Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengenkripsi data dalam perjalanan
<a name="encryption-in-transit"></a>

Amazon EFS mendukung enkripsi data dalam perjalanan dengan Transport Layer Security (TLS). Saat enkripsi data dalam perjalanan dinyatakan sebagai opsi pemasangan untuk sistem file EFS Anda, Amazon EFS membuat koneksi TLS yang aman dengan sistem file EFS Anda saat memasang sistem file Anda. Semua lalu lintas NFS dirutekan melalui koneksi terenkripsi ini.

## Cara kerja enkripsi dalam perjalanan
<a name="how-encrypt-transit"></a>

Sebaiknya gunakan EFS mount helper untuk memasang sistem file Anda karena menyederhanakan proses pemasangan dibandingkan dengan pemasangan dengan NFS. `mount` EFS mount helper mengelola proses dengan menggunakan efs-proxy (untuk efs-utils versi 2.0.0 dan yang lebih baru) atau stunnel (untuk efs-utils versi sebelumnya) untuk membuat koneksi TLS aman dengan sistem file EFS Anda.

Jika Anda tidak menggunakan mount helper, Anda masih dapat mengaktifkan enkripsi data dalam perjalanan. Berikut ini adalah langkah-langkah untuk melakukannya.

**Untuk mengaktifkan enkripsi data dalam perjalanan tanpa menggunakan mount helper**

1. Unduh dan instal`stunnel`, dan catat port yang sedang didengarkan aplikasi. Untuk informasi selengkapnya, lihat [Upgrade `stunnel`](upgrading-stunnel.md). 

1. Jalankan `stunnel` untuk terhubung ke sistem file EFS Anda di port 2049 menggunakan TLS.

1. Menggunakan klien NFS, mount`localhost:port`, di `port` mana port yang Anda catat pada langkah pertama.

Karena enkripsi data dalam transit dikonfigurasi berdasarkan per-koneksi, setiap mount yang dikonfigurasi memiliki `stunnel` proses khusus yang berjalan pada instance. Secara default, proses stunnel yang digunakan oleh mount helper mendengarkan pada port lokal antara 20049 dan 20449, dan terhubung ke Amazon EFS pada port 2049.

**catatan**  
Secara default, saat menggunakan EFS mount helper dengan TLS, ini memberlakukan penggunaan Online Certificate Status Protocol (OCSP) dan pemeriksaan nama host sertifikat. EFS mount helper menggunakan program stunnel untuk fungsionalitas TLS-nya. Beberapa versi Linux tidak menyertakan versi stunnel yang mendukung fitur TLS ini secara default. Saat menggunakan salah satu versi Linux tersebut, pemasangan sistem file EFS menggunakan TLS gagal.  
Setelah Anda menginstal amazon-efs-utils paket, untuk meningkatkan versi stunnel sistem Anda, lihat[Upgrade `stunnel`](upgrading-stunnel.md).  
 Untuk masalah dengan enkripsi, lihat[Enkripsi pemecahan masalah](troubleshooting-efs-encryption.md). 

Saat menggunakan enkripsi data dalam perjalanan, pengaturan klien NFS Anda diubah. Saat Anda memeriksa sistem file yang dipasang secara aktif, Anda melihat satu dipasang ke 127.0.0.1, atau`localhost`, seperti pada contoh berikut.

```
$ mount | column -t
127.0.0.1:/  on  /home/ec2-user/efs        type  nfs4         (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
```

Saat memasang dengan TLS dan EFS mount helper, Anda mengonfigurasi ulang klien NFS Anda untuk dipasang ke port lokal. EFS mount helper memulai `stunnel` proses klien yang mendengarkan di port lokal ini, dan `stunnel` membuka koneksi terenkripsi ke sistem file EFS menggunakan TLS. EFS mount helper bertanggung jawab untuk menyiapkan dan memelihara koneksi terenkripsi ini dan konfigurasi terkait.

Untuk menentukan ID sistem file Amazon EFS mana yang sesuai dengan titik pemasangan lokal mana, Anda dapat menggunakan perintah berikut. Ingatlah untuk mengganti *efs-mount-point* dengan jalur lokal tempat Anda memasang sistem file Anda.

```
grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1
```

Saat Anda menggunakan EFS mount helper untuk enkripsi data dalam perjalanan, itu juga membuat proses yang disebut`amazon-efs-mount-watchdog`. Proses ini memastikan bahwa setiap proses stunnel mount berjalan, dan menghentikan stunnel saat sistem file EFS dilepas. Jika karena alasan tertentu proses stunnel dihentikan secara tak terduga, proses pengawas memulai ulang.