarios para las acciones

CreateFileSystem (p. 212)

Acción o acciones: elasticfilesystem:CreateFileSystem

Recurso: arn:aws:elasticfilesystem:region:account-id:file-system/*CreateMountTarget (p. 220)

Acción o acciones: elasticfilesystem:CreateMountTarget, ec2:DescribeSubnets,ec2:DescribeNetworkInterfaces, ec2:CreatenetworkInterface

Recurso: arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

CreateTags (p. 228)

Acción o acciones: elasticfilesystem:CreateTags

164




DeleteFileSystem (p. 233)

Acción o acciones: elasticfilesystem:DeleteFileSystem


DeleteMountTarget (p. 237)

Acción o acciones: elasticfilesystem:DeleteMountTarget,ec2:DeleteNetworkInterface


DeleteTags (p. 240)

Acción o acciones: elasticfilesystem:DeleteTags


DescribeFileSystems (p. 251)

Acción o acciones: elasticfilesystem:DescribeFileSystems

Recurso: arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id, arn:aws:elasticfilesystem:region:account-id:file-system/*

DescribeLifecycleConfiguration (p. 255)

Acción o acciones: elasticfilesystem:DescribeLifecycleConfiguration


DescribeMountTargetSecurityGroups (p. 262)

Acción o acciones: elasticfilesystem:DescribeMountTargetSecurityGroups,ec2:DescribeNetworkInterfaceAttribute


DescribeMountTargets (p. 258)

Acción o acciones: elasticfilesystem:DescribeMountTargets


DescribeTags (p. 265)

Acción o acciones: elasticfilesystem:DescribeTags


ModifyMountTargetSecurityGroups (p. 270)

Acción o acciones: elasticfilesystem:ModifyMountTargetSecurityGroups, ec2:ModifyNetworkInterfaceAttribute


165

Amazon Elastic File System Guía del usuarioUso de IAM para controlar el acceso de NFS

PutFileSystemPolicy (p. 275)

Acción o acciones: elasticfilesystem:PutFileSystemPolicy


PutLifecycleConfiguration (p. 279)

Acción o acciones: elasticfilesystem:PutLifecycleConfiguration


TagResource (p. 283)

Acción o acciones: elasticfilesystem:TagResource


UntagResource (p. 285)

Acción o acciones: elasticfilesystem:UntagResource


UpdateFileSystem (p. 287)

Acción o acciones: elasticfilesystem:UpdateFileSystem,elasticfilesystem:UpdateFileSystem


Uso de IAM para controlar el acceso de NFS aAmazon EFSPuede usar políticas de identidad de IAM y políticas de recursos para controlar el acceso de los clientes deNFS a los recursos Amazon EFS de una manera escalable y optimizada para entornos de nube. MedianteIAM, puede permitir que los clientes realicen acciones específicas en un sistema de archivos, incluido elacceso de solo lectura, escritura y raíz.

Los clientes de NFS pueden identificarse mediante un rol de IAM al conectarse a un sistema de archivosEFS. Cuando un cliente se conecta a un sistema de archivos, Amazon EFS evalúa la política de recursosde IAM del sistema de archivos, conocida como política del sistema de archivos, junto con las políticasbasadas en la identidad de IAM para determinar los permisos de acceso del sistema de archivos que sedeben conceder.

Cuando utiliza la autorización IAM para clientes de NFS, las conexiones de cliente y las decisiones deautorización de IAM se registran en AWS CloudTrail. Para obtener más información acerca de cómoregistrar llamadas a la API de Amazon EFS con CloudTrail, consulte Registro de llamadas a la API deAmazon EFS con AWS CloudTrail (p. 92).

Important

Debe utilizar el ayudante de montaje EFS para montar sus sistemas de Amazon EFS archivos conel fin de utilizar la autorización de IAM para controlar el acceso de los clientes NFS. Para obtenermás información, consulte Montar con autorización IAM (p. 69).

166


Política predeterminada del sistema de archivos EFSLa política predeterminada del sistema de archivos EFS concede acceso completo a cualquier clienteNFS que pueda conectarse al sistema de archivos. La política predeterminada se aplica siempre que noexista una política de sistema de archivos configurada por el usuario, incluso en la creación del sistema dearchivos. Siempre que la política del sistema de archivos predeterminada esté en vigor, una operación deAPI DescribeFileSystemPolicy (p. 248) devuelve una respuesta PolicyNotFound.

Acciones de EFS para clientes de NFSPuede especificar las siguientes acciones para clientes de NFS en un sistema de archivos mediante unapolítica de sistema de archivos.

Acción Descripción

elasticfilesystem:ClientMountProporciona a un cliente de NFS acceso de solo lectura a un sistemade archivos.

elasticfilesystem:ClientWriteProporciona a un cliente de NFS con permisos de escritura en unsistema de archivos.

elasticfilesystem:ClientRootAccessProporciona a un cliente de NFS la capacidad de utilizar el usuarioraíz al acceder a un sistema de archivos.

Claves de condición EFS para clientes de NFSPara expresar condiciones, utilice claves de condición predefinidas. Amazon EFS tiene las siguientesclaves de condición predefinidas para clientes de NFS.

Clave de condiciónde EFS

Descripción "."

aws:SecureTransportUtilice esta clave para exigir a los clientes de NFS que utilicenTLS al conectarse a un sistema de archivos EFS.

Booleano

elasticfilesystem:AccessPointArnARN del punto de acceso de EFS al que se está conectandoel cliente.

Ejemplos de política del sistema de archivosEn esta sección, puede encontrar políticas de sistema de archivos de ejemplo que conceden o denieganpermisos para varias acciones Amazon EFS. Para obtener información sobre los elementos de unapolítica basada en recursos, consulte Especificar elementos de política: acciones, efectos y entidadesprincipales (p. 159).

Important

Si concede permiso a un usuario o rol de IAM individual en una política de sistema de archivos,no elimine ni vuelva a crear ese usuario o rol mientras la política siga vigente en el sistema dearchivos. Si esto sucede, ese usuario o rol se bloquea efectivamente en el sistema de archivosy no podrá acceder a él. Para obtener más información, consulte Especificación de una entidadprincipal en la Guía del usuario de IAM.

167

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying


Ejemplo 1: Conceder acceso de lectura y escritura a todas las entidadesprincipales de IAMEsta política de sistema de archivos EFS de ejemplo tiene las características siguientes:

• El efecto es Allow.• La entidad principal se establece en “*”, todas las entidades IAM.• La acción se establece en ClientMount, ClientWrite y ClientRootAccess.• La condición para conceder permisos se establece en SecureTransport: solo se concede acceso a

los clientes de NFS que utilizan TLS para conectarse al sistema de archivos.

{ "Version": "2012-10-17", "Id": "ExamplePolicy01", "Statement": [ { "Sid": "ExampleSatement01", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite" ], "Condition": { "Bool": { "aws:SecureTransport": "true" } } } ]}

Ejemplo 2: conceder acceso de solo lecturaLa siguiente política del sistema de archivos solo concede permisos ClientMount, o de solo lectura, atodas las entidades principales de IAM.

{ "Version": "2012-10-17", "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "elasticfilesystem:ClientMount" ] } ]}

Para obtener información sobre cómo establecer políticas adicionales del sistema de archivos, incluida ladenegación del acceso raíz a todas las entidades principales de IAM, excepto una estación de trabajo de

168

Amazon Elastic File System Guía del usuarioUso de la función vinculada a servicios de EFS

administración específica, consulte Tutorial: Habilitar la agrupación de nodo raíz mediante la autorizaciónde IAM para clientes NFS (p. 147).

Ejemplo 3: Otorgar acceso a un punto de acceso EFS

Utilice una política de acceso de EFS para proporcionar a un cliente de NFS una vista específica dela aplicación en conjuntos de datos basados en archivos compartidos en un sistema de archivos EFS.Conceder permisos de punto de acceso en el sistema de archivos mediante una política de sistema dearchivos. En este ejemplo de política de archivos se utiliza un elemento de condición para conceder unpunto de acceso específico que se identifica por el acceso completo de su ARN al sistema de archivos.Para obtener más información acerca de los puntos de acceso de EFS, consulte Trabajar con puntos deacceso Amazon EFS (p. 178).

{ "Version": "2012-10-17", "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect”: "Allow", "Principal": {"arn:aws::account_id:role/myapp"}, "Action": "elasticfilesystem:Client*", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws::account_id/access-point/access_point_id" } } } ]}

Uso del rol vinculado a un servicio Amazon EFSAmazon Elastic File System usa un rol vinculado a un servicio de AWS Identity and Access Management(IAM). El rol vinculado a un servicio Amazon EFS es un tipo único de rol de IAM que está vinculadodirectamente a Amazon EFS. Un rol vinculado a servicios Amazon EFS predefinido incluye permisos querequiere el servicio para llamar a otros servicios de AWS en su nombre.

Con un rol vinculado a servicios, resulta más sencillo configurar Amazon EFS, porque no necesita añadirlos permisos necesarios manualmente. Amazon EFS define los permisos de sus propios roles vinculadosa servicios y solo Amazon EFS puede asumir su rol. Los permisos definidos incluyen las políticas deconfianza y de permisos, y que la política de permisos no se puede asociar a ninguna otra entidad de IAM.

Solo puede eliminar un rol vinculado a servicios Amazon EFS después de eliminar sus sistemas dearchivos de Amazon EFS. De esta forma, se protegen los recursos de Amazon EFS, ya que se evita quese puedan eliminar accidentalmente permisos de acceso a los recursos.

El rol vinculado a servicios permite que todas las llamadas a la API puedan verse a través de CloudTrail.Esta ayuda a monitorizar y auditar los requisitos, ya que se puede hacer un seguimiento de todas lasacciones que Amazon EFS realiza en su nombre. Para obtener más información, consulte Entradas deregistro para roles vinculados al servicio EFS (p. 95).

Permisos de funciones vinculadas a servicios para Amazon EFSAmazon EFS usa el rol vinculado al servicio denominadoAWSServiceRoleForAmazonElasticFileSystem to allow Amazon EFS to call and manage AWSresources on behalf of your EFS file systems.

169

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role

Amazon Elastic File System Guía del usuarioUso de la función vinculada a servicios de EFS

La función vinculada al servicio AWSServiceRoleForAmazonElasticFileSystem confía en los siguientesservicios para asumir la función:

• elasticfilesystem.amazonaws.com

La política de permisos de la función permite que Amazon EFS realice las siguientes acciones:

• ec2:CreateNetworkInterface

• ec2:DeleteNetworkInterface

• ec2:DescribeSecurityGroups

• ec2:DescribeSubnets

• ec2:DescribeNetworkInterfaceAttribute

• ec2:ModifyNetworkInterfaceAttribute

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar oeliminar la descripción de un rol vinculado a un servicio. Para obtener más información, consulte Permisosde roles vinculados a servicios en la Guía del usuario de IAM.

Note

Debe configurar manualmente los permisos de IAM para AWS KMS cuando cree un nuevosistema de archivos Amazon EFS cifrado en reposo. Para obtener más información, consulteCifrado de datos en reposo (p. 151).

Creación de un rol vinculado a servicios para Amazon EFSNo necesita crear manualmente un rol vinculado a un servicio. Al realizar una operación de create mounttargets for your EFS file system en la Consola de administración de AWS, la AWS CLI o la API de AWS,Amazon EFS se encarga de crear automáticamente el rol vinculado al servicio.

Si elimina este rol vinculado al servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso paravolver a crear el rol en su cuenta. Al realizar una operación de create mount targets for your EFS filesystem, Amazon EFS se encarga de volver crear automáticamente la función vinculada al servicio.

Edición de una función vinculada a un servicio para Amazon EFSAmazon EFS no le permite modificar el rol vinculado al servicioAWSServiceRoleForAmazonElasticFileSystem. Después de crear un rol vinculado a un servicio,no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia al mismo. Sin embargo,puede editar la descripción del rol utilizando IAM. Para obtener más información, consulte Editar un rolvinculado a un servicio en la Guía del usuario de IAM.

Eliminación de una función vinculada a un servicio para AmazonEFSSi ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, lerecomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoriceni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes deeliminarlo manualmente.

Note

Si el servicio Amazon EFS está utilizando el rol cuando intenta eliminar los recursos, laeliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo laoperación.

170

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role

Amazon Elastic File System Guía del usuarioControl del acceso a la red

Para eliminar los recursos de Amazon EFS que se utilizan enAWSServiceRoleForAmazonElasticFileSystem

Complete los pasos siguientes para eliminar los recursos Amazon EFS utilizados porAWSServiceRoleForAmazonElasticFileSystem. Para obtener el procedimiento detallado, consulte Paso 4:Limpiar recursos y proteger la cuenta de AWS (p. 17)

1. En su instancia Amazon EC2, desmonte el sistema de archivos Amazon EFS.2. Eliminar el sistema de archivos de Amazon EFS.3. Elimine el grupo de seguridad personalizado para el sistema de archivos.

Warning

Si utilizó el grupo de seguridad predeterminado para su VPC, NO lo elimine.

Para eliminar manualmente la función vinculada al servicio utilizando IAM

Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicioAWSServiceRoleForAmazonElasticFileSystem. Para obtener más información, consulte Eliminar un rolvinculado a un servicio en la Guía del usuario de IAM.

Control del acceso de red a sistemas de archivoAmazon EFS para clientes NFS

Puede controlar el acceso de los clientes de NFS a los sistemas de archivos Amazon EFS mediante laseguridad de capa de red y las políticas de sistema de archivos EFS. Puede utilizar los mecanismos deseguridad de capa de red disponibles con Amazon EC2, como reglas de grupo de seguridad de VPC yACL de red. También puede utilizar IAM de AWS para controlar el acceso NFS con una política de sistemade archivos EFS y políticas basadas en identidad.

Temas• Uso de grupos de seguridad para instancias Amazon EC2 y destinos de montaje (p. 171)• Puertos de origen para trabajar con EFS (p. 172)• Consideraciones de seguridad para el acceso a la red (p. 173)• Uso de los puntos de enlace de la VPC de tipo interfaz en Amazon EFS (p. 173)

Uso de grupos de seguridad para instancias AmazonEC2 y destinos de montajeCuando use Amazon EFS, especificará los grupos de seguridad de Amazon EC2 para sus instancias EC2y los grupos de seguridad de los destinos de montaje de EFS asociados al sistema de archivos. Un grupode seguridad actúa como firewall y las reglas que agregue definen el flujo de tráfico. En el ejercicio deintroducción, creó un grupo de seguridad al lanzar la instancia EC2. A continuación, asoció otra con eldestino de montaje de EFS (es decir, el grupo de seguridad predeterminado para la VPC predeterminada).Esta estrategia funciona en el ejercicio de introducción, pero en el caso de un sistema de producción, debeconfigurar los grupos de seguridad con permisos mínimos para su uso con EFS.

Puede autorizar el acceso de entrada y de salida a su sistema de archivos de EFS. Para ello, tiene queañadir reglas que permitan a la instancia EC2 conectarse al sistema de archivos de Amazon EFS a travésdel destino de montaje utilizando el puerto NFS (sistema de archivos de red). Siga estos pasos para creary actualizar los grupos de seguridad.

171

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role

Amazon Elastic File System Guía del usuarioPuertos de origen

Para crear grupos de seguridad para instancias EC2 y destinos de montaje

1. Cree dos grupos de seguridad en su VPC.

Para obtener instrucciones, consulte el procedimiento para crear un grupo de seguridad en Creaciónde un grupo de seguridad en la Guía del usuario de Amazon VPC.

2. Abra la consola de administración de Amazon VPC en https://console.aws.amazon.com/vpc/ ycompruebe las reglas predeterminadas para estos grupos de seguridad. Ambos grupos de seguridaddeben tener una única regla de salida que permita la salida de tráfico.

Para actualizar el acceso necesario para los grupos de seguridad

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. Añada una regla al grupo de seguridad de EC2 para permitir el acceso de entrada mediante SSH

desde cualquier host. De forma opcional, puede restringir la dirección Source (Origen).

No es necesario añadir una regla de salida, ya que la regla de salida predeterminada permite quesalga todo el tráfico. Si no dispone de esta regla de salida predeterminada, añada una regla de salidapara abrir la conexión TCP en el puerto NFS, identificando el grupo de seguridad de destino demontaje como destino.

Para obtener instrucciones, consulte la sección sobre añadir y eliminar reglas en la Guía del usuariode Amazon VPC.

3. Añada una regla para el grupo de seguridad de destino de montaje para permitir el acceso de entradadesde el grupo de seguridad de EC2, tal y como se muestra a continuación. El grupo de seguridad deEC2 se identifica como el origen.

4. Compruebe que ambos grupos de seguridad autorizan ahora el acceso de entrada y de salida.

Para obtener más información acerca de los grupos de seguridad, consulte Grupos de seguridad paraEC2-VPC en la Guía del usuario de Amazon EC2 para instancias de Linux.

Puertos de origen para trabajar con EFSPara admitir un amplio conjunto de clientes NFS, Amazon EFS permite establecer conexiones desdecualquier puerto de origen. Si necesita que solo los usuarios con privilegios puedan acceder a AmazonEFS, le recomendamos que utilice la siguiente regla de firewall de cliente.

172



https://console.aws.amazon.com/vpc/

https://console.aws.amazon.com/vpc/

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#AddRemoveRules



Amazon Elastic File System Guía del usuarioConsideraciones de seguridad para el acceso a la red

iptables -I OUTPUT 1 -m owner --uid-owner 1-4294967294 -m tcp -p tcp --dport 2049 -j DROP

Este comando inserta una nueva regla al inicio de la cadena OUTPUT (-I OUTPUT 1). La regla impideque un proceso sin privilegios que no es del kernel (-m owner --uid-owner 1-4294967294) abra unaconexión al puerto NFS (-m tcp -p tcp –dport 2049).

Consideraciones de seguridad para el acceso a la redUn cliente NFS versión 4.1 (NFSv4.1) solo puede montar un sistema de archivos si puede realizar unaconexión de red al puerto NFS de uno de los destinos de montaje del sistema de archivos. Del mismomodo, un cliente NFSv4.1 solo puede confirmar un ID de usuario y grupo cuando accede a un sistema dearchivos si puede realizar esta conexión de red.

La capacidad de realizar esta conexión de red se rige mediante una combinación de lo siguiente:

• Aislamiento de red proporcionado por el VPC de los destinos de montaje: los destinos de montaje delsistema de archivos no pueden tener direcciones IP públicas asociadas. Los únicos destinos que puedenmontar sistemas de archivos son los siguientes:• Instancias Amazon EC2 en la Amazon VPC local• Instancias EC2 en las VPC conectadas• Servidores locales conectados a una Amazon VPC mediante AWS Direct Connect y una red privada

virtual de AWS (VPN)• Las listas de control de acceso a la red (ACL) para las subredes de VPC del cliente y destinos de

montaje, para acceder desde fuera de las subredes del destino de montaje: para montar un sistema dearchivos, el cliente debe poder realizar una conexión TCP al puerto NFS de un destino de montaje yrecibir el tráfico de retorno.

• Reglas de los grupos de seguridad de la VPC del cliente y de los destinos de montaje, para todos losaccesos:– para que una instancia EC2 monte un sistema de archivos, deben estar en vigor las siguientesreglas de grupo de seguridad:• El sistema de archivos debe tener un destino de montaje cuya interfaz de red tiene un grupo de

seguridad con una regla que permite las conexiones de entrada en el puerto NFS desde la instancia.Puede habilitar las conexiones entrantes ya sea por dirección IP (rango de CIDR) o grupo deseguridad. El origen de las reglas de grupo de seguridad en las interfaces de red del destino demontaje es un factor clave del control de acceso al sistema de archivos. Las reglas de entradadistintas a la del puerto de NFS y las reglas de salida, no los usan las interfaces de red para losdestinos de montaje del sistema de archivos.

• La instancia de montaje debe tener una interfaz de red con un grupo de seguridad que permitalas conexiones de entrada en el puerto NFS en uno de los destinos de montaje del sistema dearchivos. Puede habilitar las conexiones salientes ya sea por dirección IP (rango de CIDR) o grupo deseguridad.

Para obtener más información, consulte Crear destinos de montaje (p. 29).

Uso de los puntos de enlace de la VPC de tipo interfazen Amazon EFSPara establecer una conexión privada entre su nube virtual privada (VPC) y la API de Amazon EFS, puedecrear un punto de enlace de la VPC de tipo interfaz. Puede utilizar esta conexión para llamar a la API deAmazon EFS desde su VPC sin enviar tráfico por Internet. El punto de enlace proporciona conectividadsegura a la API de Amazon EFS sin necesidad de una gateway de Internet, una instancia NAT o unaconexión de red privada virtual (VPN). Para obtener más información, consulte Puntos de enlace de la VPCde tipo interfaz en la Guía del usuario de Amazon VPC.

173

https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html

Amazon Elastic File System Guía del usuarioUso de los puntos de enlace de la VPC

Los puntos de enlace de la VPC de tipo interfaz utilizan la tecnología de AWS PrivateLink, unacaracterística que permite la comunicación privada entre los servicios de AWS mediante una direcciones IPprivadas. Para utilizar AWS PrivateLink, cree un punto de enlace de la VPC de tipo interfaz para AmazonEFS en la VPC mediante la consola de Amazon VPC, la API o la CLI. Al hacerlo, se crea una interfaz dered elástica en la subred con una dirección IP privada que sirve solicitudes API de Amazon EFS. Tambiénpuede acceder a un punto de enlace de la VPC desde entornos locales o desde otras VPC mediante AWSVPN, AWS Direct Connect, o interconexión de la VPC. Para obtener más información, consulte Acceso alos servicios a través de AWS PrivateLink en la Guía del usuario de Amazon VPC.

Creación de un punto de enlace de interfaz para Amazon EFSPara crear un punto de enlace de la VPC de tipo interfaz para Amazon EFS, utilice una de las siguientesopciones:

• com.amazonaws.region.elasticfilesystem: crea un punto de enlace para operaciones de APIde Amazon EFS.

• com.amazonaws.region.elasticfilesystem-fips: crea un punto de enlace para la API deAmazon EFS que cumple con el Estándar de procesamiento de la información federal (FIPS) 140-2.

Para obtener una lista completa de puntos de enlace de Amazon EFS, consulte Amazon Elastic FileSystem en la Referencia general de Amazon Web Services.

Para obtener más información acerca de cómo crear un punto de enlace de interfaz, consulte Creación deun punto de enlace de interfaz en la Guía del usuario de Amazon VPC.

Creación de una política de puntos de enlace de la VPC paraAmazon EFSPara controlar el acceso a la API de Amazon EFS, puede asociar una política de AWS Identity and AccessManagement (IAM) a su punto de enlace de la VPC. La política especifica lo siguiente:

• La entidad principal que puede realizar acciones.• Las acciones que se pueden realizar.• Los recursos en los que se pueden llevar a cabo las acciones.

Para obtener más información, consulte Controlar el acceso a servicios con puntos de enlace de la VPC enla Guía del usuario de Amazon VPC.

En el ejemplo siguiente se muestra una política de punto de enlace de la VPC que deniega a todos losusuarios el permiso para crear un sistema de archivos EFS a través del punto de enlace. La política deejemplo también concede permiso a todos los usuarios para realizar todas las demás acciones.

{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "elasticfilesystem:CreateFileSystem", "Effect": "Deny", "Resource": "*", "Principal": "*" }

174

https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html#what-is-privatelink

https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html#what-is-privatelink

http://aws.amazon.com/compliance/fips/

https://docs.aws.amazon.com/general/latest/gr/rande.html#elasticfilesystem-region


https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint

https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html

Amazon Elastic File System Guía del usuarioUsuarios, grupos y permisos en el nivel de NFS

]}

Para obtener más información, consulte Uso de políticas de punto de enlace de la VPC en la Guía delusuario de Amazon VPC.

Trabajar con usuarios, grupos y permisos en elnivel de Network File System (NFS)

Temas• Permisos de archivos y directorios (p. 175)• Ejemplo de permisos y casos de uso del sistema de archivos de Amazon EFS (p. 176)• Permisos de ID de grupo y usuario en archivos y directorios dentro de un sistema de

archivos (p. 177)• Sin agrupación de raíz (p. 178)• Almacenamiento en caché de permisos (p. 178)• Cambio de propiedad de objeto del sistema de archivos (p. 178)• Puntos de acceso de EFS (p. 178)

Después de crear un sistema de archivos, de forma predeterminada, solo el usuario raíz (UID 0) disponede permisos de lectura, escritura y ejecución. Para que otros usuarios modifiquen el sistema de archivos, elusuario raíz debe concederles acceso de forma explícita. Puede utilizar puntos de acceso para automatizarla creación de directorios desde los que un usuario que no sea raíz puede escribir. Para obtener másinformación, consulte Trabajar con puntos de acceso Amazon EFS (p. 178).

Los objetos de sistema de archivos de Amazon EFS tienen un modo de estilo Unix asociado a ellos. Estevalor de modo define los permisos para realizar acciones en ese objeto. Los usuarios familiarizados con lossistemas de estilo UNIX pueden comprender fácilmente cómo se comporta Amazon EFS con respecto aestos permisos.

Además, en los sistemas de estilo Unix, los usuarios y los grupos se asignan a identificadores numéricos,que Amazon EFS utiliza para representar la propiedad del archivo. Para Amazon EFS, los objetos delsistema de archivos (es decir, archivos, directorios, etc.) en son propiedad de un único propietario y deun único grupo. Amazon EFS usa estos ID numéricos asignados para comprobar los permisos cuando unusuario intenta acceder a un objeto del sistema de archivos.

A continuación, encontrará ejemplos de permisos y un debate sobre consideraciones de permisos de NFSen Amazon EFS.

Permisos de archivos y directoriosLos archivos y directorios del sistema de archivos de EFS admiten los permisos de lectura, escritura yejecución estándar de tipo Unix basados en el ID de usuario y de grupo certificado al montar el clienteNFSv4.1, a menos que se anulen mediante un punto de acceso de EFS. Para obtener más información,consulte Trabajar con usuarios, grupos y permisos en el nivel de Network File System (NFS) (p. 175).

Note

Por defecto, esta capa de control de acceso depende de la confianza en el cliente NFSv4.1 ensu aserción del ID de grupo y usuario. Puede utilizar políticas basadas en recursos y políticasde identidad AWS Identity and Access Management (IAM) para autorizar clientes de NFS y

175

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html#vpc-endpoint-policies

Amazon Elastic File System Guía del usuarioEjemplo de permisos y casos de uso del

sistema de archivos de Amazon EFS

proporcionar permisos de solo lectura, escritura y acceso raíz. Puede utilizar puntos de accesoEFS para reemplazar la información de identidad de usuario y grupo del sistema operativoproporcionada por el cliente NFS. Para obtener más información, consulte Uso de IAM paracontrolar el acceso de NFS a Amazon EFS (p. 166) y Crear y eliminar puntos de acceso (p. 39).

Como ejemplo de permisos para leer, escribir y ejecutar archivos y directorios, Alice podría tener permisospara leer y escribir en los archivos que desea en su directorio personal en un sistema de archivos, /alice. Sin embargo, en este ejemplo Alice no tiene permiso para leer o escribir en ningún archivo enel directorio personal de Mark en el mismo sistema de archivos, /mark. Tanto Alice como Mark tienenpermiso para leer, pero no para escribir archivos en el directorio compartido /share.

Ejemplo de permisos y casos de uso del sistema dearchivos de Amazon EFSDespués de crear un sistema de archivos de Amazon EFS y destinos de montaje para el sistema dearchivos en la VPC, puede montar el sistema de archivos remoto localmente en su instancia Amazon EC2.El comando mount puede montar cualquier directorio en el sistema de archivos. No obstante, la primeravez que cree el sistema de archivos, solo hay un directorio raíz en /.

El siguiente comando mount monta el directorio raíz de un sistema de archivos de Amazon EFS,identificado por el nombre de DNS del sistema de archivos, en el directorio local /efs-mount-point.

sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport file-system-id.efs.aws-region.amazonaws.com:/ efs-mount-point

El usuario raíz y el grupo raíz son propietarios del directorio montado.

El modo de permisos inicial permite:

• Permisos read-write-execute para el propietario raíz• Permisos read-execute para el grupo raíz• Permisos read-execute para otras personas

Solo el usuario raíz puede modificar este directorio. El usuario raíz también puede conceder a otrosusuarios permisos para escribir en este directorio, por ejemplo:

• Crear subdirectorios que se pueden escribir por usuario. Para obtener instrucciones paso a paso,consulte Tutorial: Crear subdirectorios que se pueden escribir por usuario y configurar la opción devolver a montar automáticamente al reiniciar (p. 132).

• Permitir a los usuarios escribir en la raíz del sistema de archivos de Amazon EFS. Un usuario conprivilegios raíz puede conceder a otros usuarios acceso al sistema de archivos.• Para cambiar la propiedad del sistema de archivos de Amazon EFS a un usuario y grupo que no sean

raíz, utilice lo siguiente:

$ sudo chown user:group /EFSroot

• Para cambiar los permisos del sistema de archivos a otros más permisivos, utilice lo siguiente:

176

Amazon Elastic File System Guía del usuarioPermisos de ID de grupo y usuario en archivosy directorios dentro de un sistema de archivos

$ sudo chmod 777 /EFSroot

Este comando concede privilegios de lectura-escritura-ejecución a todos los usuarios de todas lasinstancias EC2 que tienen el sistema de archivos montado.

Permisos de ID de grupo y usuario en archivos ydirectorios dentro de un sistema de archivosLos archivos y directorios del sistema de archivos de Amazon EFS admiten los permisos de lectura,escritura y ejecución estándar de tipo Unix basados en el ID de usuario y el ID de grupo. Cuando un clienteNFS monta un sistema de archivos EFS sin utilizar un punto de acceso, el ID de usuario y el ID de grupoproporcionados por el cliente son de confianza. Los puntos de acceso EFS se pueden utilizar para anularel ID de usuario y los ID de grupo utilizados por el cliente NFS. Cuando los usuarios intentan acceder aarchivos y directorios, Amazon EFS comprueba sus ID de usuario y sus ID de grupo para comprobar quecada uno de los usuarios tenga permiso para acceder a los objetos. Amazon EFS también utiliza estosID para indicar al propietario y el propietario del grupo qué nuevos archivos y directorios crea el usuario.Amazon EFS no examina nombres de usuarios ni grupos, solo los identificadores numéricos.

Note

Al crear un usuario en una instancia EC2, puede asignar cualquier ID de usuario (UID) e ID degrupo (GID) numéricos al usuario. Los ID numéricos de usuario se establecen en el archivo /etc/passwd en sistemas Linux. Los ID de grupo numérico se encuentran en el archivo /etc/group. Estos archivos definen los mapeos entre nombres e ID. Fuera de la instancia EC2,Amazon EFS no realiza ninguna autenticación de estos identificadores, incluido el ID raíz de 0.

Si un usuario accede a un sistema de archivos de Amazon EFS desde dos instancias EC2 diferentes, enfunción de si el UID del usuario es el mismo o diferente en dichas instancias, verá distinto comportamientocomo se indica:

• Si los ID de usuario son los mismos en ambas instancias EC2, Amazon EFS considera que indicanel mismo usuario, independientemente de la instancia EC2 que utilizan. La experiencia del usuario alacceder al sistema de archivos es la misma desde ambas instancias EC2.

• Si los ID de usuario no son iguales en ambas instancias EC2, Amazon EFS considera que los usuariosson usuarios diferentes. La experiencia del usuario no es la misma al acceder al sistema de archivosAmazon EFS desde las dos instancias EC2 diferentes.

• Si dos usuarios distintos en distintas instancias EC2 comparten un ID, Amazon EFS los considera queson el mismo usuario.

Podría plantearse administrar los mapeos de ID de usuario entre instancias EC2 de forma coherente.Los usuarios pueden comprobar su ID numérico utilizando el comando id, tal y como se muestra acontinuación.

$ id

uid=502(joe) gid=502(joe) groups=502(joe)

Desactivar el mapeador de IDLas utilidades de NFS en el sistema operativo incluyen un demonio denominado mapeador de IDque administra el mapeo entre nombres de usuario e ID. En Amazon Linux, el demonio se denominarpc.idmapd y en Ubuntu se denomina idmapd. Traduce los ID de usuarios y grupos en nombres y

177

Amazon Elastic File System Guía del usuarioSin agrupación de raíz

viceversa. Sin embargo, Amazon EFS solo trata con ID numéricos. Le recomendamos que desactive esteproceso en sus instancias EC2. En Amazon Linux, el mapeador de ID suele estar deshabilitado: si lo está,no lo habilite. Para desactivar el mapeador de ID, utilice los comandos que se muestran a continuación.

$ service rpcidmapd status$ sudo service rpcidmapd stop

Sin agrupación de raízDe forma predeterminada, el aplastamiento raíz está deshabilitado en los sistemas de archivos EFS.Amazon EFS se comporta como un servidor Linux NFS con no_root_squash. Si el ID de un usuarioo grupo es 0, Amazon EFS trata a dicho usuario como usuario root e ignora las comprobacionesde permisos (permitiendo el acceso y la modificación de todos los objetos del sistema de archivos).La eliminación de raíz se puede habilitar en una conexión de cliente cuando la política de identidado recursos AWS Identity and Access Management (IAM de AWS) no permite el acceso a la acciónClientRootAccess. Cuando la agrupación de raíz está habilitada, el usuario raíz se convierte a unusuario con permisos limitados en el servidor de NFS.

Almacenamiento en caché de permisosAmazon EFS almacena en caché los permisos de archivos durante un breve periodo de tiempo. Comoresultado, es posible que haya un breve periodo en el que un usuario que tenía acceso a un objeto delsistema de archivos, pero cuyo acceso se revocó recientemente, pueda seguir accediendo a ese objeto.

Cambio de propiedad de objeto del sistema dearchivosAmazon EFS aplica el atributo chown_restricted de POSIX. Esto significa que solo el usuario raízpuede cambiar el propietario de un objeto del sistema de archivos. El usuario raíz o propietario puedecambiar el grupo propietario de un objeto del sistema de archivos. Sin embargo, a menos que el usuariosea raíz, el grupo solo se puede cambiar a uno del que sea miembro el usuario propietario.

Puntos de acceso de EFSUn punto de acceso aplica una ruta de usuario, grupo y sistema de archivos del sistema operativo acualquier solicitud del sistema de archivos realizada mediante el punto de acceso. El usuario y el grupodel sistema operativo del punto de acceso anulan cualquier información de identidad proporcionada por elcliente NFS. La ruta del sistema de archivos se expone al cliente como directorio raíz del punto de acceso.Este enfoque garantiza que cada aplicación siempre utilice la identidad correcta del sistema operativo yel directorio correcto al acceder a conjuntos de datos basados en archivos compartidos. Las aplicacionesque utilizan el punto de acceso solo pueden acceder a los datos en su propio directorio e inferiores. Paraobtener más información acerca de los puntos de acceso, consulte Trabajar con puntos de acceso AmazonEFS (p. 178).

Trabajar con puntos de acceso Amazon EFSLos puntos de acceso de Amazon EFS son puntos de entrada específicos de la aplicación en un sistemade archivos EFS que facilitan la administración del acceso de las aplicaciones a conjuntos de datoscompartidos. Los puntos de acceso pueden imponer una identidad de usuario, incluidos los grupos POSIXdel usuario, para todas las solicitudes del sistema de archivos que se realizan a través del punto de

178

Amazon Elastic File System Guía del usuarioCreación de un punto de acceso

acceso. Los puntos de acceso también pueden imponer un directorio raíz diferente para el sistema dearchivos, de modo que los clientes solo puedan acceder a los datos del directorio especificado o de sussubdirectorios.

Puede utilizar políticas de AWS Identity and Access Management (IAM) para exigir que las aplicacionesespecíficas utilicen un punto de acceso específico. Al combinar políticas de IAM con puntos de acceso,puede proporcionar fácilmente acceso seguro a conjuntos de datos específicos para sus aplicaciones.

Para obtener más información sobre cómo crear un punto de acceso, consulte Crear y eliminar puntos deacceso (p. 39).

Temas• Creación de un punto de acceso (p. 179)• Montaje de un sistema de archivos mediante un punto de acceso (p. 179)• Aplicación de una identidad de usuario mediante un punto de acceso (p. 179)• Aplicación de un directorio raíz con un punto de acceso (p. 180)• Uso de puntos de acceso en políticas de IAM (p. 181)

Creación de un punto de accesoPuede crear puntos de acceso para un sistema de archivos de Amazon EFS existente mediante la Consolade administración de AWS, la AWS Command Line Interface (AWS CLI) y la API de EFS.

Para obtener instrucciones acerca de cómo crear un punto de acceso, consulte Crear y eliminar puntos deacceso (p. 39).

Montaje de un sistema de archivos mediante un puntode accesoUtilice el ayudante de montaje EFS al montar un sistema de archivos mediante un punto de acceso. En elcomando mount, incluya el ID del sistema de archivos, el ID del punto de acceso y la opción de montajetls, como se muestra en el siguiente ejemplo.

$ mount -t efs -o tls,accesspoint=fsap-12345678 fs-12345678: /localmountpoint

Para obtener más información sobre el montaje de sistemas de archivos mediante un punto de acceso,consulte Montar con puntos de acceso de EFS (p. 70).

Aplicación de una identidad de usuario mediante unpunto de accesoPuede utilizar un punto de acceso para aplicar información de usuario y grupo para todas las solicitudesdel sistema de archivos realizadas a través del punto de acceso. Para habilitar esta característica, debeespecificar la identidad del sistema operativo que se aplicará al crear el punto de acceso.

Como parte de esto, proporciona lo siguiente:

• ID de usuario: El ID numérico de usuario POSIX para el usuario.• ID de grupo: Identificador numérico de grupo POSIX para el usuario.• ID de grupo secundario: una lista de los ID de grupo secundario opcionales.

179

Amazon Elastic File System Guía del usuarioAplicación de un directorio raíz con un punto de acceso

Cuando la aplicación de usuario está habilitada, Amazon EFS reemplaza los ID de usuario y grupo delcliente NFS por la identidad configurada en el punto de acceso para todas las operaciones del sistema dearchivos. El cumplimiento de los usuarios también hace lo siguiente:

• El propietario y el grupo de los nuevos archivos y directorios se establecen en el ID de usuario y el ID degrupo del punto de acceso.

• EFS tiene en cuenta el ID de usuario, el ID de grupo y los ID de grupo secundario del punto de acceso alevaluar los permisos del sistema de archivos. EFS ignora los ID del cliente NFS.

Important

La aplicación de una identidad de usuario está sujeta al permiso ClientRootAccess de IAM.Por ejemplo, en algunos casos puede configurar el ID de usuario del punto de acceso, el ID degrupo o ambos para que sean raíz (es decir, establecer el UID, el GID o ambos en 0). En talescasos, debe conceder el permiso de IAM ClientRootAccess al cliente NFS.

Aplicación de un directorio raíz con un punto deaccesoPuede utilizar un punto de acceso para anular el directorio raíz de un sistema de archivos. Cuando seaplica un directorio raíz, el cliente NFS que utiliza el punto de acceso utiliza el directorio raíz configuradoen el punto de acceso en lugar del directorio raíz del sistema de archivos.

Para habilitar esta entidad, defina el atributo Path del punto de acceso al crear un punto de acceso. Elatributo Path es la ruta completa del directorio raíz del sistema de archivos para todas las solicitudes delsistema de archivos realizadas a través de este punto de acceso. La ruta de acceso completa no puedesuperar los 100 caracteres de longitud. Puede incluir hasta cuatro subdirectorios.

Cuando se especifica un directorio raíz en un punto de acceso, se convierte en el directorio raíz delsistema de archivos para el cliente NFS que monta el punto de acceso. Por ejemplo, supongamos que eldirectorio raíz de su punto de acceso sea /data. En este caso, el montaje fs-12345678:/ utilizando elpunto de acceso tiene el mismo efecto que el montaje fs-12345678:/data sin usar el punto de acceso.

Al especificar un directorio raíz en el punto de acceso, asegúrese de que los permisos de directorio esténconfigurados para permitir que el usuario del punto de acceso monte correctamente el sistema de archivos.Concretamente, asegúrese de que el bit de ejecución esté configurado para el grupo o usuario del puntode acceso, o para todos los usuarios. Por ejemplo, si permiso del directorio tiene el valor 755, el propietariodel directorio puede enumerar, crear y montar archivos, y el resto de los usuarios pueden enumerar ymontar archivos.

Creación del directorio raíz para un punto de accesoSi no existe una ruta al directorio raíz para un punto de acceso en el sistema de archivos, Amazon EFScrea automáticamente ese directorio raíz con propiedad y permisos configurables. Este enfoque permiteaprovisionar el acceso al sistema de archivos para un usuario o aplicación específicos sin montar elsistema de archivos desde un host Linux. Puede configurar la propiedad y el permiso del directorio raízutilizando los siguientes atributos al crear un punto de acceso:

• OwnerUid: el ID numérico de usuario POSIX que se va a utilizar como propietario del directorio raíz.• OwnerGiD: el ID numérico del grupo POSIX que se va a utilizar como grupo propietario del directorio

raíz.• Permisos: Modo Unix del directorio. Una configuración común es 755. Asegúrese de que el bit de

ejecución esté configurado para el usuario del punto de acceso para que pueda montar archivos. Estaconfiguración da al propietario del directorio permiso para introducir, enumerar y escribir nuevos archivosen el directorio. Da permiso a todos los demás usuarios para introducir y enumerar archivos. Para

180

Amazon Elastic File System Guía del usuarioUso de puntos de acceso en políticas de IAM

obtener más información sobre cómo trabajar con los modos de archivo y directorio Unix, consulteTrabajar con usuarios, grupos y permisos en el nivel de Network File System (NFS) (p. 175).

Cuando monta un sistema de archivos con un punto de acceso, el directorio raíz del punto de acceso secrea si el directorio no existe aún. Si el directorio raíz configurado en el punto de acceso ya existe antesde la hora de montaje, el punto de acceso no sobrescribirá los permisos existentes. Si elimina el directorioraíz, EFS lo vuelve a crear la próxima vez que se monte el sistema de archivos utilizando el punto deacceso.

Modelo de seguridad para directorios raíz de punto de accesoCuando una anulación de directorio raíz está en vigor, Amazon EFS se comporta como un servidor LinuxNFS con la opción no_subtree_check habilitada.

En el protocolo NFS, los servidores generan identificadores de archivo que los clientes utilizan comoreferencias únicas al acceder a los archivos. EFS genera de forma segura identificadores de archivosimpredecibles y específicos de un sistema de archivos EFS. Cuando se ha establecido una sustituciónde directorio raíz, EFS no revela los identificadores de archivo para los archivos fuera del directorio raízespecificado. Sin embargo, en algunos casos, un usuario puede obtener un identificador de archivo paraun archivo situado fuera de su punto de acceso mediante un mecanismo fuera de banda. Por ejemplo,podrían hacerlo si tienen acceso a un segundo punto de acceso. Si lo hacen, pueden llevar a cabooperaciones de lectura y escritura en el archivo.

Los permisos de acceso y propiedad de archivos siempre se aplican, para acceder a archivos dentro yfuera del directorio raíz del punto de acceso de un usuario.

Uso de puntos de acceso en políticas de IAMPuede utilizar una política de IAM para exigir que un cliente NFS específico, identificado por su rol deIAM, solo pueda acceder a un punto de acceso específico. Para ello, utilice la clave de condición de IAMelasticfilesystem:AccessPointArn. AccessPointArn es el nombre de recurso de Amazon (ARN)del punto de acceso con el que está montado el sistema de archivos.

A continuación se muestra un ejemplo de una política del sistema de archivos que permite que el rol deIAM app1 tenga acceso al sistema de archivos mediante el punto de acceso fsap-01234567. La políticatambién permite a app2 utilizar el sistema de archivos utilizando el punto de acceso fsap-89abcdef.

{ "Version": "2012-10-17", "Id": "MyFileSystemPolicy", "Statement": [ { "Sid": "App1Access", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/app1" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite" ], "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-1:222233334444:access-point/fsap-01234567" } } }, { "Sid": "App2Access", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/app2" },

181

Amazon Elastic File System Guía del usuarioRegistro y monitorización

"Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite" ], "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-1:222233334444:access-point/fsap-89abcdef" } } } ]}

Registro y monitorización en Amazon EFSLa monitorización es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y elrendimiento de Amazon EFS y sus soluciones de AWS. Debe recopilar datos de monitorización de todaslas partes de su solución de AWS para que le resulte más sencillo depurar un error que se produce endistintas partes del código, en caso de que ocurra. AWS proporciona varias herramientas para monitorizarlos recursos de Amazon EFS y responder a posibles incidentes.

Alarmas de Amazon CloudWatch

Mediante los eventos de Amazon CloudWatch, podrá ver una sola métrica durante un período detiempo especificado. Si la métrica supera un determinado umbral, se envía una notificación a untema de Amazon Simple Notification Service (Amazon SNS) o política de Amazon EC2 Auto Scaling.Los eventos de Cloudwatch no invocan acciones simplemente por tener un estado determinado. Esnecesario que el estado haya cambiado y se mantenga durante un número especificado de periodos.Para obtener más información, consulte Monitoreo de EFS con Amazon CloudWatch (p. 82).

Amazon CloudWatch Logs

Puede utilizar los registros de Amazon CloudWatch para supervisar, almacenar y acceder a losarchivos de registro desde AWS CloudTrail u otras fuentes. Para obtener más información, consulteMonitorización de archivos de registro en la Guía del usuario de Amazon CloudWatch.

Amazon CloudWatch Events

Seleccione los eventos y diríjalos a uno o varios flujos o funciones de destino para realizar cambios,capturar información de estado y aplicar medidas correctivas. Para obtener más información, consulte¿Qué es Amazon CloudWatch Events? en la Guía del usuario de Amazon CloudWatch.

Monitoreo de registros de AWS CloudTrail

Cloudtrail proporciona un registro de las medidas adoptadas por un usuario, un rol o un serviciode AWS en Amazon EFS. Mediante la información que recopila CloudTrail, se puede determinar lasolicitud que se envió a Amazon EFS, la dirección IP desde la que se realizó la solicitud, quién realizóla solicitud, cuándo se realizó y detalles adicionales. Para obtener más información, consulte Registrode llamadas a la API de Amazon EFS con AWS CloudTrail (p. 92).

Validación de la conformidad en Amazon ElasticFile System

Auditores externos evalúan la seguridad y la conformidad de Amazon Elastic File System como parte devarios programas de conformidad de AWS. Estos incluyen SOC, PCI, FedRAMP, HIPAA, DoD CC SRG,HITRUST CSF, OSPAR, CS y ENS High.

182


https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html

Amazon Elastic File System Guía del usuarioResiliencia

Para obtener una lista de servicios de AWS en el ámbito de programas de conformidad específicos,consulte Servicios de AWS en el ámbito del programa de conformidad. Para obtener información general,consulte Programas de conformidad de AWS.

Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener másinformación, consulte Descarga de informes en AWS Artifact.

Su responsabilidad de conformidad al utilizar EFS se determina en función de la sensibilidad de los datos,los objetivos de cumplimiento de su empresa y la legislación y los reglamentos correspondientes. AWSproporciona los siguientes recursos para ayudar con la conformidad:

• Guías de inicio rápido de seguridad y conformidad– estas guías de implementación tratanconsideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referenciacentrados en la seguridad y la conformidad en AWS.

• Documento técnico sobre arquitectura para seguridad y conformidad de HIPAA– este documento técnicodescribe cómo las empresas pueden utilizar AWS para crear aplicaciones conformes con HIPAA.

• Recursos de conformidad de AWS – este conjunto de manuales y guías podría aplicarse a su sector yubicación.

• Evaluación de recursos con reglas en la Guía para desarrolladores de AWS Config – el servicio AWSConfig evalúa en qué medida las configuraciones de los recursos cumplen con las prácticas internas, lasdirectrices del sector y las normativas.

• AWS Security Hub: este servicio de AWS ofrece una vista integral de su estado de seguridad en AWSque le ayuda a comprobar la conformidad con las normas del sector de seguridad y las prácticasrecomendadas.

Resiliencia de Amazon Elastic File SystemLa infraestructura global de AWS está conformada por regiones y zonas de disponibilidad de AWS. Lasregiones de AWS proporcionan varias zonas de disponibilidad físicamente independientes y aisladasque se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, ademásde baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datosque realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas dedisponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructurastradicionales de centros de datos únicos o múltiples.

Para obtener más información sobre zonas de disponibilidad y las regiones de AWS, consulteInfraestructura global de AWS.

Aislamiento de red Amazon Elastic File SystemAl tratarse de un servicio administrado, Amazon Elastic File System está protegido por los procedimientosde seguridad de red globales de AWS descritos en el documento técnico Amazon Web Services:Información general de procesos de seguridad.

El acceso a Amazon EFS mediante la red se realiza mediante las API publicadas por AWS. Los clientesdeben admitir Transport Layer Security (TLS) 1.0. Nosotros recomendamos TLS 1.2. Los clientes tambiéndeben ser compatibles con conjuntos de cifrado con confidencialidad directa total (PFS) tales comoEphemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de lossistemas modernos como Java 7 y posteriores son compatibles con estos modos. Además, las solicitudesdeben firmarse usando un ID de clave de acceso y una clave de acceso secreta que estén asociadosa una entidad principal de IAM o a AWS Security Token Service (STS) para generar credenciales deseguridad temporales para firmar solicitudes.

183


http://aws.amazon.com/compliance/programs/

https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html

http://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance

https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

http://aws.amazon.com/compliance/resources/

https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html

https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html

http://aws.amazon.com/about-aws/global-infrastructure/

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

Amazon Elastic File System Guía del usuarioAislamiento de red

Estas API son llamables desde cualquier ubicación de red, pero Amazon EFS admite políticas de accesobasadas en recursos, que pueden incluir restricciones en función de la dirección IP de origen. Tambiénpuede utilizar las políticas de Amazon EFS para controlar el acceso desde puntos de enlace específicos deAmazon Virtual Private Cloud (Amazon VPC) o VPC específicas. Este proceso aísla con eficacia el accesode red a un recurso de Amazon EFS determinado únicamente desde la VPC específica de la red de AWS.

184

Amazon Elastic File System Guía del usuarioCuotas de Amazon EFS que puede incrementar

Cuotas y límites de Amazon EFSA continuación, puede obtener información acerca de las cuotas a la hora de trabajar con Amazon EFS.

Temas• Cuotas de Amazon EFS que puede incrementar (p. 185)• Cuotas de recursos (p. 186)• Cuotas para clientes NFS (p. 187)• Cuotas para los sistemas de archivos de Amazon EFS (p. 187)• Características no compatibles de NFSv4 (p. 188)• Consideraciones adicionales (p. 189)

Cuotas de Amazon EFS que puede incrementarCuotas de servicio es un servicio de AWS que le ayuda a administrar sus cuotas o límites desde unaubicación. Puede ver todos los valores límite Amazon EFS en laCuotas de servicio consola. Tambiénpuede solicitar un aumento de cuota para el número de sistemas de archivos de EFS en una región deAWS mediante la consola Cuotas de servicio.

También puede solicitar un aumento de las siguientes cuotas Amazon EFS poniéndose en contacto conAWS Support. Para obtener más información, consulte Solicitud de un aumento de cuota (p. 186). Elequipo de servicio Amazon EFS revisa cada solicitud individualmente.

Recurso Cuota predeterminada

Número de sistemas de archivos para cada cuentade cliente en una región de AWS

1000

Las cuotas de desempeño predeterminados se aplican a ambos modos de desempeño, por ráfagas yaprovisionado. Para obtener más información sobre los distintos modos, consulte Rendimiento de AmazonEFS (p. 100).

Recurso Cuota predeterminada

Rendimiento total por ráfagas para todos losclientes conectados

Región EE.UU Este (Ohio): 3 GB/s

Región EE.UU. Este (Norte de Virginia): 3 GB/s

EE.UU. Oeste (Norte de California): 1 GB/s

Región EE.UU. Oeste (Oregón): 3 GB/s

Región de África (Ciudad del Cabo): 1 GB/s

Región Asia Pacífico (Hong Kong): 1 GB/s

Región Asia Pacífico (Mumbai): 1 GB/s

Región Asia Pacífico (Seúl): 1 GB/s

185

https://console.aws.amazon.com/servicequotas/home?region=us-east-1#!/dashboard

Amazon Elastic File System Guía del usuarioSolicitud de un aumento de cuota

Recurso Cuota predeterminadaRegión Asia Pacífico (Singapur): 1 GB/s

Región Asia Pacífico (Sídney): 3 GB/s

Región Asia Pacífico (Tokio): 1 GB/s

Región Canadá (Central): 1 GB/s

Región China (Pekín): 1 GB/s

Región China (Ningxia): 1 GB/s

Región de Europa (Fráncfort): 1 GB/s

Región de Europa (Irlanda): 3 GB/s

Región de Europa (Londres): 1 GB/s

Región Europa (Milán): 1 GB/s

Región de Europa (París): 1 GB/s

Región de Europa (Estocolmo): 1 GB/s

Región de Oriente Medio (Baréin): 1 GB/s

Región América del Sur (São Paulo): 1 GB/s

Rendimiento total aprovisionado para todos losclientes conectados

Todas las regiones de AWS–: 1 GB/s

Solicitud de un aumento de cuotaPara solicitar un aumento de estas cuotas a través de Support AWS, siga estos pasos. El equipo AmazonEFS revisa cada solicitud de aumento de cuota.

Para solicitar un aumento de cuota a través de AWS Support

1. Abra la página del AWS Centro de soporte e inicie sesión si es necesario. A continuación, seleccioneCrear caso.

2. En Crear caso, seleccione Aumento del límite de servicio.3. En Tipo de límite, seleccione el tipo de límite que desea aumentar. Rellene los campos necesarios del

formulario y, a continuación, seleccione el método de contacto que prefiera.

Cuotas de recursosA continuación se muestran las cuotas en recursos de Amazon EFS para cada cuenta de cliente en unaregión de AWS.

Recurso Quota

Número de puntos de acceso para cada sistema de archivos 120

Número de conexiones para cada sistema de archivos 25 000

186


Amazon Elastic File System Guía del usuarioCuotas para clientes NFS

Recurso Quota

Número de destinos de montaje para cada sistema dearchivos en una zona de disponibilidad

1

Número de destinos de montaje para cada VPC 400

Número de grupos de seguridad para cada destino demontaje

5

Número de etiquetas para cada sistema de archivos 50

Número de VPC para cada sistema de archivos 1

Note

Los clientes también pueden conectarse a destinos de montaje de otra cuenta o VPC. Paraobtener más información, consulte Montar sistemas de archivos de EFS desde otra cuenta oVPC (p. 75).

Cuotas para clientes NFSSe aplican las siguientes cuotas para los clientes NFS, suponiendo que se trata de un cliente LinuxNFSv4.1:

• El desempeño máximo que puede ofrecer para cada cliente NFS es de 250 MB/s. El rendimiento delcliente NFS se calcula como el número total de bytes que se envían y se reciben, con un tamaño mínimode solicitud NFS de 4 KB.

• Hasta 128 cuentas de usuario activas para cada cliente pueden tener archivos abiertos al mismo tiempo.Cada cuenta de usuario representa un usuario local registrado en la instancia. Una cuenta de usuario ala que se accede varias veces cuenta como un usuario activo.

• Hasta 32 768 archivos abiertos al mismo tiempo en la instancia. Describir los contenidos del directorio nocuenta como abrir un archivo.

• Cada montaje exclusivo en el cliente puede adquirir hasta un total de 8 192 bloqueos en un máximode 256 pares de archivo/proceso únicos. Por ejemplo, un único proceso puede adquirir uno o variosbloqueos en 256 archivos independientes. Otro ejemplo es que ocho procesos pueden adquirir uno ovarios bloqueos en 32 archivos.

• Al conectarse a Amazon EFS, los clientes de NFS ubicados localmente en las instalaciones o en otraregión de AWS pueden observar un desempeño inferior que cuando se conectan a EFS desde lamisma región de AWS. Este efecto se debe al aumento de la latencia de red. La latencia de red de 1ms o menos es obligatoria para lograr un rendimiento máximo para cada cliente. Utilice el servicio demigración de datos de DataSync al migrar grandes conjuntos de datos desde servidores NFS localesa EFS. Para obtener más información, consulte Consideraciones de capacidad de desempeño on-premise (p. 107).

• No se admite el uso de Amazon EFS con Microsoft Windows.

Cuotas para los sistemas de archivos de AmazonEFS

Las cuotas siguientes son específicas de los sistemas de archivos de Amazon EFS:

187

Amazon Elastic File System Guía del usuarioCaracterísticas no compatibles de NFSv4

• Longitud de nombre máxima: 255 bytes.• Longitud máxima de enlace simbólico (symlink): 4 080 bytes.• Número máximo de enlaces físicos a un archivo: 177.• Tamaño máximo de un solo archivo: 47.9 673 613 135 872 bytes (52 TiB).• Máxima profundidad del directorio: 1 000 niveles de profundidad.• Cualquier archivo particular puede tener hasta 512 bloqueos en todas las instancias conectadas y entre

todos los usuarios que acceden al archivo.• En el modo de uso general, existe un límite de 35 000 operaciones de archivo por segundo. Las

operaciones que leen datos o metadatos consumen una operación de archivo, mientras que lasoperaciones que escriben datos o actualizan metadatos consumen cinco operaciones de archivo. Estosignifica que un sistema de archivos puede admitir 35 000 operaciones de lectura por segundo, 7000operaciones de escritura o una combinación de ambas. Por ejemplo, 20 000 operaciones de lectura y3000 operaciones de escritura (20 000 lecturas x 1 operación de archivo por lectura + 3000 escrituras x5 operaciones de archivo por escritura = 35 000 operaciones de archivo). Se cuentan las operaciones dearchivos de todos los clientes que se conectan.

Características no compatibles de NFSv4Aunque Amazon Elastic File System no admite ni NFSv2 ni NFSv3, Amazon EFS es compatible tanto conNFSv4.1 como con NFSv4.0, excepto en las siguientes características:

• pNFS• Delegación de cliente o devoluciones de cualquier tipo

• La operación OPEN siempre devuelve OPEN_DELEGATE_NONE como tipo de delegación.• La operación OPEN devuelve NFSERR_NOTSUPP para los tipos de reclamaciónCLAIM_DELEGATE_CUR y CLAIM_DELEGATE_PREV.

• Bloqueo obligatorio

Todos los bloqueos en Amazon EFS son consultivos, los que significa que las operaciones READ yWRITE no comprueban si hay bloqueos en conflicto antes de ejecutar la operación.

• Denegar compartir

NFS admite el concepto de denegación de uso compartido. Los clientes de Windows utilizanprincipalmente una denegación de uso compartido para que los usuarios denieguen el acceso de otraspersonas a un archivo particular que se ha abierto. Amazon EFS no admite esta opción y devuelve elerror de NFS NFS4ERR_NOTSUPP para los comandos OPEN especificando un valor de denegación deuso compartido en lugar de OPEN4_SHARE_DENY_NONE. Los clientes NFS de Linux no utilizan más queOPEN4_SHARE_DENY_NONE.

• Listas de control de acceso (ACL)• Amazon EFS no actualiza el atributo time_access en lecturas de archivo. Amazon EFS actualizatime_access en los siguientes eventos:• Cuando se crea un archivo (se crea un inode).• Cuando un cliente NFS realiza una llamada setattr explícita.• En una escritura al inode provocada, por ejemplo, por cambios en el tamaño del archivo o cambios en

los metadatos del archivo.• Se actualiza algún atributo inode.

• Espacios de nombres• Caché de respuestas persistente• Seguridad basada en Kerberos• Retención de datos NFSv4.1

188

Amazon Elastic File System Guía del usuarioConsideraciones adicionales

• SetUID en directorios• Tipos de archivo no compatibles cuando se utiliza la operación CREATE: dispositivos de bloque

(NF4BLK), dispositivos de caracteres (NF4CHR), directorio de atributos (NF4ATTRDIR) y atributodesignado (NF4NAMEDATTR).

• Atributos no compatibles: FATTR4_ARCHIVE, FATTR4_FILES_AVAIL, FATTR4_FILES_FREE,FATTR4_FILES_TOTAL, FATTR4_FS_LOCATIONS, FATTR4_MIMETYPE,FATTR4_QUOTA_AVAIL_HARD, FATTR4_QUOTA_AVAIL_SOFT, FATTR4_QUOTA_USED,FATTR4_TIME_BACKUP y FATTR4_ACL.

Un intento de definir estos atributos tendrá como resultado un error NFS4ERR_ATTRNOTSUPP que seenvía de vuelta al cliente.

Consideraciones adicionalesAdemás, tenga en cuenta lo siguiente:

• Para obtener una lista de las regiones de AWS en las que puede crear sistemas de archivos de AmazonEFS, consulte AWS General Reference.

• Monta su sistema de archivos desde instancias EC2 en su VPC a través de los destinos de montaje quecrea en la VPC. También puede montar su sistema de archivos en sus instancias EC2-Classic que noestén en la VPC. Sin embargo, primero debe vincularlos a su VPC mediante ClassicLink. Para obtenermás información sobre el uso de ClassicLink, consulte ClassicLink en la Guía del usuario de AmazonEC2 para instancias de Linux.

• Puede montar un sistema de archivos de Amazon EFS en servidores del centro de datos localesmediante AWS Direct Connect y VPN.

189


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html

Amazon Elastic File System Guía del usuarioSolución de problemas generales

Solución de problemas de AmazonEFS

A continuación, encontrará información sobre la solución de problemas de Amazon Elastic File System(Amazon EFS).

Temas• Solución de problemas de Amazon EFS: problemas generales (p. 190)• Solución de errores de operación de archivos (p. 193)• Solución de problemas de AMI y de kernel (p. 195)• Solución de problemas montaje (p. 196)• Resolución de problemas de cifrado (p. 202)

Solución de problemas de Amazon EFS: problemasgenerales

Utilice esta información para solucionar problemas generales de Amazon EFS. Para obtener másinformación acerca del rendimiento, consulte Rendimiento de Amazon EFS (p. 100).

En general, si surge algún problema con Amazon EFS que le resulta difícil resolver, confirme que estáutilizando un kernel de Linux reciente. Si utiliza una distribución de Linux empresarial, le recomendamos losiguiente:

• Amazon Linux 2• Amazon Linux 2015.09 o posterior• RHEL 7.3 o posterior• Todas las versiones de Ubuntu 16.04• Ubuntu 14.04 con kernel 3.13.0-83 o posterior• SLES 12 Sp2 o posterior

Si utiliza otra distribución o un kernel personalizado, le recomendamos la versión de kernel 4.3 o posterior.

Note

RHEL 6.9 podría ser inadecuado para determinadas cargas de trabajo debido a Rendimiento bajoal abrir muchos archivos en paralelo (p. 191).

Temas• La instancia Amazon EC2 deja de responder (p. 191)• La aplicación deja de responder al escribir grandes cantidades de datos (p. 191)

190

Amazon Elastic File System Guía del usuarioLa instancia Amazon EC2 deja de responder

• Rendimiento bajo al abrir muchos archivos en paralelo (p. 191)• La configuración de NFS personalizada provoca retrasos de escritura (p. 192)• La creación de backup con Oracle Recovery Manager es lenta (p. 192)

La instancia Amazon EC2 deja de responderUna instancia Amazon EC2 puede dejar de responder porque ha eliminado un destino de montaje desistema de archivos sin desmontar primero el sistema de archivos.

Acción necesaria

Antes de eliminar un destino de montaje de sistema de archivos, desmonte el sistema de archivos.Para obtener más información sobre cómo desmontar el sistema de archivos de Amazon EFS, consulteDesmontar sistemas de archivos (p. 79).

La aplicación deja de responder al escribir grandescantidades de datosUna aplicación que escribe una gran cantidad de datos en Amazon EFS deja de responder y hace que lainstancia se reinicie.

Acción necesaria

Si una aplicación tarda demasiado tiempo en escribir todos sus datos en Amazon EFS, Linuxpodría reiniciarse, ya que parece que el proceso ha dejado de responder. Dos parámetrosde configuración de kernel definen este comportamiento, kernel.hung_task_panic ykernel.hung_task_timeout_secs.

En el ejemplo siguiente, el estado del proceso que ha dejado de responder se notifica mediante elcomando ps con D antes de reiniciar la instancia, lo que indica que el proceso está a la espera de E/S.

$ ps aux | grep large_io.pyroot 33253 0.5 0.0 126652 5020 pts/3 D+ 18:22 0:00 python large_io.py/efs/large_file

Para evitar un reinicio, aumente el periodo de tiempo de espera o deshabilite el modo de pánico del kernelcuando detecte una tarea que ha dejado de responder. El siguiente comando deshabilita el modo depánico de kernel de la tarea que ha dejado de responder en la mayoría de los sistemas de Linux.

$ sudo sysctl -w kernel.hung_task_panic=0

Rendimiento bajo al abrir muchos archivos en paraleloLas aplicaciones que abren varios archivos en paralelo no experimentan el aumento esperado delrendimiento de paralelización de E/S.

Acción necesaria

Este problema se produce en los clientes de la versión 4 de Network File System (NFSv4) y en los clientesRHEL 6 que utilizan NFSv4.1 ya que estos clientes de NFS serializan operaciones de APERTURA y deCIERRE de NFS. Utilice la versión 4.1 del protocolo NFS y una de las distribuciones de Linux (p. 190)sugeridas que no tiene este problema.

191

Amazon Elastic File System Guía del usuarioLa configuración de NFS personalizada

provoca retrasos de escritura

Si no puede utilizar NFSv4.1, tenga en cuenta que el cliente NFSv4.0 de Linux serializa las solicitudes deapertura y cierre por ID de usuario e ID de grupo. Esta serialización sucede incluso si varios procesos ovarios subprocesos realizan solicitudes al mismo tiempo. El cliente solo envía una operación de aperturao cierre a un servidor de NFS a la vez, cuando todos los ID coinciden. Para solucionar estos problemas,puede realizar cualquiera de las siguientes acciones:

• Puede ejecutar cada proceso desde un ID de usuario distinto en la misma instancia Amazon EC2.• Puede dejar el ID de usuario igual en todas las solicitudes abiertas y modificar el conjunto de ID de grupo

en su lugar.• Puede ejecutar cada proceso desde una instancia Amazon EC2 independiente.

La configuración de NFS personalizada provocaretrasos de escrituraDispone de configuración de cliente NFS personalizada y una instancia Amazon EC2 tarda hasta tressegundos en llevar a cabo una operación de escritura en un sistema de archivos desde otra instanciaAmazon EC2.

Acción necesaria

Si detecta este problema, puede resolverlo de una de las siguientes formas:

• Si el cliente NFS en la instancia Amazon EC2 que está leyendo los datos tiene el almacenamiento encaché de atributos activado, desmonte su sistema de archivos. A continuación, vuelva a montarlo con laopción noac para deshabilitar el almacenamiento en caché de atributos. El almacenamiento en caché deatributos en NFSv4.1 está habilitado de forma predeterminada.

Note

Deshabilitar el almacenamiento en caché en el lado del cliente podría reducir el desempeño dela aplicación.

• También puede borrar la caché de atributos bajo demanda a través de un lenguaje de programacióncompatible con los procedimientos de NFS. Para ello, puede enviar una solicitud de procedimientoACCESS inmediatamente antes de una solicitud de lectura.

Por ejemplo, utilizando el lenguaje de programación Python, puede construir la siguiente llamada.

# Does an NFS ACCESS procedure request to clear the attribute cache, given a path to the fileimport osos.access(path, os.W_OK)

La creación de backup con Oracle Recovery Manageres lentaLa creación de backup con Oracle Recovery Manager puede ser lenta si Oracle Recovery Manager sedetiene durante 120 segundos antes de iniciar un trabajo de backup.

Acción necesaria

Si detecta este problema, deshabilite Oracle Direct NFS, tal como se describe en Enabling and DisablingDirect NFS Client Control of NFS en el centro de ayuda de Oracle.

192

https://docs.oracle.com/database/122/HPDBI/enabling-and-disabling-direct-nfs-client-control-of-nfs.htm#HPDBI-GUID-27DDB55B-F79E-4F40-8228-5D94456E620B

https://docs.oracle.com/database/122/HPDBI/enabling-and-disabling-direct-nfs-client-control-of-nfs.htm#HPDBI-GUID-27DDB55B-F79E-4F40-8228-5D94456E620B

Amazon Elastic File System Guía del usuarioSolución de errores de operación de archivos

Note

Amazon EFS no admite Oracle Direct NFS.

Solución de errores de operación de archivosCuando accede a sistemas de archivos de Amazon EFS, se aplican determinados límites en los archivosdel sistema de archivos. Superar estos límites provoca errores de operación de archivos. Para obtenermás información acerca del cliente y los límites basados en archivos de Amazon EFS consulte Cuotas paraclientes NFS (p. 187). A continuación, puede encontrar algunos errores de operación de archivos comunesy los límites asociados a cada error.

Temas• El comando falla con el error "Cuota de disco superada" (p. 193)• El comando falla con "error de E/S" (p. 193)• El comando falla con el error "El nombre de archivo es demasiado largo" (p. 194)• El comando produce el error "Archivo no encontrado" (p. 194)• El comando falla con el error "Demasiados vínculos" (p. 194)• El comando falla con el error "Archivo demasiado grande" (p. 194)

El comando falla con el error "Cuota de discosuperada"Amazon EFS no admite actualmente cuotas de disco de usuario. Este error se puede producir si se hasuperado alguno de los límites siguientes:

• Hasta 128 cuentas de usuario activas pueden tener archivos abiertos a la vez para una instancia.• Hasta 32 768 archivos se pueden abrir a la vez para una instancia.• Cada montaje exclusivo en la instancia puede adquirir hasta un total de 8 192 bloqueos en 256 pares

de archivo/proceso únicos. Por ejemplo, un proceso único puede adquirir uno o varios bloqueos en 256archivos independientes u ocho procesos pueden adquirir uno o varios bloqueos en 32 archivos.

Acción necesaria

Si detecta este problema, puede resolverlo identificando cual de los límites anteriores está superando y, acontinuación, realizar cambios para satisfacer dicho límite.

El comando falla con "error de E/S"Este error se produce cuando se detecta uno de los siguientes problemas:

• Más de 128 cuentas de usuario activas para cada instancia tienen archivos abiertos a la vez.

Acción necesaria

Si encuentra este problema, puede resolverlo satisfaciendo el límite admitido de archivos abiertosen sus instancias. Para hacerlo, reduzca el número de usuarios activos que tienen archivos abiertossimultáneamente en sus instancias desde su sistema de archivos de Amazon EFS.

• Se ha eliminado la clave de AWS KMS que cifra el sistema de archivos.

193

Amazon Elastic File System Guía del usuarioEl comando falla con el error "El

nombre de archivo es demasiado largo"

Acción necesaria

Si tiene este problema, ya no puede descifrar los datos que se habían cifrado con esa clave, lo quesignifica que no se pueden recuperar.

El comando falla con el error "El nombre de archivo esdemasiado largo"Este error se produce cuando el tamaño de un nombre de archivo o su vínculo simbólico (symlink) esdemasiado largo. Los nombres de archivo tienen los siguientes límites:

• Un nombre puede tener hasta 255 bytes.• Un vínculo simbólico puede tener hasta 4 080 bytes de tamaño.

Acción necesaria

Si encuentra este problema, puede resolverlo reduciendo el tamaño de su nombre de archivo o la longitudde symlink para cumplir los límites admitidos.

El comando produce el error "Archivo no encontrado"Este error se produce porque algunas versiones antiguas de 32 bits del conjunto de aplicaciones de OracleE-Business utilizan interfaces de E/S de archivos de 32 bits y EFS utiliza números de inode de 64 bits. Lasllamadas al sistema que pueden producir un error incluyen `stat()`y `readdir()`.

Acción que ejecutar

Si encuentra este error, puede resolverlo usando la opción de arranque nfs.enable_ino64=0 kernel. Estaopción comprime los números de inode de EFS de 64 bits a 32 bits. Las opciones de arranque del kernelse manejan de manera diferente para diferentes distribuciones de Linux. En Amazon Linux, active estaopción agregando nfs.enable_ino64=0 kernel a la variable GRUB_CMDLINE_LINUX_DEFAULT en /etc/default/grub. Consulte su distribución para obtener documentación específica sobre cómo activarlas opciones de arranque del kernel.

El comando falla con el error "Demasiados vínculos"Este error se produce cuando hay demasiados vínculos físicos a un archivo. Puede tener hasta 177vínculos físicos en un archivo.

Acción necesaria

Si detecta este problema, puede resolverlo reduciendo el número de vínculos físicos a un archivo paracumplir el límite admitido.

El comando falla con el error "Archivo demasiadogrande"Este error se produce cuando un archivo es demasiado grande. Un archivo único puede tener hasta47.9 673 613 135 872 bytes (52 TiB) de tamaño.

Acción necesaria

194

Amazon Elastic File System Guía del usuarioSolución de problemas de AMI y de kernel

Si encuentra este problema, puede resolverlo reduciendo el tamaño de un archivo para satisfacer el límiteadmitido.

Solución de problemas de AMI y de kernelA continuación, encontrará información sobre la resolución de problemas relacionados con determinadasversiones de imagen de máquina de Amazon (AMI) o de kernel al utilizar Amazon EFS desde una instanciaAmazon EC2.

Temas• No se puede cambiar la propiedad (p. 195)• El sistema de archivos sigue realizando operaciones repetidamente debido a un error del

cliente (p. 195)• Cliente con interbloqueo (p. 195)• La enumeración de archivos en un directorio grande tarda mucho tiempo (p. 196)

No se puede cambiar la propiedadNo puede cambiar la propiedad de un archivo o directorio utilizando el comando de Linux chown.

Versiones de kernel con este error

2.6.32

Acción necesaria

Para resolver el error, ejecute la siguiente operación:

• Si está realizando chown para el paso de configuración único necesario para cambiar el propietario deldirectorio raíz de EFS, puede ejecutar el comando chown desde una instancia que esté ejecutando unkernel más reciente. Por ejemplo, utilice la versión más reciente de Amazon Linux.

• Si chown forma parte de su flujo de trabajo de producción, debe actualizar la versión del kernel queutiliza chown.

El sistema de archivos sigue realizando operacionesrepetidamente debido a un error del clienteUn sistema de archivos se bloquea realizando operaciones repetidas debido a un error del cliente.

Acción necesaria

Actualice el software de cliente a la versión más reciente.

Cliente con interbloqueoUn cliente pasa a tener interbloqueo.


• CentOS-7 con kernel Linux 3.10.0-229.20.1.el7.x86_64

195

Amazon Elastic File System Guía del usuarioLa enumeración de archivos en un

directorio grande tarda mucho tiempo

• Ubuntu 15.10 con kernel Linux 4.2.0-18-generic

Acción necesaria

Aplique alguna de las siguientes acciones:

• Actualice a una nueva versión del kernel. Para CentOS-7, la versión de kernel Linux 3.10.0-327 oposterior contiene la solución.

• Cambie a una versión de kernel más antigua.

La enumeración de archivos en un directorio grandetarda mucho tiempoEsto puede ocurrir si el directorio está cambiando mientras el cliente NFS itera a través del directoriopara finalizar la operación de listado. Siempre que el cliente NFS observa que el contenido del directoriocambiado durante esta iteración, el cliente NFS reinicia la iteración desde el principio. Por ello, el comandols puede tardar bastante en completarse en el caso de un directorio grande con archivos que se actualizancon frecuencia.


Versiones de kernel de CentOS y RHEL inferiores a la 2.6.32-696.el6

Acción necesaria

Para resolver este problema, actualice a una versión del kernel más nueva.

Solución de problemas montajeA continuación, encontrará información sobre la solución de problemas relacionados con el montaje desistemas de archivos de Amazon EFS.

• El montaje del sistema de archivos en la instancia de Windows falla (p. 197)• Acceso denegado por el servidor (p. 197)• Se produce un error de montaje automático y la instancia no responde (p. 197)• Se produce un error de montaje de varios sistemas de archivos de Amazon EFS en /etc/

fstab (p. 197)• El comando de montaje falla con el mensaje de error "wrong fs type" (p. 198)• El comando de montaje falla con el mensaje de error "incorrect mount option" (p. 198)• El montaje del sistema de archivos falla de inmediato después de la creación del sistema de

archivos (p. 199)• El montaje del sistema de archivos deja de responder y, a continuación, falla con un error de tiempo de

espera agotado (p. 199)• El montaje del sistema de archivos que utiliza el nombre de DNS falla (p. 200)• El montaje del sistema de archivos falla y emite el mensaje "nfs not responding (nfs no

responde)" (p. 200)• El estado de ciclo de vida de destino de montaje está atascado (p. 200)• El montaje no responde (p. 201)

196

Amazon Elastic File System Guía del usuarioEl montaje del sistema de archivos

en la instancia de Windows falla

• Las operaciones en el sistema de archivos recién montado devuelven el error "bad filehandle" (p. 201)

• Error de desmontaje de un sistema de archivos (p. 201)

El montaje del sistema de archivos en la instancia deWindows fallaSe produce un error en el montaje de un sistema de archivos en una instancia Amazon EC2 en MicrosoftWindows.

Acción necesaria

No utilice Amazon EFS con instancias EC2 de Windows, pues no es compatible.

Acceso denegado por el servidorSe produce un error en el montaje del sistema de archivos con el siguiente mensaje:

/efs mount.nfs4: access denied by server while mounting 127.0.0.1:/

Este problema puede producirse si el cliente NFS no tiene permiso para montar el sistema de archivos.


Si está intentando montar el sistema de archivos mediante IAM, asegúrese de que está utilizando la opción-o iam del comando mount. Esto indica al ayudante de montaje de EFS que pase sus credenciales aldestino de montaje de EFS. Si sigue sin tener acceso, compruebe la política del sistema de archivos y lapolítica de identidad para asegurarse de que no existen cláusulas DENY que se apliquen a la conexión yde que haya al menos una cláusula ALLOW que se aplique a la conexión.

Se produce un error de montaje automático y lainstancia no respondeEste problema puede ocurrir si el sistema de archivos se monta automáticamente en una instancia y laopción _netdev no se ha declarado. Si falta _netdev, la instancia EC2 puede dejar de responder. Esteresultado se debe a que los sistemas de archivos de red se deben inicializar después de que la instanciainformática inicia sus redes.

Acción necesaria

Si se produce este problema, contacte con AWS Support.

Se produce un error de montaje de varios sistemas dearchivos de Amazon EFS en /etc/fstabEn el caso de instancias que utilizan el sistema systemd init con dos o más entradas de Amazon EFS en /etc/fstab, puede haber ocasiones en que algunas o todas las entradas no se monten. En este caso, elresultado dmesg muestra una o varias líneas parecidas a lo siguiente.

NFS: nfs4_discover_server_trunking unhandled error -512. Exiting with error EIO

197

Amazon Elastic File System Guía del usuarioEl comando de montaje falla con

el mensaje de error "wrong fs type"

Acción necesaria

En este caso, le recomendamos que cree un nuevo archivo de servicio systemd en /etc/systemd/system/mount-nfs-sequentially.service con el siguiente contenido.

[Unit]Description=Workaround for mounting NFS file systems sequentially at boot timeAfter=remote-fs.target

[Service]Type=oneshotExecStart=/bin/mount -avt nfs4RemainAfterExit=yes

[Install]WantedBy=multi-user.target

Después de hacerlo, ejecute los dos comandos siguientes:

1. sudo systemctl daemon-reload2. sudo systemctl enable mount-nfs-sequentially.service

A continuación, reinicie la instancia Amazon EC2 Los sistemas de archivos se montan bajo demanda, porlo general, en un plazo de un segundo.

El comando de montaje falla con el mensaje de error"wrong fs type"El comando de montaje falla con el siguiente mensaje de error.

mount: wrong fs type, bad option, bad superblock on 10.1.25.30:/, missing codepage or helper program, or other error (for several filesystems (e.g. nfs, cifs) you might need a /sbin/mount.<type> helper program)In some cases useful info is found in syslog - try dmesg | tail or so.

Acción necesaria

Si recibe este mensaje, instale el paquete nfs-utils (o nfs-common en Ubuntu). Para obtener másinformación, consulte Instalación del cliente NFS (p. 321).

El comando de montaje falla con el mensaje de error"incorrect mount option"El comando de montaje falla con el siguiente mensaje de error.

mount.nfs: an incorrect mount option was specified

Acción necesaria

Este mensaje de error lo más probable es que signifique que su distribución de Linux no admite lasversiones 4.0 y 4.1 de Network File System (NFSv4). Para confirmar si es el caso, puede ejecutar elsiguiente comando.

198

Amazon Elastic File System Guía del usuarioEl montaje del sistema de archivos falla de inmediato

después de la creación del sistema de archivos

$ grep CONFIG_NFS_V4_1 /boot/config*

Si el comando anterior devuelve # CONFIG_NFS_V4_1 is not set, NFSv4.1 no se admite en sudistribución de Linux. Para obtener una lista de las Amazon Machine Images (AMI) de Amazon ElasticCompute Cloud (Amazon EC2) que admiten NFSv4.1, consulte Compatibilidad con NFS (p. 320).

El montaje del sistema de archivos falla de inmediatodespués de la creación del sistema de archivosPuede llevar hasta 90 segundos después de crear un destino de montaje hasta que los registros delservicio de nombres de dominio (DNS) se propaguen totalmente en una región de AWS.

Acción necesaria

Si está creando y montando sistemas de archivos mediante programación, por ejemplo con una plantilla deAWS CloudFormation, le recomendamos que implemente una condición de espera.

El montaje del sistema de archivos deja de respondery, a continuación, falla con un error de tiempo deespera agotadoEl comando de montaje del sistema de archivos deja de responder durante un minuto o dos y, acontinuación, falla con un error de tiempo de espera agotado. En el siguiente código se muestra unejemplo.

$ sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport mount-target-ip:/ mnt

[2+ minute wait here]mount.nfs: Connection timed out$Â

Acción necesaria

Este error puede producirse porque la instancia Amazon EC2 o los grupos de seguridad del destino demontaje no están configurados correctamente. Asegúrese de que el grupo de seguridad de destino demontaje tenga una regla de entrada que permita el acceso NFS desde el grupo de seguridad de EC2.

Para obtener más información, consulte Crear grupos de seguridad (p. 35).

Compruebe que la dirección IP del destino de montaje que ha especificado es válida. Si especificauna dirección IP incorrecta y no hay nada más en esa dirección IP para rechazar el montaje, podríaexperimentar este problema.

199

Amazon Elastic File System Guía del usuarioEl montaje del sistema de archivosque utiliza el nombre de DNS falla

El montaje del sistema de archivos que utiliza elnombre de DNS fallaUn montaje de sistema de archivos que utiliza un nombre DNS falla. En el siguiente código se muestra unejemplo.

$ sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport file-system-id.efs.aws-region.amazonaws.com:/ mnt mount.nfs: Failed to resolve server file-system-id.efs.aws-region.amazonaws.com: Name or service not known.

$

Acción necesaria

Compruebe la configuración de VPC. Si utiliza una VPC personalizada, asegúrese de que la configuraciónde DNS esté habilitada. Para obtener más información, consulte Utilización de DNS con su VPC en la Guíadel usuario de Amazon VPC.

Para especificar un nombre de DNS en el comando mount, debe hacer lo siguiente:

• Asegúrese de que haya un destino de montaje Amazon EFS; en la misma zona de disponibilidad que lainstancia Amazon EC2.

• Asegúrese de que haya un destino de montaje en la misma VPC que la instancia Amazon EC2. De locontrario, no se puede utilizar la resolución de nombres de DNS para los destinos de montaje de EFSque están en otra VPC. Para obtener más información, consulte Montar sistemas de archivos de EFSdesde otra cuenta o VPC (p. 75).

• Conecte su instancia Amazon EC2 dentro de una Amazon VPC configurada para utilizar el servidor DNSproporcionado por Amazon. Para obtener más información, consulte Conjuntos de opciones de DHCP enla Guía del usuario de Amazon VPC.

• Asegúrese de que la Amazon VPC de la instancia Amazon EC2 de conexión tiene los nombres de hostDNS habilitados. Para obtener más información, consulte Actualización de soporte de DNS para su VPCen la Guía del usuario de Amazon VPC.

El montaje del sistema de archivos falla y emite elmensaje "nfs not responding (nfs no responde)"Un montaje del sistema de archivos de Amazon EFS falla en un evento de reconexión del protocolo decontrol de transmisión (TCP) con "nfs: server_name still not responding".

Acción necesaria

Utilice la opción de montaje noresvport para asegurarse de que el cliente NFS utiliza un nuevo puertode origen de TCP cuando se restablece la conexión a la red. Esto ayuda a garantizar la disponibilidadininterrumpida después de un evento de recuperación de red.

El estado de ciclo de vida de destino de montaje estáatascadoEl estado del ciclo de vida del destino de montaje está bloqueado en el estado creating (creación) odeleting (eliminación).

200

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html


https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating

Amazon Elastic File System Guía del usuarioEl montaje no responde

Acción necesaria

Vuelva a intentar la llamada CreateMountTarget o DeleteMountTarget.

El montaje no respondeParece que un montaje de Amazon EFS deja de responder. Por ejemplo, comandos como ls dejan deresponder.

Acción necesaria

Este error se produce si otra aplicación está escribiendo grandes cantidades de datos en el sistemade archivos. El acceso a los archivos que se están escribiendo podría bloquearse hasta que se hayacompletado la operación. En general, cualquier comando o aplicación que intenta acceder a archivos quese están escribiendo podría parecer que ha dejado de responder. Por ejemplo, el comando ls podríadejar de responder cuando llega al archivo que se está escribiendo. Este resultado se debe a que algunasdistribuciones de Linux especifican como alias el comando ls para que recupere atributos de archivos,además de mostrar el contenido del directorio.

Para solucionar este problema, compruebe que otra aplicación está escribiendo archivos en el montaje deAmazon EFS y que tiene el estado Uninterruptible sleep (D), como en el siguiente ejemplo:

$ ps aux | grep large_io.py root 33253 0.5 0.0 126652 5020 pts/3 D+ 18:22 0:00 python large_io.py /efs/large_file

Una vez que haya verificado que este es el caso, puede tratar la cuestión esperando a que la otraoperación de escritura se complete o implementando una alternativa. En el ejemplo de ls, puede utilizarel comando /bin/ls directamente, en lugar de un alias. Esto permite que el comando continúe sin queel archivo que se está escribiendo deje de responder. En general, si la aplicación que escribe los datospuede forzar un vaciado de datos de forma periódica, quizás el uso de fsync(2) podría ayudar a mejorarla capacidad de respuesta del sistema de archivos para otras aplicaciones. No obstante, esta mejorapodría ser a costa de desempeño cuando la aplicación escribe datos.

Las operaciones en el sistema de archivos reciénmontado devuelven el error "bad file handle"Las operaciones realizadas en un sistema de archivos recién montado devuelven un error bad filehandle.

Este error puede ocurrir si una instancia Amazon EC2 se ha conectado a un sistema de archivos y undestino de montaje con una dirección IP especificada y, a continuación, dicho sistema de archivos yel destino de montaje se han eliminado. Si crea un nuevo sistema de archivos y destino de montajepara conectarse a esa instancia Amazon EC2 con la misma dirección IP del destino de montaje, puedeproducirse este problema.

Acción necesaria

Puede resolver este error desmontando el sistema de archivos y, a continuación, volviendo a montar elsistema de archivos en la instancia Amazon EC2. Para obtener más información sobre cómo desmontar elsistema de archivos de Amazon EFS, consulte Desmontar sistemas de archivos (p. 79).

Error de desmontaje de un sistema de archivosSi el sistema de archivos está ocupado, no puede desmontarlo.

Acción necesaria

201

Amazon Elastic File System Guía del usuarioResolución de problemas de cifrado

Puede resolver este problema de las siguientes maneras:

• Espere a que todas las operaciones de lectura y escritura terminen y, a continuación, intente de nuevo elcomando umount.

• Fuerce a que el comando umount termine con la opción -f.

Warning

Si se fuerza un desmontaje se interrumpen las operaciones de lectura o escritura de datos quese encuentran actualmente en curso para el sistema de archivos.

Resolución de problemas de cifradoA continuación, encontrará información sobre la solución de problemas de cifrado de Amazon EFS.

• Error de montaje con cifrado de los datos en tránsito (p. 202)• Interrupción del montaje con cifrado de los datos en tránsito (p. 202)• No es posible crear el sistema de archivos con cifrado en reposo (p. 203)• El sistemas de archivos cifrados no se puede usar (p. 203)

Error de montaje con cifrado de los datos en tránsitoDe forma predeterminada, cuando se utiliza el ayudante de montaje de Amazon EFS con TLS (TransportLayer Security), se aplica la comprobación del nombre de host. Algunos sistemas no admiten estacaracterística, por ejemplo, cuando se utiliza Red Hat Enterprise Linux o CentOS. En estos casos, seproduce un error al montar un sistema de archivos de EFS mediante TLS.


Se recomienda actualizar la versión de stunnel en el cliente para que admita la comprobación del nombrede host. Para obtener más información, consulte Actualización de stunnel (p. 46).

Interrupción del montaje con cifrado de los datos entránsitoEs posible, aunque poco probable, que su conexión cifrada a su sistema de archivos de Amazon EFS dejede responder o se interrumpa por eventos del lado del cliente.

Acción necesaria

Si la conexión a su sistema de archivos de Amazon EFS con cifrado de datos en tránsito se interrumpe,siga estos pasos:

1. Asegúrese de que el servicio stunnel se está ejecutando en el cliente.2. Confirme que la aplicación de vigilancia amazon-efs-mount-watchdog se está ejecutando en el

cliente. Puede averiguar si esta aplicación se está ejecutando con el siguiente comando:

ps aux | grep [a]mazon-efs-mount-watchdog

3. Compruebe los registros de soporte. Para obtener más información, consulte Obtención de registros desoporte (p. 49).

4. Si lo desea, puede habilitar los registros de stunnel y comprobar también esa información. Puedecambiar la configuración de los registros en /etc/amazon/efs/efs-utils.conf para habilitar los

202

Amazon Elastic File System Guía del usuarioNo es posible crear el sistema de

archivos con cifrado en reposo

registros de stunnel. Sin embargo, esto requiere desmontar y volver a montar el sistema de archivos conel ayudante de montaje para que los cambios surtan efecto.

Important

Habilitar los registros de stunnel puede utilizar una cantidad de espacio nada despreciable en elsistema de archivos.

Si las interrupciones continúan, contacte con AWS Support.

No es posible crear el sistema de archivos con cifradoen reposoHa intentado crear un nuevo sistema de archivos con cifrado en reposo. Sin embargo, recibe un mensajede error que indica que AWS KMS no está disponible.

Acción necesaria

Este error se produce en el improbable caso de que AWS KMS deje de estar disponible temporalmente ensu región de AWS. Si esto ocurre, espere hasta que AWS KMS vuelve a tener disponibilidad completa y, acontinuación, intente crear el sistema de archivos de nuevo.

El sistemas de archivos cifrados no se puede usarUn sistema de archivos cifrados de forma coherente devuelve errores de servidor de NFS. Estos errores sepuede producir cuando EFS no puede recuperar la clave maestra de AWS KMS por alguna de las razonessiguientes:

• La clave se ha desactivado.• La clave se ha eliminado.• El permiso de Amazon EFS para utilizar la clave se ha revocado.• AWS KMS no está disponible temporalmente.

Acción necesaria

En primer lugar, confirme que la clave de AWS KMS está habilitada. Para ello, consulte las claves en laconsola. Para obtener más información, consulte Visualización de claves en la AWS Key ManagementService Developer Guide.

Si la clave no está habilitada, habilítela. Para obtener más información, consulte Habilitar y deshabilitarclaves en la AWS Key Management Service Developer Guide.

Si la clave está pendiente de eliminación, este estado deshabilita la clave. Puede cancelar la eliminacióny volver a habilitar la clave. Para obtener más información, consulte Programación y cancelación deeliminación de claves en la AWS Key Management Service Developer Guide.

Si la clave está habilitada y sigue teniendo problemas, o si tiene un problema al volver a habilitar la clave,contacte con AWS Support.

203

https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html



https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-scheduling-key-deletion

https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-scheduling-key-deletion

Amazon Elastic File System Guía del usuarioPunto de enlace de la API

API de Amazon EFSLa API de Amazon EFS es un protocolo de red basado en HTTP (RFC 2616). Para cada llamada al API,realiza una solicitud HTTP al punto de enlace de la API de Amazon EFS específico de la región para laregión de AWS en la que desea administrar los sistemas de archivos. La API utiliza documentos JSON(RFC 4627) para el cuerpo de las solicitudes y respuestas HTTP.

La API de Amazon EFS es un modelo RPC. En este modelo, hay un conjunto fijo de operaciones y losclientes conocen la sintaxis de cada operación sin ninguna interacción previa. En la siguiente sección,encontrará una descripción de cada operación de API utilizando una notación RPC abstracta. Cada unatiene un nombre de operación que no aparece en la ruta. Para cada operación, el tema especifica elmapeo a los elementos de solicitud HTTP.

La operación de Amazon EFS concreta a la que se asigna una solicitud concreta se determina medianteuna combinación del método de la solicitud (GET, PUT, POST o DELETE) y de cuáles de los distintospatrones coincide con su URI de solicitud. Si la operación es PUT o POST, Amazon EFS extrae losargumentos de llamada del segmento de la ruta URI de la solicitud, los parámetros de la consulta y elobjeto JSON del cuerpo de la solicitud.

Note

Aunque los nombres de las operaciones, por ejemplo, CreateFileSystem, no aparecenen la red, son importantes en las políticas de AWS Identity and Access Management (IAM).Para obtener más información, consulte Administración de identidad y acceso para AmazonEFS (p. 155).Además, el nombre de operación se utiliza para nombrar los comandos en las herramientasde línea de comando y en los elementos de las API de SDK de AWS. Por ejemplo, existeun comando de la AWS CLI llamado create-file-system que se asocia a la operaciónCreateFileSystem.El nombre de la operación también aparece en los registros de AWS CloudTrail para las llamadasa la API de Amazon EFS.

Punto de enlace de la APIEl punto de enlace de la API es el nombre de DNS que se utiliza como host en el URI de HTTP de lasllamadas al API. Estos puntos de enlace de API son específicos de las regiones de AWS y adoptan elsiguiente formato.

elasticfilesystem.aws-region.amazonaws.com

Por ejemplo, el punto de enlace de la API de Amazon EFS para la región Región EE.UU. Oeste (Oregón)es el siguiente.

elasticfilesystem.us-west-2.amazonaws.com

Para ver una lista de las regiones de AWS que admite Amazon EFS (en las que puede crear y administrarsistemas de archivos), consulte Amazon Elastic File System en la AWS General Reference.

El punto de enlace de la API específico de la región define el ámbito de los recursos de AmazonEFS que están accesibles al realizar una llamada al API. Por ejemplo, si llama a la operación

204

https://www.ietf.org/rfc/rfc2616.txt


Amazon Elastic File System Guía del usuarioVersión de API

DescribeFileSystems mediante el punto de enlace anterior, obtendrá una lista de los sistemas dearchivo de la región EE.UU. Oeste (Oregón) que se han creado en su cuenta.

Versión de APILa versión de API utilizada en una llamada se identifica mediante el primer segmento de la ruta de la URIde la solicitud y su formato es una fecha ISO 8601. Por ejemplo, consulte CreateFileSystem (p. 212).

En la documentación se describe la versión 2015-02-01 del API.

Temas relacionadosEn las secciones siguientes proporcione descripciones de las operaciones de las API, cómo crear unafirma para la solicitud de autenticación y cómo conceder permisos para dichas operaciones de APIutilizando las políticas de IAM.

• Administración de identidad y acceso para Amazon EFS (p. 155)• Actions (p. 206)• Data Types (p. 291)

Trabajo con la velocidad de las solicitudes de APIde consulta para Amazon EFS

Las solicitudes de API de Amazon EFS están limitadas por región para cada cuenta de AWS, con elfin de favorecer el desempeño del servicio. Todas las llamadas a la API de Amazon EFS juntas, conindependencia de que se deriven de una aplicación, la AWS CLI o la consola de Amazon EFS no debensuperar la velocidad máxima permitida para la API. La velocidad máxima de las solicitudes de API puedevariar entre las regiones de AWS. Las solicitudes de API realizadas por los usuarios de AWS Identity andAccess Management (IAM) se atribuyen a la cuenta de AWS subyacente.

Si una solicitud de API supera la velocidad de las solicitudes de API en su categoría, la solicitud devuelveel código de error ThrottlingException. Para evitarlo, asegúrese de que la aplicación no reintentalas solicitudes de API a una velocidad elevada. Para ello, lleve a cabo el sondeo con precaución y empleereintentos con retardo exponencial.

SondeoEs posible que la aplicación necesite llamar a una operación de API repetidamente para comprobar sihay alguna actualización de estado. Antes de comenzar el sondeo, indique el tiempo de solicitud paracompletarlo potencialmente. Cuando comience el sondeo, utilice un intervalo de suspensión adecuadoentre las sucesivas solicitudes. Para obtener resultados óptimos, utilice un intervalo de suspensióncreciente.

Reintentos o procesamiento por lotesEs posible que la aplicación necesite volver a intentar una solicitud de API tras un error o para procesarvarios recursos (por ejemplo, todos los sistemas de archivo de Amazon EFS). Para reducir la velocidad desolicitudes de API, utilice un intervalo de suspensión entre solicitudes sucesivas adecuado. Para obtenerresultados óptimos, utilice un intervalo de suspensión creciente o variable.

205

Amazon Elastic File System Guía del usuarioCálculo del intervalo de suspensión

Cálculo del intervalo de suspensiónCuando tenga que sondear o reintentar una solicitud de API, recomendamos que utilice un algoritmode retardo exponencial para calcular el intervalo de suspensión entre las llamadas al API. El retardoexponencial se basa en la idea de utilizar tiempos de espera progresivamente más largos entre reintentospara las respuestas a errores consecutivos. Para obtener más información, así como ejemplos deimplementación de este algoritmo, consulte Reintentos de error y retardo exponencial en AWS en laReferencia general de Amazon Web Services.

ActionsThe following actions are supported:

• CreateAccessPoint (p. 207)• CreateFileSystem (p. 212)• CreateMountTarget (p. 220)• CreateTags (p. 228)• DeleteAccessPoint (p. 231)• DeleteFileSystem (p. 233)• DeleteFileSystemPolicy (p. 235)• DeleteMountTarget (p. 237)• DeleteTags (p. 240)• DescribeAccessPoints (p. 243)• DescribeBackupPolicy (p. 246)• DescribeFileSystemPolicy (p. 248)• DescribeFileSystems (p. 251)• DescribeLifecycleConfiguration (p. 255)• DescribeMountTargets (p. 258)• DescribeMountTargetSecurityGroups (p. 262)• DescribeTags (p. 265)• ListTagsForResource (p. 268)• ModifyMountTargetSecurityGroups (p. 270)• PutBackupPolicy (p. 273)• PutFileSystemPolicy (p. 275)• PutLifecycleConfiguration (p. 279)• TagResource (p. 283)• UntagResource (p. 285)• UpdateFileSystem (p. 287)

206

https://docs.aws.amazon.com/general/latest/gr/api-retries.html

Amazon Elastic File System Guía del usuarioCreateAccessPoint

CreateAccessPointCreates an EFS access point. An access point is an application-specific view into an EFS file systemthat applies an operating system user and group, and a file system path, to any file system request madethrough the access point. The operating system user and group override any identity information providedby the NFS client. The file system path is exposed as the access point's root directory. Applications usingthe access point can only access data in its own directory and below. To learn more, see Mounting a FileSystem Using EFS Access Points.

This operation requires permissions for the elasticfilesystem:CreateAccessPoint action.

Request SyntaxPOST /2015-02-01/access-points HTTP/1.1Content-type: application/json

{ "ClientToken": "string", "FileSystemId": "string", "PosixUser": { "Gid": number, "SecondaryGids": [ number ], "Uid": number }, "RootDirectory": { "CreationInfo": { "OwnerGid": number, "OwnerUid": number, "Permissions": "string" }, "Path": "string" }, "Tags": [ { "Key": "string", "Value": "string" } ]}

URI Request ParametersThe request does not use any URI parameters.

Request BodyThe request accepts the following data in JSON format.

ClientToken (p. 207)

A string of up to 64 ASCII characters that Amazon EFS uses to ensure idempotent creation.

Type: String

Length Constraints: Minimum length of 1. Maximum length of 64.

Required: YesFileSystemId (p. 207)

The ID of the EFS file system that the access point provides access to.

207

https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html



Type: String

Length Constraints: Maximum length of 128.

Pattern: ^(arn:aws[-a-z]*:elasticfilesystem:[0-9a-z-:]+:file-system/fs-[0-9a-f]{8,40}|fs-[0-9a-f]{8,40})$

Required: YesPosixUser (p. 207)

The operating system user and group applied to all file system requests made using the access point.

Type: PosixUser (p. 304) object

Required: NoRootDirectory (p. 207)

Specifies the directory on the Amazon EFS file system that the access point exposes as the rootdirectory of your file system to NFS clients using the access point. The clients using the access pointcan only access the root directory and below. If the RootDirectory > Path specified does notexist, EFS creates it and applies the CreationInfo settings when a client connects to an accesspoint. When specifying a RootDirectory, you need to provide the Path, and the CreationInfo isoptional.

Type: RootDirectory (p. 305) object

Required: NoTags (p. 207)

Creates tags associated with the access point. Each tag is a key-value pair.

Type: Array of Tag (p. 306) objects

Required: No

Response SyntaxHTTP/1.1 200Content-type: application/json

{ "AccessPointArn": "string", "AccessPointId": "string", "ClientToken": "string", "FileSystemId": "string", "LifeCycleState": "string", "Name": "string", "OwnerId": "string", "PosixUser": { "Gid": number, "SecondaryGids": [ number ], "Uid": number }, "RootDirectory": { "CreationInfo": { "OwnerGid": number, "OwnerUid": number, "Permissions": "string" }, "Path": "string"

208


}, "Tags": [ { "Key": "string", "Value": "string" } ]}

Response ElementsIf the action is successful, the service sends back an HTTP 200 response.

The following data is returned in JSON format by the service.

AccessPointArn (p. 208)

The unique Amazon Resource Name (ARN) associated with the access point.

Type: StringAccessPointId (p. 208)

The ID of the access point, assigned by Amazon EFS.

Type: StringClientToken (p. 208)

The opaque string specified in the request to ensure idempotent creation.

Type: String

Length Constraints: Minimum length of 1. Maximum length of 64.FileSystemId (p. 208)

The ID of the EFS file system that the access point applies to.

Type: String



LifeCycleState (p. 208)

Identifies the lifecycle phase of the access point.

Type: String

Valid Values: creating | available | updating | deleting | deletedName (p. 208)

The name of the access point. This is the value of the Name tag.

Type: StringOwnerId (p. 208)

Identified the AWS account that owns the access point resource.

Type: String

209



Pattern: ^(\d{12})|(\d{4}-\d{4}-\d{4})$PosixUser (p. 208)

The full POSIX identity, including the user ID, group ID, and secondary group IDs on the access pointthat is used for all file operations by NFS clients using the access point.

Type: PosixUser (p. 304) objectRootDirectory (p. 208)

The directory on the Amazon EFS file system that the access point exposes as the root directory toNFS clients using the access point.

Type: RootDirectory (p. 305) objectTags (p. 208)

The tags associated with the access point, presented as an array of Tag objects.


ErrorsAccessPointAlreadyExists

Returned if the access point you are trying to create already exists, with the creation token youprovided in the request.

HTTP Status Code: 409AccessPointLimitExceeded

Returned if the AWS account has already created the maximum number of access points allowed perfile system.

HTTP Status Code: 403BadRequest

Returned if the request is malformed or contains an error such as an invalid parameter value or amissing required parameter.

HTTP Status Code: 400FileSystemNotFound

Returned if the specified FileSystemId value doesn't exist in the requester's AWS account.

HTTP Status Code: 404IncorrectFileSystemLifeCycleState

Returned if the file system's lifecycle state is not "available".

HTTP Status Code: 409InternalServerError

Returned if an error occurred on the server side.

HTTP Status Code: 500

210


See AlsoFor more information about using this API in one of the language-specific AWS SDKs, see the following:

• AWS Command Line Interface• AWS SDK for .NET• AWS SDK for C++• AWS SDK for Go• AWS SDK for Java• AWS SDK for JavaScript• AWS SDK for PHP V3• AWS SDK for Python• AWS SDK for Ruby V3

211

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/CreateAccessPoint

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/CreateAccessPoint

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/CreateAccessPoint

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/CreateAccessPoint

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/CreateAccessPoint

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/CreateAccessPoint

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/CreateAccessPoint

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/CreateAccessPoint

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/CreateAccessPoint

Amazon Elastic File System Guía del usuarioCreateFileSystem

CreateFileSystemCreates a new, empty file system. The operation requires a creation token in the request that Amazon EFSuses to ensure idempotent creation (calling the operation with same creation token has no effect). If a filesystem does not currently exist that is owned by the caller's AWS account with the specified creation token,this operation does the following:

• Creates a new, empty file system. The file system will have an Amazon EFS assigned ID, and an initiallifecycle state creating.

• Returns with the description of the created file system.

Otherwise, this operation returns a FileSystemAlreadyExists error with the ID of the existing filesystem.

Note

For basic use cases, you can use a randomly generated UUID for the creation token.

The idempotent operation allows you to retry a CreateFileSystem call without risk of creating an extrafile system. This can happen when an initial call fails in a way that leaves it uncertain whether or not afile system was actually created. An example might be that a transport level timeout occurred or yourconnection was reset. As long as you use the same creation token, if the initial call had succeeded increating a file system, the client can learn of its existence from the FileSystemAlreadyExists error.

Note

The CreateFileSystem call returns while the file system's lifecycle state is still creating. Youcan check the file system creation status by calling the DescribeFileSystems (p. 251) operation,which among other things returns the file system state.

This operation also takes an optional PerformanceMode parameter that you choose for your file system.We recommend generalPurpose performance mode for most file systems. File systems using the maxIOperformance mode can scale to higher levels of aggregate throughput and operations per second with atradeoff of slightly higher latencies for most file operations. The performance mode can't be changed afterthe file system has been created. For more information, see Amazon EFS: Performance Modes.

After the file system is fully created, Amazon EFS sets its lifecycle state to available, at which pointyou can create one or more mount targets for the file system in your VPC. For more information, seeCreateMountTarget (p. 220). You mount your Amazon EFS file system on an EC2 instances in your VPCby using the mount target. For more information, see Amazon EFS: How it Works.

This operation requires permissions for the elasticfilesystem:CreateFileSystem action.

Request SyntaxPOST /2015-02-01/file-systems HTTP/1.1Content-type: application/json

{ "CreationToken": "string", "Encrypted": boolean, "KmsKeyId": "string", "PerformanceMode": "string", "ProvisionedThroughputInMibps": number, "Tags": [ { "Key": "string", "Value": "string" }

212

https://docs.aws.amazon.com/efs/latest/ug/performance.html#performancemodes.html

https://docs.aws.amazon.com/efs/latest/ug/how-it-works.html


], "ThroughputMode": "string"}



CreationToken (p. 212)

A string of up to 64 ASCII characters. Amazon EFS uses this to ensure idempotent creation.

Type: String


Pattern: .+

Required: YesEncrypted (p. 212)

A Boolean value that, if true, creates an encrypted file system. When creating an encrypted file system,you have the option of specifying CreateFileSystem:KmsKeyId (p. 213) for an existing AWS KeyManagement Service (AWS KMS) customer master key (CMK). If you don't specify a CMK, then thedefault CMK for Amazon EFS, /aws/elasticfilesystem, is used to protect the encrypted filesystem.

Type: Boolean

Required: NoKmsKeyId (p. 212)

The ID of the AWS KMS CMK to be used to protect the encrypted file system. This parameter is onlyrequired if you want to use a nondefault CMK. If this parameter is not specified, the default CMK forAmazon EFS is used. This ID can be in one of the following formats:• Key ID - A unique identifier of the key, for example 1234abcd-12ab-34cd-56ef-1234567890ab.• ARN - An Amazon Resource Name (ARN) for the key, for example arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

• Key alias - A previously created display name for a key, for example alias/projectKey1.• Key alias ARN - An ARN for a key alias, for example arn:aws:kms:us-west-2:444455556666:alias/projectKey1.

If KmsKeyId is specified, the CreateFileSystem:Encrypted (p. 213) parameter must be set to true.

Important

EFS accepts only symmetric CMKs. You cannot use asymmetric CMKs with EFS file systems.

Type: String


Pattern: ^([0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12}|alias/[a-zA-Z0-9/_-]+|(arn:aws[-a-z]*:kms:[a-z0-9-]+:\d{12}:((key/[0-9a-

213


f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12})|(alias/[a-zA-Z0-9/_-]+))))$

Required: NoPerformanceMode (p. 212)

The performance mode of the file system. We recommend generalPurpose performance modefor most file systems. File systems using the maxIO performance mode can scale to higher levels ofaggregate throughput and operations per second with a tradeoff of slightly higher latencies for most fileoperations. The performance mode can't be changed after the file system has been created.

Type: String

Valid Values: generalPurpose | maxIO

Required: NoProvisionedThroughputInMibps (p. 212)

The throughput, measured in MiB/s, that you want to provision for a file system that you're creating.Valid values are 1-1024. Required if ThroughputMode is set to provisioned. The upper limit forthroughput is 1024 MiB/s. You can get this limit increased by contacting AWS Support. For moreinformation, see Amazon EFS Limits That You Can Increase in the Amazon EFS User Guide.

Type: Double

Valid Range: Minimum value of 1.0.

Required: NoTags (p. 212)

A value that specifies to create one or more tags associated with the file system. Eachtag is a user-defined key-value pair. Name your file system on creation by including a"Key":"Name","Value":"{value}" key-value pair.


Required: NoThroughputMode (p. 212)

The throughput mode for the file system to be created. There are two throughput modes tochoose from for your file system: bursting and provisioned. If you set ThroughputMode toprovisioned, you must also set a value for ProvisionedThroughPutInMibps. You can decreaseyour file system's throughput in Provisioned Throughput mode or change between the throughputmodes as long as it’s been more than 24 hours since the last decrease or throughput mode change.For more, see Specifying Throughput with Provisioned Mode in the Amazon EFS User Guide.

Type: String

Valid Values: bursting | provisioned

Required: No

Response Syntax

HTTP/1.1 201Content-type: application/json

214

https://docs.aws.amazon.com/efs/latest/ug/limits.html#soft-limits

https://docs.aws.amazon.com/efs/latest/ug/performance.html#provisioned-throughput


{ "CreationTime": number, "CreationToken": "string", "Encrypted": boolean, "FileSystemArn": "string", "FileSystemId": "string", "KmsKeyId": "string", "LifeCycleState": "string", "Name": "string", "NumberOfMountTargets": number, "OwnerId": "string", "PerformanceMode": "string", "ProvisionedThroughputInMibps": number, "SizeInBytes": { "Timestamp": number, "Value": number, "ValueInIA": number, "ValueInStandard": number }, "Tags": [ { "Key": "string", "Value": "string" } ], "ThroughputMode": "string"}



CreationTime (p. 214)

The time that the file system was created, in seconds (since 1970-01-01T00:00:00Z).

Type: TimestampCreationToken (p. 214)

The opaque string specified in the request.

Type: String


Pattern: .+Encrypted (p. 214)

A Boolean value that, if true, indicates that the file system is encrypted.

Type: BooleanFileSystemArn (p. 214)

The Amazon Resource Name (ARN) for the EFS file system, in the formatarn:aws:elasticfilesystem:region:account-id:file-system/file-system-id . Example with sample data: arn:aws:elasticfilesystem:us-west-2:1111333322228888:file-system/fs-01234567

Type: String

215


FileSystemId (p. 214)

The ID of the file system, assigned by Amazon EFS.

Type: String



KmsKeyId (p. 214)

The ID of an AWS Key Management Service (AWS KMS) customer master key (CMK) that was usedto protect the encrypted file system.

Type: String


Pattern: ^([0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12}|alias/[a-zA-Z0-9/_-]+|(arn:aws[-a-z]*:kms:[a-z0-9-]+:\d{12}:((key/[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12})|(alias/[a-zA-Z0-9/_-]+))))$


The lifecycle phase of the file system.

Type: String


You can add tags to a file system, including a Name tag. For more information, seeCreateFileSystem (p. 212). If the file system has a Name tag, Amazon EFS returns the value in thisfield.

Type: String


Pattern: ^([\p{L}\p{Z}\p{N}_.:/=+\-@]*)$NumberOfMountTargets (p. 214)

The current number of mount targets that the file system has. For more information, seeCreateMountTarget (p. 220).

Type: Integer

Valid Range: Minimum value of 0.OwnerId (p. 214)

The AWS account that created the file system. If the file system was created by an IAM user, theparent account to which the user belongs is the owner.

Type: String


Pattern: ^(\d{12})|(\d{4}-\d{4}-\d{4})$

216


PerformanceMode (p. 214)

The performance mode of the file system.

Type: String

Valid Values: generalPurpose | maxIOProvisionedThroughputInMibps (p. 214)

The throughput, measured in MiB/s, that you want to provision for a file system. Valid values are1-1024. Required if ThroughputMode is set to provisioned. The limit on throughput is 1024 MiB/s. You can get these limits increased by contacting AWS Support. For more information, see AmazonEFS Limits That You Can Increase in the Amazon EFS User Guide.

Type: Double

Valid Range: Minimum value of 1.0.SizeInBytes (p. 214)

The latest known metered size (in bytes) of data stored in the file system, in its Value field, and thetime at which that size was determined in its Timestamp field. The Timestamp value is the integernumber of seconds since 1970-01-01T00:00:00Z. The SizeInBytes value doesn't represent the sizeof a consistent snapshot of the file system, but it is eventually consistent when there are no writes tothe file system. That is, SizeInBytes represents actual size only if the file system is not modified for aperiod longer than a couple of hours. Otherwise, the value is not the exact size that the file system wasat any point in time.

Type: FileSystemSize (p. 300) objectTags (p. 214)

The tags associated with the file system, presented as an array of Tag objects.

Type: Array of Tag (p. 306) objectsThroughputMode (p. 214)

The throughput mode for a file system. There are two throughput modes to choose from for your filesystem: bursting and provisioned. If you set ThroughputMode to provisioned, you must alsoset a value for ProvisionedThroughPutInMibps. You can decrease your file system's throughputin Provisioned Throughput mode or change between the throughput modes as long as it’s been morethan 24 hours since the last decrease or throughput mode change.

Type: String


ErrorsBadRequest


HTTP Status Code: 400FileSystemAlreadyExists

Returned if the file system you are trying to create already exists, with the creation token you provided.


217




FileSystemLimitExceeded

Returned if the AWS account has already created the maximum number of file systems allowed peraccount.

HTTP Status Code: 403InsufficientThroughputCapacity

Returned if there's not enough capacity to provision additional throughput. This value might be returnedwhen you try to create a file system in provisioned throughput mode, when you attempt to increasethe provisioned throughput of an existing file system, or when you attempt to change an existing filesystem from bursting to provisioned throughput mode.



HTTP Status Code: 500ThroughputLimitExceeded

Returned if the throughput mode or amount of provisioned throughput can't be changed because thethroughput limit of 1024 MiB/s has been reached.


ExampleCreate a File System

The following example sends a POST request to create a file system in the us-west-2 region. Therequest specifies myFileSystem1 as the creation token.

Sample Request

POST /2015-02-01/file-systems HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140620T215117ZAuthorization: <...>Content-Type: application/jsonContent-Length: 42

{ "CreationToken" : "myFileSystem1", "PerformanceMode" : "generalPurpose", "Tags":[ { "Key": "Name", "Value": "Test Group1" } ]}

Sample Response

HTTP/1.1 201 Createdx-amzn-RequestId: 01234567-89ab-cdef-0123-456789abcdefContent-Type: application/json

218


Content-Length: 319

{ "ownerId":"251839141158", "creationToken":"myFileSystem1", "PerformanceMode" : "generalPurpose", "fileSystemId":"fs-01234567", "CreationTime":"1403301078", "LifeCycleState":"creating", "numberOfMountTargets":0, "SizeInBytes":{ "Timestamp": 1403301078, "Value": 29313417216, "ValueInIA": 675432, "ValueInStandard": 29312741784 }, "Tags":[ { "Key": "Name", "Value": "Test Group1" } ]}



219

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/CreateFileSystem

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/CreateFileSystem

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/CreateFileSystem

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/CreateFileSystem

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/CreateFileSystem

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/CreateFileSystem

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/CreateFileSystem

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/CreateFileSystem

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/CreateFileSystem

Amazon Elastic File System Guía del usuarioCreateMountTarget

CreateMountTargetCreates a mount target for a file system. You can then mount the file system on EC2 instances by using themount target.

You can create one mount target in each Availability Zone in your VPC. All EC2 instances in a VPC withina given Availability Zone share a single mount target for a given file system. If you have multiple subnets inan Availability Zone, you create a mount target in one of the subnets. EC2 instances do not need to be inthe same subnet as the mount target in order to access their file system. For more information, see AmazonEFS: How it Works.

In the request, you also specify a file system ID for which you are creating the mount target and the filesystem's lifecycle state must be available. For more information, see DescribeFileSystems (p. 251).

In the request, you also provide a subnet ID, which determines the following:

• VPC in which Amazon EFS creates the mount target• Availability Zone in which Amazon EFS creates the mount target• IP address range from which Amazon EFS selects the IP address of the mount target (if you don't specify

an IP address in the request)

After creating the mount target, Amazon EFS returns a response that includes, a MountTargetId and anIpAddress. You use this IP address when mounting the file system in an EC2 instance. You can also usethe mount target's DNS name when mounting the file system. The EC2 instance on which you mount thefile system by using the mount target can resolve the mount target's DNS name to its IP address. For moreinformation, see How it Works: Implementation Overview.

Note that you can create mount targets for a file system in only one VPC, and there can be only one mounttarget per Availability Zone. That is, if the file system already has one or more mount targets created for it,the subnet specified in the request to add another mount target must meet the following requirements:

• Must belong to the same VPC as the subnets of the existing mount targets• Must not be in the same Availability Zone as any of the subnets of the existing mount targets

If the request satisfies the requirements, Amazon EFS does the following:

• Creates a new mount target in the specified subnet.• Also creates a new network interface in the subnet as follows:

• If the request provides an IpAddress, Amazon EFS assigns that IP address to the network interface.Otherwise, Amazon EFS assigns a free address in the subnet (in the same way that the Amazon EC2CreateNetworkInterface call does when a request does not specify a primary private IP address).

• If the request provides SecurityGroups, this network interface is associated with those securitygroups. Otherwise, it belongs to the default security group for the subnet's VPC.

• Assigns the description Mount target fsmt-id for file system fs-id where fsmt-id is the mount target ID, and fs-id is the FileSystemId.

• Sets the requesterManaged property of the network interface to true, and the requesterId valueto EFS.

Each Amazon EFS mount target has one corresponding requester-managed EC2 network interface. Afterthe network interface is created, Amazon EFS sets the NetworkInterfaceId field in the mount target'sdescription to the network interface ID, and the IpAddress field to its address. If network interfacecreation fails, the entire CreateMountTarget operation fails.

220



https://docs.aws.amazon.com/efs/latest/ug/how-it-works.html#how-it-works-implementation


Note

The CreateMountTarget call returns only after creating the network interface, but while themount target state is still creating, you can check the mount target creation status by calling theDescribeMountTargets (p. 258) operation, which among other things returns the mount targetstate.

We recommend that you create a mount target in each of the Availability Zones. There are costconsiderations for using a file system in an Availability Zone through a mount target created in anotherAvailability Zone. For more information, see Amazon EFS. In addition, by always using a mount target localto the instance's Availability Zone, you eliminate a partial failure scenario. If the Availability Zone in whichyour mount target is created goes down, then you can't access your file system through that mount target.

This operation requires permissions for the following action on the file system:

• elasticfilesystem:CreateMountTarget

This operation also requires permissions for the following Amazon EC2 actions:

• ec2:DescribeSubnets

• ec2:DescribeNetworkInterfaces

• ec2:CreateNetworkInterface

Request Syntax

POST /2015-02-01/mount-targets HTTP/1.1Content-type: application/json

{ "FileSystemId": "string", "IpAddress": "string", "SecurityGroups": [ "string" ], "SubnetId": "string"}




The ID of the file system for which to create the mount target.

Type: String



Required: Yes

221

http://aws.amazon.com/efs/


IpAddress (p. 221)

Valid IPv4 address within the address range of the specified subnet.

Type: String


Pattern: ^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$

Required: NoSecurityGroups (p. 221)

Up to five VPC security group IDs, of the form sg-xxxxxxxx. These must be for the same VPC assubnet specified.

Type: Array of strings

Array Members: Maximum number of 5 items.


Pattern: ^sg-[0-9a-f]{8,40}

Required: NoSubnetId (p. 221)

The ID of the subnet to add the mount target in.

Type: String


Pattern: ^subnet-[0-9a-f]{8,40}$

Required: Yes


{ "AvailabilityZoneId": "string", "AvailabilityZoneName": "string", "FileSystemId": "string", "IpAddress": "string", "LifeCycleState": "string", "MountTargetId": "string", "NetworkInterfaceId": "string", "OwnerId": "string", "SubnetId": "string", "VpcId": "string"}



222


AvailabilityZoneId (p. 222)

The unique and consistent identifier of the Availability Zone (AZ) that the mount target resides in. Forexample, use1-az1 is an AZ ID for the us-east-1 Region and it has the same location in every AWSaccount.

Type: StringAvailabilityZoneName (p. 222)

The name of the Availability Zone (AZ) that the mount target resides in. AZs are independently mappedto names for each AWS account. For example, the Availability Zone us-east-1a for your AWSaccount might not be the same location as us-east-1a for another AWS account.

Type: StringFileSystemId (p. 222)

The ID of the file system for which the mount target is intended.

Type: String



IpAddress (p. 222)

Address at which the file system can be mounted by using the mount target.

Type: String


Pattern: ^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$LifeCycleState (p. 222)

Lifecycle state of the mount target.

Type: String

Valid Values: creating | available | updating | deleting | deletedMountTargetId (p. 222)

System-assigned mount target ID.

Type: String


Pattern: ^fsmt-[0-9a-f]{8,40}$NetworkInterfaceId (p. 222)

The ID of the network interface that Amazon EFS created when it created the mount target.

Type: StringOwnerId (p. 222)

AWS account ID that owns the resource.

Type: String

223



Pattern: ^(\d{12})|(\d{4}-\d{4}-\d{4})$SubnetId (p. 222)

The ID of the mount target's subnet.

Type: String


Pattern: ^subnet-[0-9a-f]{8,40}$VpcId (p. 222)

The Virtual Private Cloud (VPC) ID that the mount target is configured in.

Type: String

ErrorsBadRequest








HTTP Status Code: 500IpAddressInUse

Returned if the request specified an IpAddress that is already in use in the subnet.

HTTP Status Code: 409MountTargetConflict

Returned if the mount target would violate one of the specified restrictions based on the file system'sexisting mount targets.

HTTP Status Code: 409NetworkInterfaceLimitExceeded

The calling account has reached the limit for elastic network interfaces for the specific AWS Region.The client should try to delete some elastic network interfaces or get the account limit raised. For moreinformation, see Amazon VPC Limits in the Amazon VPC User Guide (see the Network interfaces perVPC entry in the table).

224

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Appendix_Limits.html


HTTP Status Code: 409NoFreeAddressesInSubnet

Returned if IpAddress was not specified in the request and there are no free IP addresses in thesubnet.

HTTP Status Code: 409SecurityGroupLimitExceeded

Returned if the size of SecurityGroups specified in the request is greater than five.

HTTP Status Code: 400SecurityGroupNotFound

Returned if one of the specified security groups doesn't exist in the subnet's VPC.

HTTP Status Code: 400SubnetNotFound

Returned if there is no subnet with ID SubnetId provided in the request.

HTTP Status Code: 400UnsupportedAvailabilityZone


ExamplesAdd a Mount Target to a File System

The following request creates a mount target for a file system. The request specifies values for onlythe required FileSystemId and SubnetId parameters. The request does not provide the optionalIpAddress and SecurityGroups parameters. For IpAddress, the operation uses one of the availableIP addresses in the specified subnet. And, the operation uses the default security group associated with theVPC for the SecurityGroups.

Sample Request

POST /2015-02-01/mount-targets HTTP/1.1 Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140620T221118ZAuthorization: <...>Content-Type: application/jsonContent-Length: 160

{"SubnetId": "subnet-748c5d03", "FileSystemId": "fs-01234567"}

Sample Response

HTTP/1.1 200 OKx-amzn-RequestId: 01234567-89ab-cdef-0123-456789abcdefContent-Type: application/jsonContent-Length: 252

{ "MountTargetId": "fsmt-55a4413c", "NetworkInterfaceId": "eni-01234567",

225


"FileSystemId": "fs-01234567", "LifeCycleState": "available", "SubnetId": "subnet-01234567", "OwnerId": "231243201240", "IpAddress": "172.31.22.183"}

Add a Mount Target to a File SystemThe following request specifies all the request parameters to create a mount target.

Sample Request

POST /2015-02-01/mount-targets HTTP/1.1 Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140620T221118ZAuthorization: <...>Content-Type: application/jsonContent-Length: 160

{ "FileSystemId":"fs-01234567", "SubnetId":"subnet-01234567", "IpAddress":"10.0.2.42", "SecurityGroups":[ "sg-01234567" ]}

Sample Response


{ "OwnerId":"251839141158", "MountTargetId":"fsmt-9a13661e", "FileSystemId":"fs-01234567", "SubnetId":"subnet-fd04ff94", "LifeCycleState":"available", "IpAddress":"10.0.2.42", "NetworkInterfaceId":"eni-1bcb7772"}


• AWS Command Line Interface• AWS SDK for .NET• AWS SDK for C++• AWS SDK for Go• AWS SDK for Java• AWS SDK for JavaScript• AWS SDK for PHP V3• AWS SDK for Python

226

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/CreateMountTarget

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/CreateMountTarget

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/CreateMountTarget

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/CreateMountTarget

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/CreateMountTarget

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/CreateMountTarget

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/CreateMountTarget

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/CreateMountTarget


• AWS SDK for Ruby V3

227

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/CreateMountTarget

Amazon Elastic File System Guía del usuarioCreateTags

CreateTagsCreates or overwrites tags associated with a file system. Each tag is a key-value pair. If a tag key specifiedin the request already exists on the file system, this operation overwrites its value with the value providedin the request. If you add the Name tag to your file system, Amazon EFS returns it in the response to theDescribeFileSystems (p. 251) operation.

This operation requires permission for the elasticfilesystem:CreateTags action.

Request Syntax

POST /2015-02-01/create-tags/FileSystemId HTTP/1.1Content-type: application/json

{ "Tags": [ { "Key": "string", "Value": "string" } ]}

URI Request ParametersThe request uses the following URI parameters.


The ID of the file system whose tags you want to modify (String). This operation modifies the tags only,not the file system.



Required: Yes


Tags (p. 228)

An array of Tag objects to add. Each Tag object is a key-value pair.


Required: Yes

Response Syntax

HTTP/1.1 204

228


Response ElementsIf the action is successful, the service sends back an HTTP 204 response with an empty HTTP body.

ErrorsBadRequest







ExampleCreate Tags on a File System

The following request creates three tags ("key1", "key2", and "key3") on the specified file system.

Sample Request

POST /2015-02-01/create-tags/fs-01234567 HTTP/1.1 Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140620T221118ZAuthorization: <...>Content-Type: application/jsonContent-Length: 160

{ "Tags": [ { "Value": "value1", "Key": "key1" }, { "Value": "value2", "Key": "key2" }, { "Value": "value3", "Key": "key3" } ]}

Sample Response

HTTP/1.1 204 no content

229


x-amzn-RequestId: 01234567-89ab-cdef-0123-456789abcdef



230

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/CreateTags

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/CreateTags

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/CreateTags

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/CreateTags

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/CreateTags

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/CreateTags

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/CreateTags

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/CreateTags

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/CreateTags

Amazon Elastic File System Guía del usuarioDeleteAccessPoint

DeleteAccessPointDeletes the specified access point. After deletion is complete, new clients can no longer connect to theaccess points. Clients connected to the access point at the time of deletion will continue to function untilthey terminate their connection.

This operation requires permissions for the elasticfilesystem:DeleteAccessPoint action.

Request Syntax

DELETE /2015-02-01/access-points/AccessPointId HTTP/1.1


AccessPointId (p. 231)

The ID of the access point that you want to delete.

Required: Yes

Request BodyThe request does not have a request body.

Response Syntax

HTTP/1.1 204


ErrorsAccessPointNotFound

Returned if the specified AccessPointId value doesn't exist in the requester's AWS account.






231

Amazon Elastic File System Guía del usuarioDeleteAccessPoint



232

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/DeleteAccessPoint

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/DeleteAccessPoint

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/DeleteAccessPoint

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/DeleteAccessPoint

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/DeleteAccessPoint

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/DeleteAccessPoint

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/DeleteAccessPoint

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/DeleteAccessPoint

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/DeleteAccessPoint

Amazon Elastic File System Guía del usuarioDeleteFileSystem

DeleteFileSystemDeletes a file system, permanently severing access to its contents. Upon return, the file system no longerexists and you can't access any contents of the deleted file system.

You can't delete a file system that is in use. That is, if the file system has any mount targets,you must first delete them. For more information, see DescribeMountTargets (p. 258) andDeleteMountTarget (p. 237).

Note

The DeleteFileSystem call returns while the file system state is still deleting. You can checkthe file system deletion status by calling the DescribeFileSystems (p. 251) operation, whichreturns a list of file systems in your account. If you pass file system ID or creation token for thedeleted file system, the DescribeFileSystems (p. 251) returns a 404 FileSystemNotFounderror.

This operation requires permissions for the elasticfilesystem:DeleteFileSystem action.

Request SyntaxDELETE /2015-02-01/file-systems/FileSystemId HTTP/1.1



The ID of the file system you want to delete.



Required: Yes


Response SyntaxHTTP/1.1 204


ErrorsBadRequest


233

Amazon Elastic File System Guía del usuarioDeleteFileSystem

HTTP Status Code: 400FileSystemInUse

Returned if a file system has mount targets.






ExampleDelete a File System

The following example sends a DELETE request to the file-systems endpoint(elasticfilesystem.us-west-2.amazonaws.com/2015-02-01/file-systems/fs-01234567)to delete a file system whose ID is fs-01234567.

Sample Request

DELETE /2015-02-01/file-systems/fs-01234567 HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140622T233021ZAuthorization: <...>

Sample Response

HTTP/1.1 204 No Contentx-amzn-RequestId: a2d125b3-7ebd-4d6a-ab3d-5548630bff33Content-Length: 0



234

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/DeleteFileSystem

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/DeleteFileSystem

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/DeleteFileSystem

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/DeleteFileSystem

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/DeleteFileSystem

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/DeleteFileSystem

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/DeleteFileSystem

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/DeleteFileSystem

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/DeleteFileSystem

Amazon Elastic File System Guía del usuarioDeleteFileSystemPolicy

DeleteFileSystemPolicyDeletes the FileSystemPolicy for the specified file system. The default FileSystemPolicy goes intoeffect once the existing policy is deleted. For more information about the default file system policy, seeUsing Resource-based Policies with EFS.

This operation requires permissions for the elasticfilesystem:DeleteFileSystemPolicy action.

Request SyntaxDELETE /2015-02-01/file-systems/FileSystemId/policy HTTP/1.1



Specifies the EFS file system for which to delete the FileSystemPolicy.



Required: Yes




ErrorsFileSystemNotFound






235

https://docs.aws.amazon.com/efs/latest/ug/res-based-policies-efs.html

Amazon Elastic File System Guía del usuarioDeleteFileSystemPolicy




236

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/DeleteFileSystemPolicy

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/DeleteFileSystemPolicy

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/DeleteFileSystemPolicy

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/DeleteFileSystemPolicy

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/DeleteFileSystemPolicy

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/DeleteFileSystemPolicy

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/DeleteFileSystemPolicy

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/DeleteFileSystemPolicy

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/DeleteFileSystemPolicy

Amazon Elastic File System Guía del usuarioDeleteMountTarget

DeleteMountTargetDeletes the specified mount target.

This operation forcibly breaks any mounts of the file system by using the mount target that is being deleted,which might disrupt instances or applications using those mounts. To avoid applications getting cut offabruptly, you might consider unmounting any mounts of the mount target, if feasible. The operation alsodeletes the associated network interface. Uncommitted writes might be lost, but breaking a mount targetusing this operation does not corrupt the file system itself. The file system you created remains. You canmount an EC2 instance in your VPC by using another mount target.

This operation requires permissions for the following action on the file system:

• elasticfilesystem:DeleteMountTarget

Note

The DeleteMountTarget call returns while the mount target state is still deleting. You cancheck the mount target deletion by calling the DescribeMountTargets (p. 258) operation, whichreturns a list of mount target descriptions for the given file system.

The operation also requires permissions for the following Amazon EC2 action on the mount target's networkinterface:

• ec2:DeleteNetworkInterface

Request Syntax

DELETE /2015-02-01/mount-targets/MountTargetId HTTP/1.1


MountTargetId (p. 237)

The ID of the mount target to delete (String).


Pattern: ^fsmt-[0-9a-f]{8,40}$

Required: Yes


Response Syntax

HTTP/1.1 204

237



ErrorsBadRequest


HTTP Status Code: 400DependencyTimeout

The service timed out trying to fulfill the request, and the client should try the call again.



HTTP Status Code: 500MountTargetNotFound

Returned if there is no mount target with the specified ID found in the caller's account.


ExampleRemove a file system's mount target

The following example sends a DELETE request to delete a specific mount target.

Sample Request

DELETE /2015-02-01/mount-targets/fsmt-9a13661e HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140622T232908ZAuthorization: <...>

Sample Response

HTTP/1.1 204 No Contentx-amzn-RequestId: 01234567-89ab-cdef-0123-456789abcdef


• AWS Command Line Interface• AWS SDK for .NET• AWS SDK for C++

238

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/DeleteMountTarget

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/DeleteMountTarget

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/DeleteMountTarget


• AWS SDK for Go• AWS SDK for Java• AWS SDK for JavaScript• AWS SDK for PHP V3• AWS SDK for Python• AWS SDK for Ruby V3

239

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/DeleteMountTarget

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/DeleteMountTarget

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/DeleteMountTarget

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/DeleteMountTarget

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/DeleteMountTarget

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/DeleteMountTarget

Amazon Elastic File System Guía del usuarioDeleteTags

DeleteTagsDeletes the specified tags from a file system. If the DeleteTags request includes a tag key that doesn'texist, Amazon EFS ignores it and doesn't cause an error. For more information about tags and relatedrestrictions, see Tag Restrictions in the AWS Billing and Cost Management User Guide.

This operation requires permissions for the elasticfilesystem:DeleteTags action.

Request Syntax

POST /2015-02-01/delete-tags/FileSystemId HTTP/1.1Content-type: application/json

{ "TagKeys": [ "string" ]}



The ID of the file system whose tags you want to delete (String).



Required: Yes


TagKeys (p. 240)

A list of tag keys to delete.


Array Members: Minimum number of 1 item. Maximum number of 50 items.


Pattern: ^(?![aA]{1}[wW]{1}[sS]{1}:)([\p{L}\p{Z}\p{N}_.:/=+\-@]+)$

Required: Yes

Response Syntax

HTTP/1.1 204

240

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html



ErrorsBadRequest







ExampleDelete Tags from a File System

The following request deletes the tag key2 from the tag set associated with the file system.

Sample Request

POST /2015-02-01/delete-tags/fs-01234567 HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140620T215123ZAuthorization: <...>Content-Type: application/jsonContent-Length: 223

{ "TagKeys":[ "key2" ]}

Sample Response



• AWS Command Line Interface• AWS SDK for .NET

241

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/DeleteTags

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/DeleteTags


• AWS SDK for C++• AWS SDK for Go• AWS SDK for Java• AWS SDK for JavaScript• AWS SDK for PHP V3• AWS SDK for Python• AWS SDK for Ruby V3

242

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/DeleteTags

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/DeleteTags

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/DeleteTags

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/DeleteTags

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/DeleteTags

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/DeleteTags

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/DeleteTags

Amazon Elastic File System Guía del usuarioDescribeAccessPoints

DescribeAccessPointsReturns the description of a specific Amazon EFS access point if the AccessPointId is provided. If youprovide an EFS FileSystemId, it returns descriptions of all access points for that file system. You canprovide either an AccessPointId or a FileSystemId in the request, but not both.

This operation requires permissions for the elasticfilesystem:DescribeAccessPoints action.

Request SyntaxGET /2015-02-01/access-points?AccessPointId=AccessPointId&FileSystemId=FileSystemId&MaxResults=MaxResults&NextToken=NextToken HTTP/1.1



(Optional) Specifies an EFS access point to describe in the response; mutually exclusive withFileSystemId.


(Optional) If you provide a FileSystemId, EFS returns all access points for that file system; mutuallyexclusive with AccessPointId.



MaxResults (p. 243)

(Optional) When retrieving all access points for a file system, you can optionally specify the MaxItemsparameter to limit the number of objects returned in a response. The default value is 100.

Valid Range: Minimum value of 1.NextToken (p. 243)

NextToken is present if the response is paginated. You can use NextMarker in the subsequentrequest to fetch the next page of access point descriptions.



{ "AccessPoints": [ { "AccessPointArn": "string", "AccessPointId": "string",

243


"ClientToken": "string", "FileSystemId": "string", "LifeCycleState": "string", "Name": "string", "OwnerId": "string", "PosixUser": { "Gid": number, "SecondaryGids": [ number ], "Uid": number }, "RootDirectory": { "CreationInfo": { "OwnerGid": number, "OwnerUid": number, "Permissions": "string" }, "Path": "string" }, "Tags": [ { "Key": "string", "Value": "string" } ] } ], "NextToken": "string"}



AccessPoints (p. 243)

An array of access point descriptions.

Type: Array of AccessPointDescription (p. 293) objectsNextToken (p. 243)

Present if there are more access points than returned in the response. You can use the NextMarker inthe subsequent request to fetch the additional descriptions.

Type: String






244


FileSystemNotFound







245

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/DescribeAccessPoints

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/DescribeAccessPoints

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/DescribeAccessPoints

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/DescribeAccessPoints

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/DescribeAccessPoints

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/DescribeAccessPoints

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/DescribeAccessPoints

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/DescribeAccessPoints

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/DescribeAccessPoints

Amazon Elastic File System Guía del usuarioDescribeBackupPolicy

DescribeBackupPolicyReturns the backup policy for the specified EFS file system.

Request SyntaxGET /2015-02-01/file-systems/FileSystemId/backup-policy HTTP/1.1



Specifies which EFS file system to retrieve the BackupPolicy for.



Required: Yes



{ "BackupPolicy": { "Status": "string" }}



BackupPolicy (p. 246)

Describes the file system's backup policy, indicating whether automatic backups are turned on or off..

Type: BackupPolicy (p. 295) object

ErrorsBadRequest


246

Amazon Elastic File System Guía del usuarioDescribeBackupPolicy





HTTP Status Code: 500PolicyNotFound

Returned if the default file system policy is in effect for the EFS file system specified.

HTTP Status Code: 404ValidationException

Returned if the AWS Backup service is not available in the region that the request was made.




247

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/DescribeBackupPolicy

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/DescribeBackupPolicy

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/DescribeBackupPolicy

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/DescribeBackupPolicy

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/DescribeBackupPolicy

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/DescribeBackupPolicy

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/DescribeBackupPolicy

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/DescribeBackupPolicy

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/DescribeBackupPolicy

Amazon Elastic File System Guía del usuarioDescribeFileSystemPolicy

DescribeFileSystemPolicyReturns the FileSystemPolicy for the specified EFS file system.

This operation requires permissions for the elasticfilesystem:DescribeFileSystemPolicy action.

Request SyntaxGET /2015-02-01/file-systems/FileSystemId/policy HTTP/1.1



Specifies which EFS file system to retrieve the FileSystemPolicy for.



Required: Yes



{ "FileSystemId": "string", "Policy": "string"}




Specifies the EFS file system to which the FileSystemPolicy applies.

Type: String



248


Policy (p. 248)

The JSON formatted FileSystemPolicy for the EFS file system.

Type: String





HTTP Status Code: 500PolicyNotFound

Returned if the default file system policy is in effect for the EFS file system specified.


Example

Sample Request

GET /2015-02-01/file-systems/fs-01234567/policy HTTP/1.1

Sample Response

{ "FileSystemId": "fs-01234567", "Policy": "{ "Version": "2012-10-17", "Id": "efs-policy-wizard-cdef0123-aaaa-6666-5555-444455556666", "Statement": [ { "Sid": "efs-statement-abcdef01-1111-bbbb-2222-111122224444", "Effect" : "Deny", "Principal": { "AWS": "*" }, "Action": "*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-01234567", "Condition": { "Bool": { "aws:SecureTransport": "false" } } }, { "Sid": "efs-statement-01234567-aaaa-3333-4444-111122223333", "Effect": "Allow", "Principal": {

249


"AWS": "*" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite" ], "Resource" : "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-01234567" } ] }}



250

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/DescribeFileSystemPolicy

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/DescribeFileSystemPolicy

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/DescribeFileSystemPolicy

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/DescribeFileSystemPolicy

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/DescribeFileSystemPolicy

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/DescribeFileSystemPolicy

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/DescribeFileSystemPolicy

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/DescribeFileSystemPolicy

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/DescribeFileSystemPolicy

Amazon Elastic File System Guía del usuarioDescribeFileSystems

DescribeFileSystemsReturns the description of a specific Amazon EFS file system if either the file system CreationToken orthe FileSystemId is provided. Otherwise, it returns descriptions of all file systems owned by the caller'sAWS account in the AWS Region of the endpoint that you're calling.

When retrieving all file system descriptions, you can optionally specify the MaxItems parameter to limitthe number of descriptions in a response. Currently, this number is automatically set to 10. If more filesystem descriptions remain, Amazon EFS returns a NextMarker, an opaque token, in the response. Inthis case, you should send a subsequent request with the Marker request parameter set to the value ofNextMarker.

To retrieve a list of your file system descriptions, this operation is used in an iterative process, whereDescribeFileSystems is called first without the Marker and then the operation continues to call it withthe Marker parameter set to the value of the NextMarker from the previous response until the responsehas no NextMarker.

The order of file systems returned in the response of one DescribeFileSystems call and the order of filesystems returned across the responses of a multi-call iteration is unspecified.

This operation requires permissions for the elasticfilesystem:DescribeFileSystems action.

Request Syntax

GET /2015-02-01/file-systems?CreationToken=CreationToken&FileSystemId=FileSystemId&Marker=Marker&MaxItems=MaxItems HTTP/1.1


CreationToken (p. 251)

(Optional) Restricts the list to the file system with this creation token (String). You specify a creationtoken when you create an Amazon EFS file system.


Pattern: .+FileSystemId (p. 251)

(Optional) ID of the file system whose description you want to retrieve (String).



Marker (p. 251)

(Optional) Opaque pagination token returned from a previous DescribeFileSystems operation(String). If present, specifies to continue the list from where the returning call had left off.


Pattern: .+

251


MaxItems (p. 251)

(Optional) Specifies the maximum number of file systems to return in the response (integer). Thisnumber is automatically set to 100. The response is paginated at 100 per page if you have more than100 file systems.

Valid Range: Minimum value of 1.



{ "FileSystems": [ { "CreationTime": number, "CreationToken": "string", "Encrypted": boolean, "FileSystemArn": "string", "FileSystemId": "string", "KmsKeyId": "string", "LifeCycleState": "string", "Name": "string", "NumberOfMountTargets": number, "OwnerId": "string", "PerformanceMode": "string", "ProvisionedThroughputInMibps": number, "SizeInBytes": { "Timestamp": number, "Value": number, "ValueInIA": number, "ValueInStandard": number }, "Tags": [ { "Key": "string", "Value": "string" } ], "ThroughputMode": "string" } ], "Marker": "string", "NextMarker": "string"}



FileSystems (p. 252)

An array of file system descriptions.

252


Type: Array of FileSystemDescription (p. 297) objectsMarker (p. 252)

Present if provided by caller in the request (String).

Type: String


Pattern: .+NextMarker (p. 252)

Present if there are more file systems than returned in the response (String). You can use theNextMarker in the subsequent request to fetch the descriptions.

Type: String


Pattern: .+

ErrorsBadRequest







ExampleRetrieve a List of 10 File Systems

The following example sends a GET request to the file-systems endpoint (elasticfilesystem.us-west-2.amazonaws.com/2015-02-01/file-systems). The request specifies a MaxItems queryparameter to limit the number of file system descriptions to 10.

Sample Request

GET /2015-02-01/file-systems?MaxItems=10 HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140622T191208ZAuthorization: <...>

253


Sample Response

HTTP/1.1 200 OKx-amzn-RequestId: 01234567-89ab-cdef-0123-456789abcdefContent-Type: application/jsonContent-Length: 499{ "FileSystems":[ { "OwnerId":"251839141158", "CreationToken":"MyFileSystem1", "FileSystemId":"fs-01234567", "PerformanceMode" : "generalPurpose", "CreationTime":"1403301078", "LifeCycleState":"created", "Name":"my first file system", "NumberOfMountTargets":1, "SizeInBytes":{ "Timestamp": 1403301078, "Value": 29313417216, "ValueInIA": 675432, "ValueInStandard": 29312741784 } } ]}



254

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/DescribeFileSystems

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/DescribeFileSystems

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/DescribeFileSystems

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/DescribeFileSystems

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/DescribeFileSystems

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/DescribeFileSystems

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/DescribeFileSystems

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/DescribeFileSystems

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/DescribeFileSystems

Amazon Elastic File System Guía del usuarioDescribeLifecycleConfiguration

DescribeLifecycleConfigurationReturns the current LifecycleConfiguration object for the specified Amazon EFS file system. EFSlifecycle management uses the LifecycleConfiguration object to identify which files to move to theEFS Infrequent Access (IA) storage class. For a file system without a LifecycleConfiguration object,the call returns an empty array in the response.

This operation requires permissions for theelasticfilesystem:DescribeLifecycleConfiguration operation.

Request SyntaxGET /2015-02-01/file-systems/FileSystemId/lifecycle-configuration HTTP/1.1



The ID of the file system whose LifecycleConfiguration object you want to retrieve (String).



Required: Yes



{ "LifecyclePolicies": [ { "TransitionToIA": "string" } ]}



LifecyclePolicies (p. 255)

An array of lifecycle management policies. Currently, EFS supports a maximum of one policy per filesystem.

255


Type: Array of LifecyclePolicy (p. 301) objects

ErrorsBadRequest







ExampleRetrieve a Lifecycle Configuration for a File System

The following request retrieves the LifecycleConfiguration object for the specified file system.

Sample Request

GET /2015-02-01/file-systems/fs-01234567/lifecycle-configuration HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20181120T221118ZAuthorization: <...>

Sample Response

HTTP/1.1 200 OK x-amzn-RequestId: 01234567-89ab-cdef-0123-456789abcdef Content-Type: application/json Content-Length: 86{ "LifecyclePolicies": [ { "TransitionToIA": "AFTER_14_DAYS" } ]}


• AWS Command Line Interface• AWS SDK for .NET

256

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/DescribeLifecycleConfiguration

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/DescribeLifecycleConfiguration


• AWS SDK for C++• AWS SDK for Go• AWS SDK for Java• AWS SDK for JavaScript• AWS SDK for PHP V3• AWS SDK for Python• AWS SDK for Ruby V3

257

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/DescribeLifecycleConfiguration

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/DescribeLifecycleConfiguration

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/DescribeLifecycleConfiguration

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/DescribeLifecycleConfiguration

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/DescribeLifecycleConfiguration

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/DescribeLifecycleConfiguration

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/DescribeLifecycleConfiguration

Amazon Elastic File System Guía del usuarioDescribeMountTargets

DescribeMountTargetsReturns the descriptions of all the current mount targets, or a specific mount target, for a file system.When requesting all of the current mount targets, the order of mount targets returned in the response isunspecified.

This operation requires permissions for the elasticfilesystem:DescribeMountTargets action, oneither the file system ID that you specify in FileSystemId, or on the file system of the mount target thatyou specify in MountTargetId.

Request Syntax

GET /2015-02-01/mount-targets?AccessPointId=AccessPointId&FileSystemId=FileSystemId&Marker=Marker&MaxItems=MaxItems&MountTargetId=MountTargetId HTTP/1.1



(Optional) The ID of the access point whose mount targets that you want to list. It must be included inyour request if a FileSystemId or MountTargetId is not included in your request. Accepts eitheran access point ID or ARN as input.


(Optional) ID of the file system whose mount targets you want to list (String). It must be included in yourrequest if an AccessPointId or MountTargetId is not included. Accepts either a file system ID orARN as input.



Marker (p. 258)

(Optional) Opaque pagination token returned from a previous DescribeMountTargets operation(String). If present, it specifies to continue the list from where the previous returning call left off.


Pattern: .+MaxItems (p. 258)

(Optional) Maximum number of mount targets to return in the response. Currently, this number isautomatically set to 10, and other values are ignored. The response is paginated at 100 per page if youhave more than 100 mount targets.

Valid Range: Minimum value of 1.MountTargetId (p. 258)

(Optional) ID of the mount target that you want to have described (String). It must be included in yourrequest if FileSystemId is not included. Accepts either a mount target ID or ARN as input.


258




Response Syntax


{ "Marker": "string", "MountTargets": [ { "AvailabilityZoneId": "string", "AvailabilityZoneName": "string", "FileSystemId": "string", "IpAddress": "string", "LifeCycleState": "string", "MountTargetId": "string", "NetworkInterfaceId": "string", "OwnerId": "string", "SubnetId": "string", "VpcId": "string" } ], "NextMarker": "string"}



Marker (p. 259)

If the request included the Marker, the response returns that value in this field.

Type: String


Pattern: .+MountTargets (p. 259)

Returns the file system's mount targets as an array of MountTargetDescription objects.

Type: Array of MountTargetDescription (p. 302) objectsNextMarker (p. 259)

If a value is present, there are more mount targets to return. In a subsequent request, you can provideMarker in your request with this value to retrieve the next set of mount targets.

Type: String


259


Pattern: .+












ExampleRetrieve Descriptions of Mount Targets Created for a File System

The following request retrieves descriptions of mount targets created for the specified file system.

Sample Request

GET /2015-02-01/mount-targets?FileSystemId=fs-01234567 HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140622T191252ZAuthorization: <...>

Sample Response


{ "MountTargets":[ { "OwnerId":"251839141158", "MountTargetId":"fsmt-01234567",

260


"FileSystemId":"fs-01234567", "SubnetId":"subnet-01234567", "LifeCycleState":"added", "IpAddress":"10.0.2.42", "NetworkInterfaceId":"eni-1bcb7772" } ]}



261

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/DescribeMountTargets

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/DescribeMountTargets

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/DescribeMountTargets

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/DescribeMountTargets

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/DescribeMountTargets

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/DescribeMountTargets

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/DescribeMountTargets

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/DescribeMountTargets

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/DescribeMountTargets

Amazon Elastic File System Guía del usuarioDescribeMountTargetSecurityGroups

DescribeMountTargetSecurityGroupsReturns the security groups currently in effect for a mount target. This operation requires that the networkinterface of the mount target has been created and the lifecycle state of the mount target is not deleted.

This operation requires permissions for the following actions:

• elasticfilesystem:DescribeMountTargetSecurityGroups action on the mount target's filesystem.

• ec2:DescribeNetworkInterfaceAttribute action on the mount target's network interface.

Request Syntax

GET /2015-02-01/mount-targets/MountTargetId/security-groups HTTP/1.1



The ID of the mount target whose security groups you want to retrieve.



Required: Yes


Response Syntax


{ "SecurityGroups": [ "string" ]}



SecurityGroups (p. 262)

An array of security groups.


262





ErrorsBadRequest


HTTP Status Code: 400IncorrectMountTargetState

Returned if the mount target is not in the correct state for the operation.






ExampleRetrieve Security Groups in Effect for a File System

The following example retrieves the security groups that are in effect for the network interface associatedwith a mount target.

Sample Request

GET /2015-02-01/mount-targets/fsmt-9a13661e/security-groups HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140620T223513ZAuthorization: <...>

Sample Response

HTTP/1.1 200 OKx-amzn-RequestId: 01234567-89ab-cdef-0123-456789abcdefContent-Length: 57

{"SecurityGroups" : ["sg-188d9f74"]}

263




264

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/DescribeMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/DescribeMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/DescribeMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/DescribeMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/DescribeMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/DescribeMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/DescribeMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/DescribeMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/DescribeMountTargetSecurityGroups

Amazon Elastic File System Guía del usuarioDescribeTags

DescribeTagsReturns the tags associated with a file system. The order of tags returned in the response of oneDescribeTags call and the order of tags returned across the responses of a multiple-call iteration (whenusing pagination) is unspecified.

This operation requires permissions for the elasticfilesystem:DescribeTags action.

Request Syntax

GET /2015-02-01/tags/FileSystemId/?Marker=Marker&MaxItems=MaxItems HTTP/1.1



The ID of the file system whose tag set you want to retrieve.



Required: YesMarker (p. 265)

(Optional) An opaque pagination token returned from a previous DescribeTags operation (String). Ifpresent, it specifies to continue the list from where the previous call left off.


Pattern: .+MaxItems (p. 265)

(Optional) The maximum number of file system tags to return in the response. Currently, this numberis automatically set to 100, and other values are ignored. The response is paginated at 100 per page ifyou have more than 100 tags.



Response Syntax


{ "Marker": "string", "NextMarker": "string", "Tags": [

265


{ "Key": "string", "Value": "string" } ]}



Marker (p. 265)

If the request included a Marker, the response returns that value in this field.

Type: String


Pattern: .+NextMarker (p. 265)

If a value is present, there are more tags to return. In a subsequent request, you can provide the valueof NextMarker as the value of the Marker parameter in your next request to retrieve the next set oftags.

Type: String


Pattern: .+Tags (p. 265)

Returns tags associated with the file system as an array of Tag objects.


ErrorsBadRequest







266


ExampleRetrieve Tags Associated with a File System

The following request retrieves tags (key-value pairs) associated with the specified file system.

Sample Request

GET /2015-02-01/tags/fs-01234567/ HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140620T215404ZAuthorization: <...>

Sample Response


{ "Tags":[ { "Key":"Name", "Value":"my first file system" }, { "Key":"Fleet", "Value":"Development" }, { "Key":"Developer", "Value":"Alice" } ]}



267

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/DescribeTags

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/DescribeTags

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/DescribeTags

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/DescribeTags

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/DescribeTags

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/DescribeTags

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/DescribeTags

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/DescribeTags

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/DescribeTags

Amazon Elastic File System Guía del usuarioListTagsForResource

ListTagsForResourceLists all tags for a top-level EFS resource. You must provide the ID of the resource that you want to retrievethe tags for.

This operation requires permissions for the elasticfilesystem:DescribeAccessPoints action.

Request Syntax

GET /2015-02-01/resource-tags/ResourceId?MaxResults=MaxResults&NextToken=NextToken HTTP/1.1


MaxResults (p. 268)

(Optional) Specifies the maximum number of tag objects to return in the response. The default value is100.

Valid Range: Minimum value of 1.NextToken (p. 268)

You can use NextToken in a subsequent request to fetch the next page of access point descriptions ifthe response payload was paginated.

ResourceId (p. 268)

Specifies the EFS resource you want to retrieve tags for. You can retrieve tags for EFS file systemsand access points using this API endpoint.

Required: Yes


Response Syntax


{ "NextToken": "string", "Tags": [ { "Key": "string", "Value": "string" } ]}


268

Amazon Elastic File System Guía del usuarioListTagsForResource


NextToken (p. 268)

NextToken is present if the response payload is paginated. You can use NextToken in a subsequentrequest to fetch the next page of access point descriptions.

Type: StringTags (p. 268)

An array of the tags for the specified EFS resource.













269

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/ListTagsForResource

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/ListTagsForResource

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/ListTagsForResource

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/ListTagsForResource

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/ListTagsForResource

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/ListTagsForResource

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/ListTagsForResource

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/ListTagsForResource

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/ListTagsForResource

Amazon Elastic File System Guía del usuarioModifyMountTargetSecurityGroups

ModifyMountTargetSecurityGroupsModifies the set of security groups in effect for a mount target.

When you create a mount target, Amazon EFS also creates a new network interface. For more information,see CreateMountTarget (p. 220). This operation replaces the security groups in effect for the networkinterface associated with a mount target, with the SecurityGroups provided in the request. Thisoperation requires that the network interface of the mount target has been created and the lifecycle state ofthe mount target is not deleted.

The operation requires permissions for the following actions:

• elasticfilesystem:ModifyMountTargetSecurityGroups action on the mount target's filesystem.

• ec2:ModifyNetworkInterfaceAttribute action on the mount target's network interface.

Request SyntaxPUT /2015-02-01/mount-targets/MountTargetId/security-groups HTTP/1.1Content-type: application/json

{ "SecurityGroups": [ "string" ]}



The ID of the mount target whose security groups you want to modify.



Required: Yes


SecurityGroups (p. 270)

An array of up to five VPC security group IDs.





Required: No

270




ErrorsBadRequest


HTTP Status Code: 400IncorrectMountTargetState

Returned if the mount target is not in the correct state for the operation.





HTTP Status Code: 404SecurityGroupLimitExceeded

Returned if the size of SecurityGroups specified in the request is greater than five.

HTTP Status Code: 400SecurityGroupNotFound

Returned if one of the specified security groups doesn't exist in the subnet's VPC.


ExampleReplace a mount target's security groups

The following example replaces security groups in effect for the network interface associated with a mounttarget.

Sample Request

PUT /2015-02-01/mount-targets/fsmt-9a13661e/security-groups HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140620T223446ZAuthorization: <...>

271


Content-Type: application/jsonContent-Length: 57

{"SecurityGroups" : ["sg-188d9f74"]}

Sample Response




272

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/ModifyMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/ModifyMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/ModifyMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/ModifyMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/ModifyMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/ModifyMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/ModifyMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/ModifyMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/ModifyMountTargetSecurityGroups

Amazon Elastic File System Guía del usuarioPutBackupPolicy

PutBackupPolicyUpdates the file system's backup policy. Use this action to start or stop automatic backups of the filesystem.

Request SyntaxPUT /2015-02-01/file-systems/FileSystemId/backup-policy HTTP/1.1Content-type: application/json




Specifies which EFS file system to update the backup policy for.



Required: Yes



The backup policy included in the PutBackupPolicy request.


Required: Yes




273

Amazon Elastic File System Guía del usuarioPutBackupPolicy



Describes the file system's backup policy, indicating whether automatic backups are turned on or off..


ErrorsBadRequest








HTTP Status Code: 500ValidationException

Returned if the AWS Backup service is not available in the region that the request was made.




274

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/PutBackupPolicy

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/PutBackupPolicy

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/PutBackupPolicy

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/PutBackupPolicy

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/PutBackupPolicy

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/PutBackupPolicy

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/PutBackupPolicy

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/PutBackupPolicy

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/PutBackupPolicy

Amazon Elastic File System Guía del usuarioPutFileSystemPolicy

PutFileSystemPolicyApplies an Amazon EFS FileSystemPolicy to an Amazon EFS file system. A file system policy is anIAM resource-based policy and can contain multiple policy statements. A file system always has exactlyone file system policy, which can be the default policy or an explicit policy set or updated using this APIoperation. When an explicit policy is set, it overrides the default policy. For more information about thedefault file system policy, see Default EFS File System Policy.

This operation requires permissions for the elasticfilesystem:PutFileSystemPolicy action.

Request SyntaxPUT /2015-02-01/file-systems/FileSystemId/policy HTTP/1.1Content-type: application/json

{ "BypassPolicyLockoutSafetyCheck": boolean, "Policy": "string"}



The ID of the EFS file system that you want to create or update the FileSystemPolicy for.



Required: Yes


BypassPolicyLockoutSafetyCheck (p. 275)

(Optional) A flag to indicate whether to bypass the FileSystemPolicy lockout safety check. Thepolicy lockout safety check determines whether the policy in the request will prevent the principalmaking the request will be locked out from making future PutFileSystemPolicy requests on thefile system. Set BypassPolicyLockoutSafetyCheck to True only when you intend to prevent theprincipal that is making the request from making a subsequent PutFileSystemPolicy request onthe file system. The default value is False.

Type: Boolean

Required: NoPolicy (p. 275)

The FileSystemPolicy that you're creating. Accepts a JSON formatted policy definition. To find outmore about the elements that make up a file system policy, see EFS Resource-based Policies.

Type: String

275

https://docs.aws.amazon.com/efs/latest/ug/iam-access-control-nfs-efs.html#default-filesystempolicy

https://docs.aws.amazon.com/efs/latest/ug/access-control-overview.html#access-control-manage-access-intro-resource-policies


Required: Yes


{ "FileSystemId": "string", "Policy": "string"}




Specifies the EFS file system to which the FileSystemPolicy applies.

Type: String



Policy (p. 276)

The JSON formatted FileSystemPolicy for the EFS file system.

Type: String







HTTP Status Code: 500InvalidPolicyException

Returned if the FileSystemPolicy is is malformed or contains an error such as an invalid parametervalue or a missing required parameter. Returned in the case of a policy lockout safety check error.


276


ExampleCreate an EFS FileSystemPolicy

The following request creates a FileSystemPolicy that allows all AWS principals to mount the specifiedEFS file system with read and write permissions.

Sample Request

PUT /2015-02-01/file-systems/fs-01234567/file-system-policy HTTP/1.1{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite" ], "Principal": { "AWS": ["*"] }, } ]}

Sample Response

{ "Version": "2012-10-17", "Id": "1", "Statement": [ { "Sid": "efs-statement-abcdef01-1111-bbbb-2222-111122224444", "Effect": "Allow", "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite" ], "Principal": { "AWS": ["*"] }, "Resource":"arn:aws:elasticfilesystem:us-east-1:0123456789abc:file-system/fs-01234567" } ]}


• AWS Command Line Interface• AWS SDK for .NET• AWS SDK for C++• AWS SDK for Go• AWS SDK for Java• AWS SDK for JavaScript

277

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/PutFileSystemPolicy

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/PutFileSystemPolicy

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/PutFileSystemPolicy

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/PutFileSystemPolicy

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/PutFileSystemPolicy

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/PutFileSystemPolicy


• AWS SDK for PHP V3• AWS SDK for Python• AWS SDK for Ruby V3

278

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/PutFileSystemPolicy

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/PutFileSystemPolicy

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/PutFileSystemPolicy

Amazon Elastic File System Guía del usuarioPutLifecycleConfiguration

PutLifecycleConfigurationEnables lifecycle management by creating a new LifecycleConfiguration object. ALifecycleConfiguration object defines when files in an Amazon EFS file system are automaticallytransitioned to the lower-cost EFS Infrequent Access (IA) storage class. A LifecycleConfigurationapplies to all files in a file system.

Each Amazon EFS file system supports one lifecycle configuration, which applies to all filesin the file system. If a LifecycleConfiguration object already exists for the specifiedfile system, a PutLifecycleConfiguration call modifies the existing configuration. APutLifecycleConfiguration call with an empty LifecyclePolicies array in the request bodydeletes any existing LifecycleConfiguration and disables lifecycle management.

In the request, specify the following:

• The ID for the file system for which you are enabling, disabling, or modifying lifecycle management.• A LifecyclePolicies array of LifecyclePolicy objects that define when files are moved to the IA

storage class. The array can contain only one LifecyclePolicy item.

This operation requires permissions for the elasticfilesystem:PutLifecycleConfigurationoperation.

To apply a LifecycleConfiguration object to an encrypted file system, you need the same AWS KeyManagement Service (AWS KMS) permissions as when you created the encrypted file system.

Request SyntaxPUT /2015-02-01/file-systems/FileSystemId/lifecycle-configuration HTTP/1.1Content-type: application/json




The ID of the file system for which you are creating the LifecycleConfiguration object (String).



Required: Yes


279



An array of LifecyclePolicy objects that define the file system's LifecycleConfigurationobject. A LifecycleConfiguration object tells lifecycle management when to transition files fromthe Standard storage class to the Infrequent Access storage class.


Required: Yes






An array of lifecycle management policies. Currently, EFS supports a maximum of one policy per filesystem.


ErrorsBadRequest








280



ExamplesCreate a Lifecycle Configuration

The following example creates a LifecyclePolicy object using the PutLifecycleConfiguration operation.This object tells EFS lifecycle management to move all files in the file system that haven't been accessed inthe last 14 days to the IA storage class. This is the only lifecycle policy that is currently supported. To learnmore, see EFS Lifecycle Management.

Sample Request

PUT /2015-02-01/file-systems/fs-01234567/lifecycle-configuration HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20181122T232908ZAuthorization: <...>Content-type: application/jsonContent-Length: 86


Sample Response

HTTP/1.1 200 OKx-amzn-RequestId: 01234567-89ab-cdef-0123-456789abcdefContent-type: application/jsonContent-Length: 86


Disable Lifecycle Management

The following example disables lifecycle management for the specified file system.

Sample Request

PUT /2015-02-01/file-systems/fs-01234567/lifecycle-configuration HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20181122T232908ZAuthorization: <...>

281

https://docs.aws.amazon.com/efs/latest/ug/lifecycle-management-efs.html


Content-type: application/jsonContent-Length: 86

{ "LifecyclePolicies": [ ]}

Sample Response

HTTP/1.1 200 OKx-amzn-RequestId: 01234567-89ab-cdef-0123-456789abcdefContent-type: application/jsonContent-Length: 86

{ "LifecyclePolicies": [ ]}



282

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/PutLifecycleConfiguration

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/PutLifecycleConfiguration

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/PutLifecycleConfiguration

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/PutLifecycleConfiguration

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/PutLifecycleConfiguration

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/PutLifecycleConfiguration

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/PutLifecycleConfiguration

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/PutLifecycleConfiguration

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/PutLifecycleConfiguration

Amazon Elastic File System Guía del usuarioTagResource

TagResourceCreates a tag for an EFS resource. You can create tags for EFS file systems and access points using thisAPI operation.

This operation requires permissions for the elasticfilesystem:TagResource action.

Request SyntaxPOST /2015-02-01/resource-tags/ResourceId HTTP/1.1Content-type: application/json

{ "Tags": [ { "Key": "string", "Value": "string" } ]}


ResourceId (p. 283)

The ID specifying the EFS resource that you want to create a tag for.

Required: Yes


Tags (p. 283)


Required: Yes





283

Amazon Elastic File System Guía del usuarioTagResource










284

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/TagResource

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/TagResource

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/TagResource

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/TagResource

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/TagResource

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/TagResource

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/TagResource

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/TagResource

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/TagResource

Amazon Elastic File System Guía del usuarioUntagResource

UntagResourceRemoves tags from an EFS resource. You can remove tags from EFS file systems and access points usingthis API operation.

This operation requires permissions for the elasticfilesystem:UntagResource action.

Request SyntaxDELETE /2015-02-01/resource-tags/ResourceId?tagKeys=TagKeys HTTP/1.1


ResourceId (p. 285)

Specifies the EFS resource that you want to remove tags from.

Required: YesTagKeys (p. 285)

The keys of the key:value tag pairs that you want to remove from the specified EFS resource.

Array Members: Minimum number of 1 item. Maximum number of 50 items.



Required: Yes








285

Amazon Elastic File System Guía del usuarioUntagResource








286

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/UntagResource

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/UntagResource

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/UntagResource

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/UntagResource

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/UntagResource

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/UntagResource

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/UntagResource

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/UntagResource

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/UntagResource

Amazon Elastic File System Guía del usuarioUpdateFileSystem

UpdateFileSystemUpdates the throughput mode or the amount of provisioned throughput of an existing file system.

Request Syntax

PUT /2015-02-01/file-systems/FileSystemId HTTP/1.1Content-type: application/json

{ "ProvisionedThroughputInMibps": number, "ThroughputMode": "string"}



The ID of the file system that you want to update.



Required: Yes


ProvisionedThroughputInMibps (p. 287)

(Optional) The amount of throughput, in MiB/s, that you want to provision for your file system. Validvalues are 1-1024. Required if ThroughputMode is changed to provisioned on update. If you're notupdating the amount of provisioned throughput for your file system, you don't need to provide this valuein your request.

Type: Double


Required: NoThroughputMode (p. 287)

(Optional) The throughput mode that you want your file system to use. If you're notupdating your throughput mode, you don't need to provide this value in your request. Ifyou are changing the ThroughputMode to provisioned, you must also set a value forProvisionedThroughputInMibps.

Type: String


287


Required: No


{ "CreationTime": number, "CreationToken": "string", "Encrypted": boolean, "FileSystemArn": "string", "FileSystemId": "string", "KmsKeyId": "string", "LifeCycleState": "string", "Name": "string", "NumberOfMountTargets": number, "OwnerId": "string", "PerformanceMode": "string", "ProvisionedThroughputInMibps": number, "SizeInBytes": { "Timestamp": number, "Value": number, "ValueInIA": number, "ValueInStandard": number }, "Tags": [ { "Key": "string", "Value": "string" } ], "ThroughputMode": "string"}



CreationTime (p. 288)


Type: TimestampCreationToken (p. 288)


Type: String


Pattern: .+Encrypted (p. 288)


Type: Boolean

288


FileSystemArn (p. 288)


Type: StringFileSystemId (p. 288)


Type: String



KmsKeyId (p. 288)


Type: String





Type: String



Type: String


Pattern: ^([\p{L}\p{Z}\p{N}_.:/=+\-@]*)$NumberOfMountTargets (p. 288)


Type: Integer

Valid Range: Minimum value of 0.OwnerId (p. 288)


289


Type: String


Pattern: ^(\d{12})|(\d{4}-\d{4}-\d{4})$PerformanceMode (p. 288)


Type: String

Valid Values: generalPurpose | maxIOProvisionedThroughputInMibps (p. 288)


Type: Double

Valid Range: Minimum value of 1.0.SizeInBytes (p. 288)


Type: FileSystemSize (p. 300) objectTags (p. 288)


Type: Array of Tag (p. 306) objectsThroughputMode (p. 288)


Type: String


ErrorsBadRequest



290



Amazon Elastic File System Guía del usuarioData Types

FileSystemNotFound




HTTP Status Code: 409InsufficientThroughputCapacity

Returned if there's not enough capacity to provision additional throughput. This value might be returnedwhen you try to create a file system in provisioned throughput mode, when you attempt to increasethe provisioned throughput of an existing file system, or when you attempt to change an existing filesystem from bursting to provisioned throughput mode.



HTTP Status Code: 500ThroughputLimitExceeded

Returned if the throughput mode or amount of provisioned throughput can't be changed because thethroughput limit of 1024 MiB/s has been reached.

HTTP Status Code: 400TooManyRequests

Returned if you don’t wait at least 24 hours before changing the throughput mode, or decreasing theProvisioned Throughput value.




Data TypesThe following data types are supported:

291

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/UpdateFileSystem

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/UpdateFileSystem

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/UpdateFileSystem

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/UpdateFileSystem

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/UpdateFileSystem

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/UpdateFileSystem

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/UpdateFileSystem

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/UpdateFileSystem

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/UpdateFileSystem

Amazon Elastic File System Guía del usuarioData Types

• AccessPointDescription (p. 293)• BackupPolicy (p. 295)• CreationInfo (p. 296)• FileSystemDescription (p. 297)• FileSystemSize (p. 300)• LifecyclePolicy (p. 301)• MountTargetDescription (p. 302)• PosixUser (p. 304)• RootDirectory (p. 305)• Tag (p. 306)

292

Amazon Elastic File System Guía del usuarioAccessPointDescription

AccessPointDescriptionProvides a description of an EFS file system access point.

ContentsAccessPointArn

The unique Amazon Resource Name (ARN) associated with the access point.

Type: String

Required: NoAccessPointId

The ID of the access point, assigned by Amazon EFS.

Type: String

Required: NoClientToken

The opaque string specified in the request to ensure idempotent creation.

Type: String


Required: NoFileSystemId

The ID of the EFS file system that the access point applies to.

Type: String



Required: NoLifeCycleState

Identifies the lifecycle phase of the access point.

Type: String

Valid Values: creating | available | updating | deleting | deleted

Required: NoName

The name of the access point. This is the value of the Name tag.

Type: String

Required: NoOwnerId

Identified the AWS account that owns the access point resource.

293

Amazon Elastic File System Guía del usuarioAccessPointDescription

Type: String


Pattern: ^(\d{12})|(\d{4}-\d{4}-\d{4})$

Required: NoPosixUser

The full POSIX identity, including the user ID, group ID, and secondary group IDs on the access pointthat is used for all file operations by NFS clients using the access point.

Type: PosixUser (p. 304) object

Required: NoRootDirectory

The directory on the Amazon EFS file system that the access point exposes as the root directory toNFS clients using the access point.

Type: RootDirectory (p. 305) object

Required: NoTags

The tags associated with the access point, presented as an array of Tag objects.


Required: No


• AWS SDK for C++• AWS SDK for Go• AWS SDK for Java• AWS SDK for Ruby V3

294

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/AccessPointDescription

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/AccessPointDescription

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/AccessPointDescription

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/AccessPointDescription

Amazon Elastic File System Guía del usuarioBackupPolicy

BackupPolicyThe backup policy for the file system used to create automatic daily backups. If status has a value ofENABLED, the file system is being automatically backed up. For more information, see Automatic backups.

ContentsStatus

Describes the status of the file system's backup policy.• ENABLED - EFS is automatically backing up the file system.>• ENABLING - EFS is turning on automatic backups for the file system.• DISABLED - automatic back ups are turned off for the file system.• DISABLING - EFS is turning off automatic backups for the file system.

Type: String

Valid Values: ENABLED | ENABLING | DISABLED | DISABLING

Required: Yes



295

https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html#automatic-backups

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/BackupPolicy

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/BackupPolicy

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/BackupPolicy

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/BackupPolicy

Amazon Elastic File System Guía del usuarioCreationInfo

CreationInfoRequired if the RootDirectory > Path specified does not exist. Specifies the POSIX IDs andpermissions to apply to the access point's RootDirectory > Path. If the access point root directory doesnot exist, EFS creates it with these settings when a client connects to the access point. When specifyingCreationInfo, you must include values for all properties.

Important

If you do not provide CreationInfo and the specified RootDirectory does not exist, attemptsto mount the file system using the access point will fail.

ContentsOwnerGid

Specifies the POSIX group ID to apply to the RootDirectory. Accepts values from 0 to 2^32(4294967295).

Type: Long

Valid Range: Minimum value of 0. Maximum value of 4294967295.

Required: YesOwnerUid

Specifies the POSIX user ID to apply to the RootDirectory. Accepts values from 0 to 2^32(4294967295).

Type: Long


Required: YesPermissions

Specifies the POSIX permissions to apply to the RootDirectory, in the format of an octal numberrepresenting the file's mode bits.

Type: String

Pattern: ^[0-7]{3,4}$

Required: Yes



296

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/CreationInfo

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/CreationInfo

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/CreationInfo

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/CreationInfo

Amazon Elastic File System Guía del usuarioFileSystemDescription

FileSystemDescriptionA description of the file system.

ContentsCreationTime


Type: Timestamp

Required: YesCreationToken


Type: String


Pattern: .+

Required: YesEncrypted


Type: Boolean

Required: NoFileSystemArn


Type: String



Type: String



Required: YesKmsKeyId


Type: String

297






Type: String


Required: YesName


Type: String


Pattern: ^([\p{L}\p{Z}\p{N}_.:/=+\-@]*)$

Required: NoNumberOfMountTargets


Type: Integer


Required: YesOwnerId


Type: String


Pattern: ^(\d{12})|(\d{4}-\d{4}-\d{4})$

Required: YesPerformanceMode


Type: String

Valid Values: generalPurpose | maxIO

298


Required: YesProvisionedThroughputInMibps


Type: Double


Required: NoSizeInBytes


Type: FileSystemSize (p. 300) object

Required: YesTags



Required: YesThroughputMode


Type: String


Required: No



299



https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/FileSystemDescription

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/FileSystemDescription

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/FileSystemDescription

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/FileSystemDescription

Amazon Elastic File System Guía del usuarioFileSystemSize

FileSystemSizeThe latest known metered size (in bytes) of data stored in the file system, in its Value field, and the time atwhich that size was determined in its Timestamp field. The value doesn't represent the size of a consistentsnapshot of the file system, but it is eventually consistent when there are no writes to the file system. Thatis, the value represents the actual size only if the file system is not modified for a period longer than acouple of hours. Otherwise, the value is not necessarily the exact size the file system was at any instant intime.

ContentsTimestamp

The time at which the size of data, returned in the Value field, was determined. The value is theinteger number of seconds since 1970-01-01T00:00:00Z.

Type: Timestamp

Required: NoValue

The latest known metered size (in bytes) of data stored in the file system.

Type: Long


Required: YesValueInIA

The latest known metered size (in bytes) of data stored in the Infrequent Access storage class.

Type: Long


Required: NoValueInStandard

The latest known metered size (in bytes) of data stored in the Standard storage class.

Type: Long


Required: No



300

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/FileSystemSize

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/FileSystemSize

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/FileSystemSize

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/FileSystemSize

Amazon Elastic File System Guía del usuarioLifecyclePolicy

LifecyclePolicyDescribes a policy used by EFS lifecycle management to transition files to the Infrequent Access (IA)storage class.

ContentsTransitionToIA

A value that describes the period of time that a file is not accessed, after which it transitions to the IAstorage class. Metadata operations such as listing the contents of a directory don't count as file accessevents.

Type: String

Valid Values: AFTER_7_DAYS | AFTER_14_DAYS | AFTER_30_DAYS | AFTER_60_DAYS |AFTER_90_DAYS

Required: No



301

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/LifecyclePolicy

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/LifecyclePolicy

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/LifecyclePolicy

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/LifecyclePolicy

Amazon Elastic File System Guía del usuarioMountTargetDescription

MountTargetDescriptionProvides a description of a mount target.

ContentsAvailabilityZoneId

The unique and consistent identifier of the Availability Zone (AZ) that the mount target resides in. Forexample, use1-az1 is an AZ ID for the us-east-1 Region and it has the same location in every AWSaccount.

Type: String

Required: NoAvailabilityZoneName

The name of the Availability Zone (AZ) that the mount target resides in. AZs are independently mappedto names for each AWS account. For example, the Availability Zone us-east-1a for your AWSaccount might not be the same location as us-east-1a for another AWS account.

Type: String


The ID of the file system for which the mount target is intended.

Type: String



Required: YesIpAddress

Address at which the file system can be mounted by using the mount target.

Type: String


Pattern: ^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$


Lifecycle state of the mount target.

Type: String


Required: YesMountTargetId

System-assigned mount target ID.

302

Amazon Elastic File System Guía del usuarioMountTargetDescription

Type: String



Required: YesNetworkInterfaceId

The ID of the network interface that Amazon EFS created when it created the mount target.

Type: String

Required: NoOwnerId

AWS account ID that owns the resource.

Type: String


Pattern: ^(\d{12})|(\d{4}-\d{4}-\d{4})$

Required: NoSubnetId

The ID of the mount target's subnet.

Type: String


Pattern: ^subnet-[0-9a-f]{8,40}$

Required: YesVpcId

The Virtual Private Cloud (VPC) ID that the mount target is configured in.

Type: String

Required: No



303

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/MountTargetDescription

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/MountTargetDescription

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/MountTargetDescription

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/MountTargetDescription

Amazon Elastic File System Guía del usuarioPosixUser

PosixUserThe full POSIX identity, including the user ID, group ID, and any secondary group IDs, on the access pointthat is used for all file system operations performed by NFS clients using the access point.

ContentsGid

The POSIX group ID used for all file system operations using this access point.

Type: Long


Required: YesSecondaryGids

Secondary POSIX group IDs used for all file system operations using this access point.

Type: Array of longs

Array Members: Minimum number of 0 items. Maximum number of 16 items.


Required: NoUid

The POSIX user ID used for all file system operations using this access point.

Type: Long


Required: Yes



304

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/PosixUser

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/PosixUser

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/PosixUser

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/PosixUser

Amazon Elastic File System Guía del usuarioRootDirectory

RootDirectorySpecifies the directory on the Amazon EFS file system that the access point provides access to. Theaccess point exposes the specified file system path as the root directory of your file system to applicationsusing the access point. NFS clients using the access point can only access data in the access point'sRootDirectory and it's subdirectories.

ContentsCreationInfo

(Optional) Specifies the POSIX IDs and permissions to apply to the access point's RootDirectory.If the RootDirectory > Path specified does not exist, EFS creates the root directory usingthe CreationInfo settings when a client connects to an access point. When specifying theCreationInfo, you must provide values for all properties.

Important

If you do not provide CreationInfo and the specified RootDirectory > Path does notexist, attempts to mount the file system using the access point will fail.

Type: CreationInfo (p. 296) object

Required: NoPath

Specifies the path on the EFS file system to expose as the root directory to NFS clients using theaccess point to access the EFS file system. A path can have up to four subdirectories. If the specifiedpath does not exist, you are required to provide the CreationInfo.

Type: String


Required: No



305

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/RootDirectory

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/RootDirectory

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/RootDirectory

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/RootDirectory

Amazon Elastic File System Guía del usuarioTag

TagA tag is a key-value pair. Allowed characters are letters, white space, and numbers that can be representedin UTF-8, and the following characters: + - = . _ : /

ContentsKey

The tag key (String). The key can't start with aws:.

Type: String



Required: YesValue

The value of the tag key.

Type: String


Pattern: ^([\p{L}\p{Z}\p{N}_.:/=+\-@]*)$

Required: Yes



306

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/Tag

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/Tag

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/Tag

https://docs.aws.amazon.com/goto/SdkForRubyV3/elasticfilesystem-2015-02-01/Tag

Amazon Elastic File System Guía del usuarioCopia de seguridad con AWS Data Pipeline

Información adicional para AmazonEFS

A continuación encontrará información adicional sobre Amazon EFS, incluidas las características que aúnse admiten, aunque no estén necesariamente recomendadas.

Temas• Back up de los sistemas de archivos de Amazon EFS con AWS Data Pipeline (p. 307)• Montaje de sistemas de archivos sin el ayudante de montaje de EFS (p. 320)

Back up de los sistemas de archivos de AmazonEFS con AWS Data Pipeline

Note

El uso de AWS Data Pipeline para realizar copias de seguridad de sus sistemas de archivos deEFS es una solución heredada.

Soluciones de copia de seguridad de EFSrecomendadasHay dos soluciones recomendadas disponibles para realizar copias de seguridad de sus sistemas dearchivos de EFS.

• Servicio de AWS Backup• Solución de copias de seguridad de EFS a EFS

AWS Backup es un método sencillo y rentable de crear copias de seguridad en sus sistemas de archivosde Amazon EFS. AWS Backup es un servicio de copia de seguridad unificado diseñado para simplificarla creación, migración, restauración y eliminación de copias de seguridad y, a la vez, ofrecer una mejorcreación de informes y auditorías. Para obtener más información, consulte Uso de AWS Backup conAmazon EFS (p. 109).

La solución de backup de EFS a EFS es adecuada para todos los sistemas de archivos de Amazon EFSen todas las regiones de AWS. Incluye una plantilla de AWS CloudFormation que lanza, configura yejecuta los servicios de AWS necesarios para implementar esta solución. Esta solución se adhiere a lasprácticas recomendadas de AWS en materia de seguridad y disponibilidad. Para obtener más información,consulte Solución de copia de seguridad de EFS a EFS en AWS Answers.

Solución de copia de seguridad de EFS heredada queutiliza AWS Data PipelineEl uso de AWS Data Pipeline para realizar copias de seguridad del sistema de archivos de EFS es unasolución de copia de seguridad heredada. En esta solución, crea una canalización de datos medianteel servicio AWS Data Pipeline. Esta canalización copia datos desde el sistema de archivos de AmazonEFS (denominado el sistema de archivos de producción) en otro sistema de archivos de Amazon EFS(denominado el sistema de archivos de copia de seguridad).

307

https://aws.amazon.com/answers/infrastructure-management/efs-backup/

Amazon Elastic File System Guía del usuarioRendimiento de las copias de seguridad deAmazon EFS utilizando AWS Data Pipeline

Esta solución consta de plantillas de AWS Data Pipeline que implementan lo siguiente:

• Backups de EFS automatizados basados en un calendario que usted defina (por ejemplo, horario, diario,semanal o mensual).

• Rotación automática de los backups, donde el backup más antiguo se sustituirá por el más reciente enfunción del número de backups que desee conservar.

• Copias de seguridad más rápidas haciendo copia de seguridad solo de los cambios que se hanproducido entre una copia de seguridad y la siguiente.

• Almacenamiento eficaz de backups a través de enlaces físicos. Un enlace físico es una entrada dedirectorio que asocia un nombre a un archivo de un sistema de archivos. Estableciendo un enlacefísico, puede realizar una restauración completa de los datos desde cualquier copia de seguridad,almacenando solo lo que ha cambiado entre copia y copia.

Después de configurar la solución de backup, este tutorial le muestra cómo acceder a sus backups pararestaurar los datos. Esta solución de backup depende de la ejecución de scripts que se alojan en GitHuby, por tanto, está sujeta a la disponibilidad de GitHub. Si, en su lugar, prefiere eliminar esta dependenciay alojar los scripts en un bucket de Amazon S3, consulte Alojamiento de los scripts rsync en un bucket deAmazon S3 (p. 318).

Important

Esta solución requiere utilizar AWS Data Pipeline en la misma región de AWS que el sistema dearchivos. Dado que AWS Data Pipeline no es compatible en EE.UU. Este (Ohio), esta solución nofuncionará en dicha región de AWS. Le recomendamos que si desea realizar copias de seguridadde su sistema de archivos usando esta solución, utilice el sistema de archivos en una de lasdemás regiones de AWS.

Temas• Rendimiento de las copias de seguridad de Amazon EFS utilizando AWS Data Pipeline (p. 308)• Consideraciones sobre copias de seguridad de Amazon EFS utilizando AWS Data Pipeline (p. 309)• Supuestos para copias de seguridad de Amazon EFS utilizando AWS Data Pipeline (p. 310)• Cómo hacer una copia de seguridad de un sistema de archivos de Amazon EFS utilizando AWS Data

Pipeline (p. 310)• Recursos adicionales de backup (p. 315)

Rendimiento de las copias de seguridad de AmazonEFS utilizando AWS Data PipelineAl realizar backups de datos y restauraciones, el desempeño del sistema de archivos está sujeto aRendimiento de Amazon EFS (p. 100), incluidos el punto de referencia y la capacidad de desempeño deráfaga. El desempeño que utiliza la solución de copia de seguridad se tiene en cuenta en el desempeñototal del sistema de archivos. La siguiente tabla ofrece algunas recomendaciones para los tamaños delsistema de archivos de Amazon EFS de la instancia Amazon EC2 que son compatibles con esta solución,suponiendo que su período de copia de seguridad sea de 15 minutos de duración.

Tamaño deEFS (Tamañomedio dearchivo 30 MB)

Volumen de cambios diario Horas de ráfagas restantes Número mínimo deagentes de backup

256 GB Menos de 25 GB 6.75 1 - m3.medium

308

Amazon Elastic File System Guía del usuarioConsideraciones sobre copias de seguridad

de Amazon EFS utilizando AWS Data Pipeline

Tamaño deEFS (Tamañomedio dearchivo 30 MB)

Volumen de cambios diario Horas de ráfagas restantes Número mínimo deagentes de backup

512 GB Menos de 50 GB 7.75 1 - m3.large

1.0 TB Menos de 75 GB 11.75 2 - m3.large*

1.5 TB Menos de 125 GB 11.75 2 - m3.xlarge*

2.0 TB Menos de 175 GB 11.75 3 - m3.large*

3.0 TB Menos de 250 GB 11.75 4 - m3.xlarge*

* Estas estimaciones se basan en la suposición de que los datos almacenados en un sistema de archivosde EFS que tenga 1 TB o más se organiza de forma que el backup se pueda distribuir en varios nodosde backup. Los scripts de ejemplo de varios nodos dividen la carga de backup entre nodos en función delcontenido del directorio de primer nivel de su sistema de archivos de EFS.

Por ejemplo, si hay dos nodos de copia de seguridad, un nodo realiza la copia de seguridad de todos losarchivos y directorios pares ubicados en el directorio de primer nivel, mientras que el nodo impar hacelo mismo para los archivos y directorios impares. En otro ejemplo, con seis directorios en el sistema dearchivos de Amazon EFS y cuatro nodos de copia de seguridad, el primer nodo realiza una copia deseguridad del primer y quinto directorio. El segundo nodo realiza una copia de seguridad del segundo ysexto directorio, y el tercer y cuarto nodo realizan una copia de seguridad del tercer y cuarto directoriorespectivamente.

Consideraciones sobre copias de seguridad deAmazon EFS utilizando AWS Data PipelineTenga en cuenta lo siguiente a la hora de decidir si desea implementar una solución de copia de seguridadde Amazon EFS utilizando AWS Data Pipeline:

• Este planteamiento de la copia de seguridad implica una serie de recursos de AWS. Para esta solución,tiene que crear lo siguiente:• Un sistema de archivos de producción y un sistema de archivos de backup que contiene una copia

completa del sistema de archivos de producción. El sistema también contiene todos los cambiosincrementales efectuados en los datos durante el período de rotación de las copias de seguridad.

• Instancias Amazon EC2, cuyos ciclos de vida son administrados por AWS Data Pipeline, que realizanrestauraciones y copias de seguridad programadas.

• Solo AWS Data Pipeline programado con regularidad para backup de datos.• Un AWS Data Pipeline para restaurar copias de seguridad.

Cuando se implementa esta solución, estos servicios se facturan en su cuenta. Para obtener másinformación, consulte las siguientes páginas de precios de Amazon EFS, Amazon EC2 y AWS DataPipeline.

• Esta no es una solución de copia de seguridad sin conexión. Para garantizar un backup completo ycoherente, detenga cualquier escritura de archivo en el sistema de archivos o desmonte el sistema dearchivos mientras se realiza el backup. Le recomendamos que realice todas las copias de seguridaddurante el tiempo de inactividad programado o durante las horas no laborables.

309


https://aws.amazon.com/ec2/pricing/

https://aws.amazon.com/datapipeline/pricing/

https://aws.amazon.com/datapipeline/pricing/

Amazon Elastic File System Guía del usuarioSupuestos para copias de seguridad de

Amazon EFS utilizando AWS Data Pipeline

Supuestos para copias de seguridad de Amazon EFSutilizando AWS Data PipelineEn este tutorial se hacen varias suposiciones y se declaran valores de ejemplo de la siguiente manera:

• Antes de empezar este tutorial se supone que ya completado Introducción (p. 12).• Una vez completado el ejercicio de introducción, dispone de dos grupos de seguridad, una subred de

VPC y un destino de montaje de sistema de archivos para el sistema de archivos del que desea realizarun backup. Para el resto de este tutorial, utilice los siguientes valores de ejemplo:• El ID del sistema de archivos del que realiza un backup en este tutorial es fs-12345678.• El grupo de seguridad del sistema de archivos que se asocia con el destino de montaje se denominaefs-mt-sg (sg-1111111a).

• El grupo de seguridad que concede a las instancias Amazon EC2 la capacidad de conectarse al puntode montaje de EFS de producción se denomina efs-ec2-sg (sg-1111111b).

• La subred de VPC tiene el valor de ID de subnet-abcd1234.• La dirección IP del destino de montaje del sistema de archivos de origen para el sistema de archivos

del que desea realizar un backup es 10.0.1.32:/.• El ejemplo supone que el sistema de archivos de producción es un sistema de administración de

contenido que ofrece archivos multimedia con un tamaño promedio de 30 MB.

Los supuestos y ejemplos anteriores se reflejan en el diagrama de configuración inicial siguiente.

Cómo hacer una copia de seguridad de un sistemade archivos de Amazon EFS utilizando AWS DataPipelineSiga los pasos descritos en esta sección para realizar una copia de seguridad o restaurar su sistema dearchivos de Amazon EFS utilizando AWS Data Pipeline.

Temas• Paso 1: Crear un sistema de archivos de Amazon EFS de copia de seguridad (p. 311)• Paso 2: Descargar la plantilla de AWS Data Pipeline para backups (p. 311)• Paso 3: Crear una canalización de datos para backups (p. 312)

310

Amazon Elastic File System Guía del usuarioCómo hacer una copia de seguridad de un sistema dearchivos de Amazon EFS utilizando AWS Data Pipeline

• Paso 4: Obtener acceso a las copias de seguridad de Amazon EFS (p. 313)

Paso 1: Crear un sistema de archivos de Amazon EFS de copiade seguridadEn este tutorial, crea grupos de seguridad independientes, sistemas de archivos y puntos de montaje paraseparar los backups del origen de datos. En este primer paso, crea dichos recursos:

1. En primer lugar, cree dos nuevos grupos de seguridad. El grupo de seguridad de ejemplo para eldestino de montaje de backup es efs-backup-mt-sg (sg-9999999a). El grupo de seguridadde ejemplo para que la instancia EC2 tenga acceso el destino de montaje es efs-backup-ec2-sg(sg-9999999b). Recuerde crear estos grupos de seguridad en la misma VPC que el volumen deEFS cuyo backup desee realizar. En este ejemplo, la VPC asociada a la subred subnet-abcd1234.Para obtener más información sobre la creación de grupos de seguridad, consulte Crear grupos deseguridad (p. 35).

2. A continuación, cree un sistema de archivos de Amazon EFS de backup. En este ejemplo, el ID delsistema de archivos es fs-abcdefaa. Para obtener más información sobre la creación de sistemas dearchivos, consulte Crear sistemas de archivos de Amazon EFS (p. 19).

3. Por último, cree un punto de montaje para el sistema de archivos de backup de EFS y suponga quetiene el valor de 10.0.1.75:/. Para obtener más información sobre la creación de destinos demontaje, consulte Crear destinos de montaje (p. 29).

Una vez completado este primer paso, la configuración debe tener un aspecto similar al siguiente diagramade ejemplo.

Paso 2: Descargar la plantilla de AWS Data Pipeline parabackupsAWS Data Pipeline le ayuda a procesar datos y a transferirlos de manera fiable entre distintos serviciosde almacenamiento y capacidad informática de AWS a intervalos definidos. Con la consola de AWS DataPipeline puede crear definiciones de canalización preconfiguradas, conocidas como plantillas. Puedeutilizar estas plantillas para comenzar a utilizar AWS Data Pipeline rápidamente. En este tutorial seproporciona una plantilla para facilitar el proceso de configuración de la canalización de backup.

Cuando se realiza la implementación, esta plantilla crea una canalización de datos que lanza una instanciaAmazon EC2 única en el programa que especifique para crear datos de backup desde el sistema dearchivos de producción al sistema de archivos de backup. Esta plantilla tiene una serie de valores de

311


marcador. Debe proporcionar los valores coincidentes para los marcadores de posición en la secciónParameters (Parámetros) de la consola AWS Data Pipeline. Descargue la plantilla de AWS Data Pipelinepara las copias de seguridad en 1-Node-EFSBackupDataPipeline.json desde GitHub.

Note

Esta plantilla también hace referencia y ejecuta un script para realizar los comandos de backup.Puede descargar el script antes de crear la canalización para revisar lo que hace. Para revisar elscript, descargue efs-backup.sh desde GitHub. Esta solución de backup depende de la ejecuciónde scripts que se alojan en GitHub y, por tanto, está sujeta a la disponibilidad de GitHub. Si, en sulugar, prefiere eliminar esta dependencia y alojar los scripts en un bucket de Amazon S3, consulteAlojamiento de los scripts rsync en un bucket de Amazon S3 (p. 318).

Paso 3: Crear una canalización de datos para backupsUtilice el siguiente procedimiento para crear su canalización de datos.

Para crear una canalización de datos para copias de seguridad de Amazon EFS

1. Abra la consola de AWS Data Pipeline en https://console.aws.amazon.com/datapipeline/.

Important

Asegúrese de que trabaja en la misma región de AWS que sus sistemas de archivos deAmazon EFS.

2. Elija Create new pipeline (Crear nueva canalización).3. Añada valores para Name (Nombre) y, opcionalmente, para Description (Descripción).4. En Source (Origen), elija Import a definition (Importar definición) y después Load local file (Cargar

archivo local).5. En el explorador de archivos, acceda a la plantilla que ha guardado en Paso 2: Descargar la plantilla

de AWS Data Pipeline para backups (p. 311) y, a continuación, seleccione Open (Abrir).6. En Parameters (Parámetros), proporcione los detalles de sus sistemas de archivos de EFS de

producción y de copia de seguridad.

312

https://github.com/awslabs/data-pipeline-samples/blob/master/samples/EFSBackup/1-Node-EFSBackupPipeline.json

https://github.com/awslabs/data-pipeline-samples/blob/master/samples/EFSBackup/efs-backup.sh

https://console.aws.amazon.com/datapipeline/


7. Configure las opciones en Schedule (Programar) para definir el programa de copia de seguridad deAmazon EFS. El backup del ejemplo se ejecuta una vez al día y los backups se conservan duranteuna semana. Cuando un backup tiene siete días, se sustituye por el siguiente backup más antiguo.

Note

Le recomendamos que especifique un tiempo de ejecución que tenga lugar fuera de las horaspunta.

8. (Opcional) Especifique una ubicación de Amazon S3 para almacenar los registros de canalización,configurar un rol de IAM personalizado o añadir etiquetas para describir la canalización.

9. Cuando la canalización esté configurada, seleccione Activate (Activar).

Ya ha configurado y activado su canalización de datos de copia de seguridad de Amazon EFS. Paraobtener más información sobre AWS Data Pipeline, consulte Guía para desarrolladores de AWS DataPipeline. En este momento, puede realizar el backup ahora como una prueba o puede esperar hasta que elbackup se realice a la hora programada.

Paso 4: Obtener acceso a las copias de seguridad de AmazonEFSLa copia de seguridad de Amazon EFS ya se ha creado y activado, y se ejecuta según el programa queha definido. En este paso se explica cómo puede obtener acceso a sus copias de seguridad de EFS. Losbackups se almacenan en el sistema de archivos de backup de EFS que ha creado en el siguiente formato.

backup-efs-mount-target:/efs-backup-id/[backup interval].[0-backup retention]-->

Utilizando los valores del escenario de ejemplo, el backup del sistema de archivos se encuentra en10.1.0.75:/fs-12345678/daily.[0-6], donde daily.0 es el backup más reciente y daily.6 esel más antiguo de los siete backups en rotación.

El acceso a los backups le ofrece la posibilidad de restablecer datos en su sistema de archivos deproducción. Puede optar por restaurar todo un sistema de archivos o puede elegir restaurar archivosindividuales.

Paso 4.1: Restaurar una copia de seguridad de Amazon EFS completaLa restauración de una copia de seguridad de un sistema de archivos de Amazon EFS requiere otro AWSData Pipeline, similar al que configuró en Paso 3: Crear una canalización de datos para backups (p. 312).Sin embargo, esta canalización de restauración funciona al revés que la canalización de copia deseguridad. Por lo general, estas restauraciones no están programadas para iniciarse automáticamente.

Al igual que con los backups, las restauraciones se pueden realizar de forma paralela para cumplir elobjetivo de tiempo de recuperación. Tenga en cuenta que, al crear una canalización de datos, tiene que

313

https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/



programar cuándo desea ejecutarla. Si decide ejecutarla en la activación, inicie el proceso de restauracióninmediatamente. Le recomendamos que cree solo una canalización de restauración cuando necesite haceruna restauración o cuando ya tenga un ventana de tiempo específica en mente.

Tanto la EFS de copia de seguridad como la EFS de restauración consumen capacidad de ráfaga. Paraobtener más información acerca del desempeño, consulte Rendimiento de Amazon EFS (p. 100). Elsiguiente procedimiento le muestra cómo crear e implementar su canalización de restauración.

Para crear una canalización de datos para restauración de datos de EFS

1. Descargue la plantilla de canalización de datos para restaurar los datos de su sistema de archivosde EFS de backup. Esta plantilla lanza una instancia Amazon EC2 única en función del tamañoespecificado. Se lanza solo cuando especifica que se lance. Descargue la plantilla de AWS DataPipeline para copias de seguridad en 1-Node-EFSRestoreDataPipeline.json desde GitHub.

Note

Esta plantilla también hace referencia y ejecuta un script para realizar los comandos derestauración. Puede descargar el script antes de crear la canalización para revisar lo quehace. Para revisar el script, descargue efs-restore.sh desde GitHub.

2. Abra la consola de AWS Data Pipeline en https://console.aws.amazon.com/datapipeline/.Important

Asegúrese de que trabaja en la misma región de AWS que sus sistemas de archivos deAmazon EFS y que Amazon EC2.

3. Elija Create new pipeline (Crear nueva canalización).4. Añada valores para Name (Nombre) y, opcionalmente, para Description (Descripción).5. En Source (Origen), elija Import a definition (Importar definición) y después Load local file (Cargar

archivo local).6. En el explorador de archivos, acceda a la plantilla que ha guardado en Paso 1: Crear un sistema de

archivos de Amazon EFS de copia de seguridad (p. 311) y, a continuación, seleccione Open (Abrir).7. En Parameters (Parámetros), proporcione los detalles de sus sistemas de archivos de EFS de

producción y de copia de seguridad.

8. Dado que normalmente solo se realizan restauraciones cuando se necesitan, puede programarla restauración para que se ejecute una vez que se activa la canalización. O programe un

314

https://github.com/awslabs/data-pipeline-samples/blob/master/samples/EFSBackup/1-Node-EFSRestorePipeline.json

https://github.com/awslabs/data-pipeline-samples/blob/master/samples/EFSBackup/efs-restore.sh

https://console.aws.amazon.com/datapipeline/

Amazon Elastic File System Guía del usuarioRecursos adicionales de backup

restablecimiento único en un momento futuro de su elección, por ejemplo durante una ventana detiempo fuera de las horas punta.

9. (Opcional) Especifique una ubicación de Amazon S3 para almacenar los registros de canalización,configurar un rol de IAM personalizado o añadir etiquetas para describir la canalización.

10. Cuando la canalización esté configurada, seleccione Activate (Activar).

Ya ha configurado y activado su canalización de datos de restauración de Amazon EFS. Ahora, cuandonecesite recuperar una copia de seguridad a su sistema de archivos de EFS de producción, basta conque la active desde la consola de AWS Data Pipeline. Para obtener más información, consulte Guía paradesarrolladores de AWS Data Pipeline.

Paso 4.2: Restaurar archivos individuales desde las copias de seguridad deAmazon EFS

Puede restaurar archivos desde las copias de seguridad de su sistema de archivos de Amazon EFSlanzando una instancia Amazon EC2 para montar temporalmente tanto los sistemas de archivos deEFS de producción como de copia de seguridad. La instancia EC2 debe ser miembro de ambos gruposde seguridad del cliente de EFS (en este ejemplo, efs-ec2-sg y efs-backup-clients-sg). Esta instanciade restauración puede montar ambos destinos de montaje de EFS. Por ejemplo, una instancia EC2 derecuperación puede crear los siguientes puntos de montaje. Aquí, la opción -o ro se utiliza para montar elEFS de backup como de solo lectura y evitar su modificación accidental cuando se intenta restaurar a partirde la copia de seguridad.

mount -t nfs source-efs-mount-target:/ /mnt/data

mount -t nfs -o ro backup-efs-mount-target:/fs-12345678/daily.0 /mnt/backup>

Una vez montados los destinos, puede copiar archivos desde /mnt/backup en la ubicación adecuada en/mnt/data en el terminal utilizando el comando cp -p. Por ejemplo, un directorio principal completo (consu sistema de permisos de archivo) se puede copiar recursivamente con el siguiente comando.

sudo cp -rp /mnt/backup/users/my_home /mnt/data/users/my_home

Puede restablecer un archivo único ejecutando el siguiente comando.

sudo cp -p /mnt/backup/user/my_home/.profile /mnt/data/users/my_home/.profile

Warning

Cuando restaure manualmente archivos de datos individuales, tenga cuidado de no modificaraccidentalmente la propia copia de seguridad. De lo contrario, podría dañarla.

Recursos adicionales de backupLa solución de backup presentada en este tutorial utiliza plantillas para AWS Data Pipeline. Las plantillasutilizadas en Paso 2: Descargar la plantilla de AWS Data Pipeline para backups (p. 311) y Paso 4.1:Restaurar una copia de seguridad de Amazon EFS completa (p. 313) usan una instancia Amazon EC2única para realizar su trabajo. Sin embargo, no hay un límite en el número de instancias en paralelo quepuede ejecutar para realizar backups o restaurar sus datos en sistemas de archivos de Amazon EFS. Estetema encontrará enlaces a otras plantillas de AWS Data Pipeline configuradas en varias instancias EC2que puede descargar y utilizar para su solución de copia de seguridad. También encontrará instruccionespara modificar las plantillas e incluir instancias adicionales.

315




Temas• Uso de plantillas adicionales (p. 316)• Añadir instancias adicionales de backup (p. 316)• Añadir instancias de restauración adicionales (p. 317)• Alojamiento de los scripts rsync en un bucket de Amazon S3 (p. 318)

Uso de plantillas adicionalesPuede descargar las siguientes plantillas adicionales desde GitHub:

• 2-Node-EFSBackupPipeline.json: esta plantilla inicia dos instancias Amazon EC2 en paralelo pararealizar una copia de seguridad de su sistema de archivos de Amazon EFS de producción.

• 2-Node-EFSRestorePipeline.json: esta plantilla inicia dos instancias Amazon EC2 en paralelo pararestaurar una copia de seguridad de su sistema de archivos de Amazon EFS de producción.

Añadir instancias adicionales de backupPuede añadir nodos adicionales a las plantillas de backup que se utilizan en este tutorial. Para añadir unnodo, modifique las secciones siguientes de la plantilla 2-Node-EFSBackupDataPipeline.json.

Important

Si está utilizando nodos adicionales, no puede utilizar espacios en los nombres de archivos ydirectorios almacenados en el directorio de nivel superior. Si lo hace, no se realiza la copia deseguridad o restauración de dichos archivos y directorios. Se realizará la copia de seguridad y larestauración de todos los archivos y subdirectorios que están al menos un nivel por debajo delnivel superior según lo previsto.

• Cree un EC2Resource adicional para cada nodo adicional que desee crear (en este ejemplo, una cuartainstancia EC2).

{"id": "EC2Resource4","terminateAfter": "70 Minutes","instanceType": "#{myInstanceType}","name": "EC2Resource4","type": "Ec2Resource","securityGroupIds" : [ "#{mySrcSecGroupID}","#{myBackupSecGroupID}" ],"subnetId": "#{mySubnetID}","associatePublicIpAddress": "true"},

• Cree una actividad de canalización de datos adicional para cada nodo adicional (en este caso, actividadBackupPart4), asegúrese de configurar las secciones siguientes:• Actualice la referencia runsOn para que apunte al EC2Resource creado anteriormente

(EC2Resource4 en el ejemplo siguiente).• Aumente los dos últimos valores scriptArgument para igualar la parte de backup que es

responsabilidad de cada nodo y el número total de nodos. Para "2" y "3" en el siguiente ejemplo,la parte de copia de seguridad es "3" para el nodo cuarto porque en este ejemplo nuestra lógica delmódulo debe contar a partir de 0.

{"id": "BackupPart4","name": "BackupPart4","runsOn": {

316

https://github.com/awslabs/data-pipeline-samples/blob/master/samples/EFSBackup/2-Node-EFSBackupPipeline.json

https://github.com/awslabs/data-pipeline-samples/blob/master/samples/EFSBackup/2-Node-EFSRestorePipeline.json


"ref": "EC2Resource4"},"command": "wget https://raw.githubusercontent.com/awslabs/data-pipeline-samples/master/samples/EFSBackup/efs-backup-rsync.sh\nchmod a+x efs-backup-rsync.sh\n./efs-backup-rsync.sh $1 $2 $3 $4 $5 $6 $7","scriptArgument": ["#{myEfsSource}","#{myEfsBackup}", "#{myInterval}", "#{myRetainedBackups}","#{myEfsID}", "3", "4"],"type": "ShellCommandActivity","dependsOn": {"ref": "InitBackup"},"stage": "true"},

• Incremente el último valor en todos los valores scriptArgument existentes al número de nodos (eneste ejemplo, "4").

{"id": "BackupPart1",..."scriptArgument": ["#{myEfsSource}","#{myEfsBackup}", "#{myInterval}", "#{myRetainedBackups}","#{myEfsID}", "1", "4"],...},{"id": "BackupPart2",..."scriptArgument": ["#{myEfsSource}","#{myEfsBackup}", "#{myInterval}", "#{myRetainedBackups}","#{myEfsID}", "2", "4"],...},{"id": "BackupPart3",..."scriptArgument": ["#{myEfsSource}","#{myEfsBackup}", "#{myInterval}", "#{myRetainedBackups}","#{myEfsID}", "0", "4"],...},

• Actualice la actividad FinalizeBackup y añada la nueva actividad de backup a la lista dependsOn(BackupPart4 en este caso).

{ "id": "FinalizeBackup", "name": "FinalizeBackup", "runsOn": { "ref":"EC2Resource1" }, "command": "wgethttps://raw.githubusercontent.com/awslabs/data-pipeline-samples/master/samples/EFSBackup/efs-backup-end.sh\nchmod a+xefs-backup-end.sh\n./efs-backup-end.sh $1 $2", "scriptArgument": ["#{myInterval}","#{myEfsID}"], "type": "ShellCommandActivity", "dependsOn": [ { "ref": "BackupPart1" },{ "ref": "BackupPart2" }, { "ref": "BackupPart3" }, { "ref": "BackupPart4" } ], "stage":"true"

Añadir instancias de restauración adicionalesPuede añadir nodos a las plantillas de restauración que se utilizan en este tutorial. Para añadir un nodo,modifique las secciones siguientes de la plantilla 2-Node-EFSRestorePipeline.json.

• Cree un EC2Resource adicional para cada nodo adicional que desea crear (en este caso, una tercerainstancias EC2 denominada EC2Resource3).

{

317


"id": "EC2Resource3","terminateAfter": "70 Minutes","instanceType": "#{myInstanceType}","name": "EC2Resource3","type": "Ec2Resource","securityGroupIds" : [ "#{mySrcSecGroupID}","#{myBackupSecGroupID}" ],"subnetId": "#{mySubnetID}","associatePublicIpAddress": "true"},

• Cree una actividad de canalización de datos adicional para cada nodo adicional (en este caso, laactividad RestorePart3). Asegúrese de configurar las secciones siguientes:• Actualice la referencia runsOn para que apunte al EC2Resource creado anteriormente (en este

ejemplo, EC2Resource3).• Aumente los dos últimos valores scriptArgument para igualar la parte de backup que es

responsabilidad de cada nodo y el número total de nodos. Para "2" y "3" en el siguiente ejemplo,la parte de copia de seguridad es "3" para el nodo cuarto porque en este ejemplo nuestra lógica delmódulo debe contar a partir de 0.

{"id": "RestorePart3","name": "RestorePart3","runsOn": {"ref": "EC2Resource3"},"command": "wget https://raw.githubusercontent.com/awslabs/data-pipeline-samples/master/samples/EFSBackup/efs-restore-rsync.sh\nchmod a+x efs-restore-rsync.sh\n./efs-backup-rsync.sh $1 $2 $3 $4 $5 $6 $7","scriptArgument": ["#{myEfsSource}","#{myEfsBackup}", "#{myInterval}", "#{myBackup}","#{myEfsID}", "2", "3"],"type": "ShellCommandActivity","dependsOn": {"ref": "InitBackup"},"stage": "true"},

• Incremente el último valor en todos los valores scriptArgument existentes al número de nodos (eneste ejemplo, "3").

{"id": "RestorePart1",..."scriptArgument": ["#{myEfsSource}","#{myEfsBackup}", "#{myInterval}", "#{myBackup}","#{myEfsID}", "1", "3"],...},{"id": "RestorePart2",..."scriptArgument": ["#{myEfsSource}","#{myEfsBackup}", "#{myInterval}", "#{myBackup}","#{myEfsID}", "0", "3"],...},

Alojamiento de los scripts rsync en un bucket de Amazon S3Esta solución de backup depende de la ejecución de scripts rsync que están alojados en un repositoriode GitHub en Internet. Por lo tanto, esta solución de backup está sujeta a que el repositorio de GitHubesté disponible. Este requisito significa que si el repositorio de GitHub elimina estos scripts o si el sitio

318


web de GitHub pierde la conexión por algún motivo, la solución de copia de seguridad tal como se haimplementado anteriormente no funciona.

Si prefiere eliminar esta dependencia de GitHub, puede elegir alojar los scripts en un bucket de Amazon S3que posea en su lugar. A continuación se describen los pasos necesarios para alojar los scripts.

Para alojar los scripts rsync en su propio bucket de Amazon S3

1. Regístrese en AWS: si ya tiene una cuenta de AWS, continúe y vaya al siguiente paso. De lo contrario,consulte Suscríbase a AWS (p. 9).

2. Cree un usuario de AWS Identity and Access Management: si ya tiene un usuario de IAM, continúe yvaya al siguiente paso. De lo contrario, consulte Creación de un usuario de IAM (p. 9).

3. Cree un bucket de Amazon S3: si ya dispone de un bucket donde desea alojar los scripts rsync,continúe y vaya al siguiente paso. De lo contrario, consulte Crear un bucket en la Guía de introduccióna Amazon Simple Storage Service.

4. Descargue las plantillas y los scripts rsync: descargue todos los scripts rsync y las plantillas en lacarpeta EFSBackup de GitHub. Anote la ubicación de su equipo en la que ha descargado estosarchivos.

5. Cargue los scripts rsync al bucket de S3: para obtener instrucciones acerca de cómo cargar objetos enel bucket de S3, consulte Añadir un objeto a un bucket en la Guía de introducción a Amazon SimpleStorage Service.

6. Cambie los permisos de los scripts rsync cargados para que Everyone (Cualquiera) los pueda Open/Download (Abrir/Descargar). Para obtener instrucciones acerca de cómo cambiar los permisos de unobjeto en el bucket de S3, consulte Editar permisos de objeto en la Guía del usuario de la consola deAmazon Simple Storage Service.

319

https://docs.aws.amazon.com/AmazonS3/latest/gsg/CreatingABucket.html

https://github.com/awslabs/data-pipeline-samples/tree/master/samples/EFSBackup

https://docs.aws.amazon.com/AmazonS3/latest/gsg/PuttingAnObjectInABucket.html

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/EditingPermissionsonanObject.html

Amazon Elastic File System Guía del usuarioMontaje de sistemas de archivos

sin el ayudante de montaje de EFS

7. Actualice las plantillas: modifique la declaración wget en el parámetro shellCmd para apuntar albucket de Amazon S3 en el que coloca el script de startup. Guarde la plantilla actualizada y utilicedicha plantilla cuando esté siguiendo el procedimiento en Paso 3: Crear una canalización de datospara backups (p. 312).

Note

Le recomendamos que limite el acceso al bucket de Amazon S3 para incluir la cuenta de IAMque activa el AWS Data Pipeline para esta solución de copia de seguridad. Para obtener másinformación, consulte Edición de permisos de bucket en la Guía del usuario de la consola deAmazon Simple Storage Service.

Ahora está alojando estos scripts rsync para esta solución de backup y los backups ya no dependen de ladisponibilidad de GitHub.

Montaje de sistemas de archivos sin el ayudante demontaje de EFS

Note

Esta sección contiene información para montar un sistema de archivos de Amazon EFS sinel paquete amazon-efs-utils. Para utilizar el cifrado de datos en tránsito con el sistema dearchivos, debe montar el sistema de archivos con TLS (Transport Layer Security). Y para hacerlo,recomendamos que utilice el paquete amazon-efs-utils. Para obtener más información, consulteUso de las herramientas amazon-efs-utils (p. 44)

A continuación se ofrece información acerca de cómo instalar el cliente Network File System (NFS) ymontar el sistema de archivos de Amazon EFS en una instancia Amazon EC2. También puede encontraruna explicación sobre el comando mount y las opciones disponibles para especificar el sistema denombres de dominio (DNS) de su sistema de archivos en el comando mount. Además, puede encontrarinformación acerca de cómo utilizar el archivo fstab para volver a montar automáticamente el sistema dearchivos después de los reinicios del sistema.

Note

Antes de poder montar un sistema de archivos, debe crear, configurar y lanzar los recursos deAWS relacionados. Para obtener instrucciones detalladas, consulte Introducción a Amazon ElasticFile System (p. 12).

Temas• Compatibilidad con NFS (p. 320)• Instalación del cliente NFS (p. 321)• Opciones recomendadas de montaje NFS (p. 323)• Montaje en Amazon EC2 con un nombre de DNS (p. 324)• Montaje con una dirección IP (p. 325)

Compatibilidad con NFSAmazon EFS es compatible con los protocolos de las versiones 4.0 y 4.1 de Network File System (NFSv4)a la hora de montar los sistemas de archivos en instancias Amazon EC2. Aunque NFSv4.0 es compatible,

320

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/EditingBucketPermissions.html

Amazon Elastic File System Guía del usuarioInstalación del cliente NFS

le recomendamos que utilice NFSv4.1. Montar el sistema de archivos de Amazon EFS en la instanciaAmazon EC2 también requiere que un cliente NFS sea compatible con el protocolo NFSv4 elegido.

Para obtener un desempeño óptimo y evitar diversos errores conocidos del cliente NFS, le recomendamostrabajar con un kernel de Linux reciente. Si utiliza una distribución de Linux empresarial, le recomendamoslo siguiente:

• Amazon Linux 2• Amazon Linux 2015.09 o posterior• RHEL 7.3 o posterior• RHEL 6.9 con kernel 2.6.32-696 o posterior• Todas las versiones de Ubuntu 16.04• Ubuntu 14.04 con kernel 3.13.0-83 o posterior• SLES 12 Sp2 o posterior

Si utiliza otra distribución o un kernel personalizado, le recomendamos la versión de kernel 4.3 o posterior.

Note

RHEL 6.9 podría ser inadecuado para determinadas cargas de trabajo debido a Rendimiento bajoal abrir muchos archivos en paralelo (p. 191).

Note

No se admite el uso de Amazon EFS con instancias Amazon EC2 basadas en Microsoft Windows.

Solución de problemas de versiones de kernel y AMIPara solucionar problemas relacionados con determinadas versiones de AMI o kernel al utilizar AmazonEFS desde una instancia EC2, consulte Solución de problemas de AMI y de kernel (p. 195).

Instalación del cliente NFSPara montar el sistema de archivos de Amazon EFS en la instancia Amazon EC2, primero tiene queinstalar un cliente NFS. Para conectarse a la instancia de EC2 e instalar un cliente NFS, necesita elnombre de DNS público de la instancia EC2 y un nombre de usuario para iniciar sesión. Ese nombre deusuario para la instancia suele ser ec2-user.

Para conectar la instancia EC2 e instalar el cliente NFS

1. Conéctese a su instancia EC2. Tenga en cuenta lo siguiente en relación con la conexión a la instancia:

• Para conectarse a la instancia desde un equipo que ejecute macOS o Linux, especifique elarchivo.pem a su cliente SSH (Secure Shell) con la opción -i y la ruta a su clave privada.

• Para conectarse a la instancia desde un equipo que ejecuta Windows, puede utilizar MindTerm oPuTTY. Si pretende utilizar PuTTY, debe instalarlo y utilizar el siguiente procedimiento para convertirel archivo.pem a un archivo.ppk.


• Conexión a la instancia Linux desde Windows utilizando PuTTY• Conexión a la instancia Linux utilizando SSH

321



Amazon Elastic File System Guía del usuarioInstalación del cliente NFS

El archivo de claves no puede ser visible públicamente para SSH. Puede utilizar el comando chmod400 nombre de archivo.pem para establecer estos permisos. Para obtener más información,consulte la sección Crear un par de claves.

2. (Opcional) Obtener actualizaciones y reiniciar.

$ sudo yum -y update $ sudo reboot

3. Tras el reinicio, vuelva a conectarse a su instancia EC2.4. Instale el cliente NFS.

Si utiliza una AMI de Amazon Linux o una AMI de Red Hat Linux, instale el cliente NFS con elsiguiente comando.


Si está utilizando una AMI de Amazon EC2 de Ubuntu, instale el cliente NFS con el siguientecomando.

$ sudo apt-get -y install nfs-common

5. Inicie el servicio NFS con el siguiente comando.

$ sudo service nfs start

6. Compruebe que se inició el servicio NFS, como se indica a continuación.

$ sudo service nfs statusRedirecting to /bin/systemctl status nfs.service# nfs-server.service - NFS server and services Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; disabled; vendor preset: disabled) Active: active (exited) since Wed 2019-10-30 16:13:44 UTC; 5s ago Process: 29446 ExecStart=/usr/sbin/rpc.nfsd $RPCNFSDARGS (code=exited, status=0/SUCCESS) Process: 29441 ExecStartPre=/bin/sh -c /bin/kill -HUP `cat /run/gssproxy.pid` (code=exited, status=0/SUCCESS) Process: 29439 ExecStartPre=/usr/sbin/exportfs -r (code=exited, status=0/SUCCESS) Main PID: 29446 (code=exited, status=0/SUCCESS) CGroup: /system.slice/nfs-server.service

Si utiliza un kernel personalizado (es decir, si crea una AMI personalizada), debe incluir como mínimoel módulo de kernel del cliente NFSv4.1 y el ayudante de montaje de espacio de usuarios de NFS4adecuado.

Note

Si elige la AMI de Amazon Linux 2016.03.0 o la AMI de Amazon Linux 2016.09.0 al lanzar lainstancia Amazon EC2, no tendrá que instalar nfs-utils porque ya está incluido en la AMI deforma predeterminada.

Siguiente: Montaje del sistema de archivos

Utilice uno de los siguientes procedimientos para montar su sistema de archivos.

• Montaje en Amazon EC2 con un nombre de DNS (p. 324)

322

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/get-set-up-for-amazon-ec2.html#create-a-key-pair

Amazon Elastic File System Guía del usuarioOpciones recomendadas de montaje NFS

• Montaje con una dirección IP (p. 325)• Cómo montar el sistema de archivos de Amazon EFS automáticamente (p. 72)

Opciones recomendadas de montaje NFSLe recomendamos los siguientes valores predeterminados de opciones de montaje de Linux:

• rsize=1048576:– defina el número máximo de bytes de datos que el cliente NFS puede recibir paracada solicitud de red READ. Este valor se aplica al leer los datos desde un archivo en un sistema dearchivos de EFS. Le recomendamos que utilice el mayor tamaño posible (hasta 1048576) para evitar unrendimiento reducido.

• wsize=1048576:– defina el número máximo de bytes de datos que el cliente NFS puede enviar paracada solicitud de red WRITE. Este valor se aplica al escribir datos en un archivo en un sistema dearchivos de EFS. Le recomendamos que utilice el mayor tamaño posible (hasta 1048576) para evitar unrendimiento reducido.

• hard:– Establece el comportamiento de recuperación del cliente NFS después de que se agote eltiempo de espera de una solicitud NFS, de modo que las solicitudes de NFS se vuelven a intentarindefinidamente hasta que el servidor responde. Le recomendamos que utilice la opción de montajeforzado (hard) para garantizar la integridad de los datos. Si utiliza un montaje soft, establezca elparámetro timeo en al menos 150 décimas de segundo (15 segundos). De esta forma, ayuda a reducirel riesgo de daño en los datos que es inherente con montajes flexibles.

• timeo=600:– establece el valor de tiempo de espera que utiliza el cliente NFS para esperar unarespuesta antes de que vuelva a intentar una solicitud NFS en 600 décimas de segundo (60 segundos).Si debe cambiar el parámetro de tiempo de espera (timeo), le recomendamos que utilice un valor de almenos 150, lo que equivale a 15 segundos. De esta forma, ayuda a evitar un rendimiento reducido.

• retrans=2:– establece en 2 el número de veces que el cliente de NFS reintenta una solicitud antes deintentar una acción de recuperación adicional.

• noresvport:– indica al cliente NFS que utilice un nuevo puerto de origen de protocolo de control detransmisión (TCP) cuando se restablece la conexión a la red. Esto ayuda a garantizar que el sistema dearchivos de EFS tiene una disponibilidad ininterrumpida después de un evento de recuperación de red.

• _netdev:– cuando está presente en /etc/fstab, impide que el cliente intente montar el sistema dearchivos de EFS hasta que se haya habilitado la red.

Si no utiliza los valores predeterminados anteriores, tenga en cuenta lo siguiente:

• En general, evite configurar otras opciones de montaje que sean diferentes de los valorespredeterminados, lo que puede provocar una reducción del rendimiento y otros problemas. Por ejemplo,cambiar el tamaño del búfer de lectura o escritura, o deshabilitar el almacenamiento en caché deatributos puede reducir el rendimiento.

• Amazon EFS ignora los puertos de origen. Si cambia los puertos de origen de Amazon EFS, no tieneningún efecto.

• Amazon EFS no admite ninguna de las variantes de seguridad de Kerberos. Por ejemplo, el siguientecomando de montaje devuelve un error.

$ mount -t nfs4 -o krb5p <DNS_NAME>:/ /efs/

• Le recomendamos que monte el sistema de archivos utilizando su nombre de DNS. Este nombre seresuelve en una dirección IP del destino de montaje de Amazon EFS en la misma zona de disponibilidadque su instancia Amazon EC2. Si utiliza el destino de montaje en una zona de disponibilidad distinta dela de su instancia Amazon EC2, incurre en cargos de EC2 estándar para datos enviados entre zonas dedisponibilidad. También podría ver latencias más elevadas para las operaciones del sistema de archivos.

• Para más opciones de montaje y explicaciones detalladas de las opciones predeterminadas, consulte laspáginas man fstab y man nfs en la documentación de Linux.

323

http://man7.org/linux/man-pages/man5/fstab.5.html

https://linux.die.net/man/5/nfs

Amazon Elastic File System Guía del usuarioMontaje en Amazon EC2 con un nombre de DNS

Note

Si su instancia EC2 tiene que iniciarse independientemente del estado de su sistema de archivosde EFS montado, añada la opción nofail a la entrada de su sistema de archivos en el archivo /etc/fstab.

Montaje en Amazon EC2 con un nombre de DNS• Nombre DNS del sistema de archivos: utilizar el nombre DNS del sistema de archivos es la opción de

montaje más sencilla. El nombre DNS del sistema de archivos resuelve automáticamente la dirección IPde un destino de montaje en la zona de disponibilidad de la conexión de instancia Amazon EC2. Puedeobtener el nombre DNS desde la consola, o si tiene el ID del sistema de archivos, puede construirlomediante la siguiente convención.


Note

La resolución DNS requiere que el sistema de archivos Amazon EFS tenga un destino demontaje en la misma zona de disponibilidad que la instancia del cliente.

Con el nombre DNS del sistema de archivos, puede montar un sistema de archivos en su instanciaAmazon EC2 con el siguiente comando.

sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport file-system-id.efs.aws-region.amazonaws.com:/ efs-mount-point

• Nombre DNS de destino de montaje: en diciembre de 2016, presentamos los nombres DNS de sistemasde archivos. Seguimos proporcionando un nombre DNS para cada destino de montaje de las zonas dedisponibilidad para compatibilidad con versiones anteriores. La forma genérica de un nombre DNS dedestino de montaje es la siguiente.

availability-zone.file-system-id.efs.aws-region.amazonaws.com

En algunos casos, es posible que elimine un destino de montaje y que cree otro nuevo en la misma zonade disponibilidad. En este caso, el nombre DNS para ese nuevo destino de montaje en dicha zona dedisponibilidad es el mismo que el nombre DNS del antiguo destino de montaje.

Para obtener la lista de las regiones de AWS que admite Amazon EFS, consulte Amazon Elastic FileSystem en la AWS General Reference.

Para poder utilizar un nombre DNS en el comando mount, se debe cumplir lo siguiente:

• La instancia EC2 que se conecta debe estar dentro de una VPC y se debe configurar para utilizar elservidor DNS proporcionado por Amazon. Para obtener más información sobre el servidor DNS deAmazon, consulte Conjuntos de opciones de DHCP en la Guía del usuario de Amazon VPC.

• La VPC de la instancia EC2 de conexión debe tener habilitados la resolución de DNS y los nombresde host DNS. Para obtener más información, consulte Visualización de nombres de host DNS para suinstancia EC2 en la Guía del usuario de Amazon VPC.

• La instancia EC2 que se conecta debe estar dentro de la misma VPC que el sistema de archivos deEFS. Para obtener más información acerca del acceso a y del montaje de un sistema de archivos desdeotra ubicación o desde una VPC diferente, consulte Tutorial: Crear y montar un sistema de archivos localcon AWS Direct Connect y una VPN (p. 133) y Tutorial: Montar un sistema de archivos desde una VPCdistinta (p. 140).

324






Amazon Elastic File System Guía del usuarioMontaje con una dirección IP

Note

Le recomendamos que espere 90 segundos después de crear un destino de montaje antes demontar el sistema de archivos. Esta espera permite que los registros DNS se propagan totalmenteen la región de AWS donde se encuentra el sistema de archivos.

Montaje con una dirección IPComo alternativa al montaje de su sistema de archivos de Amazon EFS con el nombre DNS, las instanciasAmazon EC2 pueden montar un sistema de archivos mediante una dirección IP del montaje de destino.El montaje por dirección IP funciona en entornos donde DNS está deshabilitado, tales como VPC connombres de host DNS deshabilitados y el montaje de EC2-Classic mediante ClassicLink. Para obtener másinformación sobre ClassicLink, consulte ClassicLink en la Guía del usuario de Amazon EC2 para instanciasde Linux.

También puede configurar el montaje de un sistema de archivos mediante la dirección IP de destino demontaje como una opción de reserva para aplicaciones configuradas para montar el sistema de archivosutilizando su nombre de DNS de forma predeterminada. Al conectar a una dirección IP de destino demontaje, las instancias EC2 deben montar utilizando la dirección IP del destino de montaje en la mismazona de disponibilidad de la instancia que se conecta.

Puede obtener la dirección IP del destino de montaje para su sistema de archivos de EFS a través de laconsola utilizando el siguiente procedimiento.

Para obtener la dirección IP del destino de montaje para su sistema de archivos EFS

1. Abra la consola de Amazon Elastic File System en https://console.aws.amazon.com/efs/.2. Elija el valor Name (Nombre) del sistema de archivos de EFS para File systems (Sistemas de

archivos).3. En la tabla Mount targets (Destinos de montaje), identifique la Availability Zone (Zona de

disponibilidad) que desea utilizar para montar el sistema de archivos de EFS en la instancia EC2.4. Anote la IP address (Dirección IP) asociada a la Availability Zone (Zona de disponibilidad) elegida.

325

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html


Amazon Elastic File System Guía del usuarioMontaje con una dirección IP

Puede especificar la dirección IP de un destino de montaje en el comando mount, tal y como se muestra acontinuación.

$ sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport mount-target-IP:/ ~/efs-mount-point

Montaje con una dirección IP en AWS CloudFormationTambién puede montar el sistema de archivos usando una dirección IP en una plantilla de AWSCloudFormation. Para obtener más información, consulte storage-efs-mountfilesystem-ip-addr.config en elrepositorio awsdocs/elastic-beanstalk-samples para obtener archivos de configuración proporcionados porla comunidad en GitHub.

326

https://github.com/awsdocs/elastic-beanstalk-samples/blob/master/configuration-files/community-provided/instance-configuration/storage-efs-mountfilesystem-ip-addr.config


Historial de revisiones• Versión de la API: 01-02-2015• Última actualización de la documentación: 8 de julio de 2020

En la siguiente tabla se describen cambios importantes introducidos en la Guía del usuario de AmazonElastic File System a partir de julio de 2018. Para obtener notificaciones sobre las actualizaciones de ladocumentación, puede suscribirse a la fuente RSS.

update-history-change update-history-description update-history-date

Ya está disponible la nuevaconsola de administración deAmazon EFS (p. 327)

La nueva consola de EFSfacilita el uso de Amazon EFS ysimplifica la administración de lossistemas de archivos de EFS.

July 8, 2020

Se ha añadido compatibilidadcon las copias de seguridaddiarias automáticas de lossistemas de archivos de AmazonEFS (p. 327)

Las copias de seguridaddiarias automáticas ahoraestán habilitadas de formapredeterminada al crear unsistema de archivos mediante laconsola de EFS. Para obtenermás información, consulte Usode AWS Backup con AmazonEFS.

July 8, 2020

Quick Create (Creación rápida)de EFS simplifica la creación desistemas de archivos de AmazonEFS (p. 327)

Gracias a la opción Quick Create(Creación rápida) de la consolade EFS, puede crear un sistemade archivos de EFS mediantela configuración recomendadadel servicio con un solo botón.Para obtener más información,consulte Crear un sistema dearchivos de Amazon EFS.

July 8, 2020

Aumento del rendimiento de lossistemas de archivos en modo deuso general (p. 327)

Los sistemas de archivos delmodo de uso general de AmazonEFS admiten ahora hasta untotal de 35 000 operaciones delectura por segundo, un aumentodel 400 % respecto al límiteanterior de 7000. Para obtenermás información, vea Cuotaspara los sistemas de archivos deAmazon EFS.

April 1, 2020

Añadida compatibilidad con másregiones de AWS (p. 327)

Amazon EFS ya está disponiblepara todos los usuarios delas regiones de AWS Pekín yNingxia.

January 22, 2020

327

https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html



https://docs.aws.amazon.com/efs/latest/ug/gs-step-two-create-efs-resources.html

https://docs.aws.amazon.com/efs/latest/ug/gs-step-two-create-efs-resources.html

https://docs.aws.amazon.com/efs/latest/ug/limits.html#limits-fs-specific




Se ha añadido compatibilidadpara la autorización de IAM paraclientes de NFS (p. 327)

Ahora puede usar AWS Identityand Access Management (IAM)para administrar el accesoNFS a un sistema de archivosAmazon EFS. Para obtenermás información, consulte Usode AWS IAM para controlar elacceso de NFS a Amazon EFS.

January 13, 2020

Se ha agregado soporte parala restauración parcial de AWSBackup. (p. 327)

Ahora puede restaurar archivos ydirectorios específicos medianteuna restauración parcial,además de restaurar un puntode recuperación completo.Para obtener más información,consulte Uso de AWS Backupcon Amazon EFS.

January 13, 2020

Compatibilidad añadida paralos puntos de acceso deEFS (p. 327)

Los puntos de acceso deAmazon EFS son puntos deentrada específicos de laaplicación en un sistema dearchivos Amazon EFS quefacilitan la administración delacceso de las aplicaciones aconjuntos de datos compartidos.Para obtener más información,consulte Trabajo con puntos deacceso de Amazon EFS.

January 13, 2020

Se añadió compatibilidad pararoles vinculados a servicios deIAM (p. 327)

Ahora Amazon EFS utilizaun rol vinculado a serviciosbasado en IAM, lo que facilita laconfiguración de EFS mediantela adición automática de lospermisos necesarios. Paraobtener más información,consulte Uso de roles vinculadosa servicios para Amazon EFS.

December 10, 2019


Amazon EFS ya está disponiblepara todos los usuarios dela región de AWS Europa(Estocolmo).

November 20, 2019


Amazon EFS ya está disponiblepara todos los usuarios de laregión de AWS Asia Pacífico(Hong Kong).

November 20, 2019


Amazon EFS ya está disponiblepara todos los usuarios de laregión de AWS América del Sur(São Paulo).

November 20, 2019

328

https://docs.aws.amazon.com/efs/latest/ug/iam-access-control-nfs-efs.html







https://docs.aws.amazon.com/efs/latest/ug/using-service-linked-roles.html

https://docs.aws.amazon.com/efs/latest/ug/using-service-linked-roles.html



Amazon EFS ya está disponiblepara todos los usuarios de laregión de AWS Medio Oriente(Baréin).

November 20, 2019

Nueva política de administracióndel ciclo de vida de 7 díasañadida (p. 327)

La administración del ciclode vida cuenta ahora conuna política adicional paramover datos a la clase dealmacenamiento rentable deacceso infrecuente despuésde 7 días. Para obtenermás información, consulteAdministración del ciclo de vidade EFS.

November 6, 2019

Se ha añadido compatibilidadpara los puntos de enlace de laVPC de tipo interfaz (p. 327)

Puede establecer una conexiónprivada entre la nube virtualprivada y Amazon EFS parallamar a la API de EFS. Paraobtener más información,consulte Trabajo con puntos deenlace de la VPC.

October 22, 2019

Monte un sistema de archivosde EFS al lanzar una nuevainstancia EC2. (p. 327)

Ahora puede configurar nuevasinstancias Amazon EC2 paraque monten sus sistemas dearchivos de EFS al iniciarseen el Asistente de la instanciade lanzamiento de EC2. Paraobtener más información,consulte Paso 2. Crear susrecursos de EC2 y lanzar lainstancia &EC2;.

October 17, 2019

Se ha añadido soporte a lascuotas de servicio (p. 327)

Ahora puede ver todos los límitesde Amazon EFS en la consola decuotas de servicio. Para obtenermás información, consulteLímites de Amazon EFS.

September 10, 2019

Nuevas políticas deadministración del ciclo de vidaañadidas (p. 327)

Ahora, al utilizar la administracióndel ciclo de vida, puede elegiruna de las cuatro políticas deciclo de vida para definir cuándose pasan los archivos a la clasede almacenamiento de Accesopoco frecuente, más rentable.Para obtener más información,consulte Administración del ciclode vida de EFS.

July 9, 2019

329



https://docs.aws.amazon.com/efs/latest/ug/VPC-endpoints.html

https://docs.aws.amazon.com/efs/latest/ug/VPC-endpoints.html

https://docs.aws.amazon.com/efs/latest/ug/gs-step-one-create-ec2-resources.html



https://docs.aws.amazon.com/efs/latest/ug/limits.html




Administración del ciclo de vidade EFS ahora disponible entodos los sistemas de archivosde EFS. (p. 327)

La característica Administracióndel ciclo de vida de EFS estáahora disponible en todos lossistemas de archivos de EFS.Se ha eliminado una restricciónanterior basada en la fechaen la que se creó un sistemade archivos. Para obtenermás información, consulteAdministración del ciclo de vidade EFS.

July 9, 2019


Amazon EFS ahora estádisponible para todos losusuarios en la región AWSEuropa (París).

June 12, 2019


Amazon EFS ahora estádisponible para todos losusuarios en la región AWS AsiaPacífico (Mumbai).

June 5, 2019


Amazon EFS ya está disponiblepara todos los usuarios en laregión de AWS Canadá (Central).

May 1, 2019

Actualización de la API: lasetiquetas ahora forman partede la carga de la operaciónCreateFileSystem. (p. 327)

Ahora puede incluir etiquetascuando utiliza la operaciónde la CLI y la API de AWSCreateFileSystem para crearun sistema de archivos deAmazon EFS. Para obtenermás información, consulteCreateFileSystem y Creación deun sistema de archivos mediantela CLI de AWS.

February 19, 2019

Nuevas características: clasede almacenamiento de accesopoco frecuente de EFS yadministración del ciclo de vidade EFS (p. 327)

El acceso poco frecuente deAmazon EFS es una clase dealmacenamiento económicapara los archivos a los queno se obtiene acceso confrecuencia. La administracióndel ciclo de vida de EFS cambiaautomáticamente los archivosdel almacenamiento estándaral almacenamiento de accesopoco frecuente. Para obtenermás información, consulte Clasesde almacenamiento de EFS.

February 13, 2019


Amazon EFS ya está disponiblepara todos los usuarios enla región de AWS Europa(Londres).

January 23, 2019

330



https://docs.aws.amazon.com/efs/latest/ug/API_CreateFileSystem.html

https://docs.aws.amazon.com/efs/latest/ug/creating-using-create-fs.html#creating-using-fs-part1-cli



https://docs.aws.amazon.com/efs/latest/ug/storage-classes.html

https://docs.aws.amazon.com/efs/latest/ug/storage-classes.html


Integración del servicioAWS Backup con AmazonEFS (p. 327)

Es posible realizar copias deseguridad de los sistemas dearchivos de Amazon EFS conAWS Backup, un servicio decopia de seguridad totalmenteadministrado, centralizado yautomatizado para crear copiasde seguridad de datos en variosservicios de AWS en la nube yen el entorno local. Para obtenermás información, consulte AWSBackup y EFS.

January 16, 2019

Se ha añadido soportede conexión de TransitGateway para sistemas dealmacenamiento local. (p. 327)

Los sistemas de archivosde Amazon EFS ahora sonaccesibles utilizando conexionesde Transit Gateway a sistemasde almacenamiento local.Para obtener más información,consulte Montaje de otra cuentao VPC y Tutorial: Montar unsistema de archivos desde unaVPC distinta.

December 6, 2018

La sincronización de archivosde EFS ahora forma parte delnuevo servicio AWS DataSync. (p. 327)

AWS DataSync es un serviciode transferencia de datosadministrado que simplifica lasincronización de gran cantidadde datos entre los sistemasdel almacenamiento local y losservicios de almacenamientode AWS. Para obtener másinformación, consulte TransferFiles from On-Premises FileSystems to Amazon EFS UsingAWS DataSync.

November 26, 2018

Se ha añadido compatibilidadcon la conexión VPN y lainterconexión con VPC entreregiones (p. 327)

Ya se puede acceder a AmazonEFS a través de conexiones deVPN e interconexiones con VPCentre regiones. Para obtener másinformación, consulte TransferFiles from On-Premises FileSystems to Amazon EFS UsingAWS DataSync.

October 23, 2018

Se ha añadido compatibilidadcon la conexión VPN y lainterconexión con VPC entreregiones (p. 327)

Ya se puede acceder a lossistemas de archivos de AmazonEFS a través de conexiones deVPN e interconexiones con VPCentre regiones. Para obtenermás información, consulte lassecciones Montaje desde otracuenta o VPC y Funcionamientode Amazon EFS con DirectConnect y VPN.

October 23, 2018

331



https://docs.aws.amazon.com/efs/latest/ug/manage-fs-access-vpc-peering.html


https://docs.aws.amazon.com/efs/latest/ug/efs-different-vpc.html



https://docs.aws.amazon.com/efs/latest/ug/gs-step-four-sync-files.html










https://docs.aws.amazon.com/efs/latest/ug/how-it-works.html#how-it-works-direct-connect





Amazon EFS ya está disponiblepara todos los usuarios en laregión de AWS Asia Pacífico(Singapur).

July 13, 2018

Presentación delmodo de desempeñoaprovisionado (p. 327)

Ahora puede aprovisionar eldesempeño para sistemas dearchivos nuevos o existentes conel nuevo modo de desempeñoaprovisionado. Para obtener másinformación, consulte Modos derendimiento.

July 12, 2018


Amazon EFS ya está disponiblepara todos los usuarios en laregión de AWS Asia Pacífico(Tokio).

July 11, 2018

En la siguiente tabla, se describen cambios importantes introducidos en la Guía del usuario de AmazonElastic File System anteriores a julio de 2018.

Cambio Descripción Fecha demodificación

Añadidacompatibilidad conmás regiones deAWS

Amazon EFS ya está disponible para todos los usuarios enla región de AWS Asia Pacífico (Seúl).

30 de mayo de 2018

Añadidacompatibilidadcon la matemáticamétrica deCloudWatch

Los cálculos de métricas permiten consultar variasmétricas de CloudWatch y usar expresiones matemáticaspara crear series temporales basadas en estas métricas.Para obtener más información, consulte Usar cálculos demétricas con Amazon EFS (p. 89).

4 de abril de 2018

Añadido el conjuntode herramientasde código abiertoamazon-efs-utilsy el cifrado enmovimiento

Las herramientas amazon-efs-utils son un conjunto dearchivos ejecutables de código abierto que simplificanaspectos del uso de Amazon EFS, por ejemplo, el montaje.No hay costo adicional para usar amazon-efs-utils y puededescargar estas herramientas de GitHub. Para obtenermás información, consulte Uso de las herramientasamazon-efs-utils (p. 44).

También en esta versión, Amazon EFS admite el cifradoen tránsito usando el túnel de TLS (Transport LayerSecurity). Para obtener más información, consulte Cifradode datos en EFS (p. 150).

4 de abril de 2018

Actualizadoslos límites delos sistemas dearchivos por regiónde AWS

Amazon EFS ha aumentado el límite del número desistemas de archivos de todas las cuentas de todas lasregiones de AWS. Para obtener más información, consulteCuotas de recursos (p. 186).

15 de marzo de2018

Añadidacompatibilidad con

Amazon EFS ya está disponible para todos los usuarios enla región de AWS EE.UU. Oeste (Norte de California).

14 de marzo de2018

332

https://docs.aws.amazon.com/efs/latest/ug/throughput-modes.html

https://docs.aws.amazon.com/efs/latest/ug/throughput-modes.html


Cambio Descripción Fecha demodificación

más regiones deAWS

Cifrado de datos enreposo

Amazon EFS ahora admite el cifrado de datos en reposo.Para obtener más información, consulte Cifrado de datosen EFS (p. 150).

14 de agosto de2017

Añadidacompatibilidad conmás regiones

Amazon EFS ya está disponible para todos los usuarios enla región Europa (Fráncfort).

20 de julio de 2017

Nombres de sistemade archivos queutilizan sistema denombres de dominio(DNS)

Amazon EFS ahora es compatible con nombres de DNSpara sistemas de archivos. Un nombre de DNS de unsistema de archivos resuelve automáticamente la direcciónIP de un destino de montaje en la zona de disponibilidadpara la conexión de instancia Amazon EC2. Para obtenermás información, consulte Montaje en Amazon EC2 con unnombre de DNS (p. 324).

20 de diciembre de2016

Mayorcompatibilidadcon etiquetaspara sistemas dearchivos

Amazon EFS ahora es compatible con 50 etiquetaspor sistema de archivos. Para obtener más informaciónsobre las etiquetas en Amazon EFS, consulte Administraretiquetas del sistema de archivos (p. 55).

29 de agosto de2016

Disponibilidadgeneral

Amazon EFS ya está disponible con carácter general paratodos los usuarios de las regiones US East (N. Virginia),EE.UU. Oeste (Oregón) y Europa (Irlanda).

28 de junio de 2016

Aumento del límitedel sistema dearchivos

El número de sistemas de archivos de Amazon EFS quese pueden crear por cada cuenta para cada región deAWS aumentó de 5 a 10.

21 de agosto de2015

Ejercicio deintroducciónactualizado

El ejercicio de introducción se ha actualizado parasimplificar el proceso de introducción.

17 de agosto de2015

Nueva guía Esta es la primera versión de la Guía del usuario deAmazon Elastic File System.

26 de mayo de 2015

333

Documents

Amazon Elastic File System · Opcional: Cifrado de datos en tránsito..... 133 Tutorial: Montar un sistema de archivos desde una VPC distinta ... Tutorial: Aplicar cifrado en reposo