本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 排除加密故障
**Topics**
+ [具有传输中数据加密的挂载失败](#mounting-tls-fails)
+ [具有传输中数据加密的挂载中断](#mounting-tls-interrupt)
+ [Encrypted-at-rest 无法创建文件系统](#unable-to-encrypt)
+ [无法使用的加密文件系统](#unusable-encrypt)
## 具有传输中数据加密的挂载失败
默认情况下,当您使用带有传输层安全性协议(TLS)的 Amazon EFS 挂载帮助程序时,它会强制执行主机名检查。某些系统不支持此功能,例如使用 Red Hat Enterprise Linux 或 CentOS 时。在这些情况下,挂载使用 TLS 的 EFS 文件系统会失败。
**要采取的操作**
我们建议您升级客户端上的 stunnel 版本以支持主机名检查。有关更多信息,请参阅 [升级 `stunnel`](upgrading-stunnel.md)。
## 具有传输中数据加密的挂载中断
在极少数情况下,客户端事件可能会导致到您的 Amazon EFS 文件系统的加密连接挂起或中断。
**要采取的操作**
如果到使用传输中数据加密的 Amazon EFS 文件系统的连接中断,请执行以下步骤:
1. 确保正在客户端上运行 stunnel 服务。
1. 确认正在客户端上运行监控程序应用程序 `amazon-efs-mount-watchdog`。您可以使用以下命令确定是否正在运行该应用程序:
```
ps aux | grep [a]mazon-efs-mount-watchdog
```
1. 检查您的支持日志。有关更多信息,请参阅 [获取支持日志](mount-helper-logs.md)。
1. (可选)您可以启用 stunnel 日志以及检查这些日志中的信息。您可以在 `/etc/amazon/efs/efs-utils.conf` 中更改日志配置以启用 stunnel 日志。但是,这样做需要卸载文件系统,然后使用挂载帮助程序重新挂载以使更改生效。
**重要**
启用 stunnel 日志可能会用完您的文件系统上的宝贵空间量。
如果中断仍在继续,请联系 Su AWS pport。
## Encrypted-at-rest 无法创建文件系统
您已尝试创建新的 encrypted-at-rest文件系统。但是,您会收到一条错误消息,提示该消息 AWS KMS 不可用。
**要采取的操作**
在极少数情况下,可能会发生此错误,这种情况在您中暂时 AWS KMS 不可用 AWS 区域。如果发生这种情况,请等待,直到 AWS KMS 恢复到完全可用状态,然后重试创建文件系统。
## 无法使用的加密文件系统
加密的文件系统持续返回 NFS 服务器错误。当 EFS 由于以下原因之一无法从中 AWS KMS 检索您的主密钥时,可能会发生这些错误:
+ 禁用了密钥。
+ 删除了密钥。
+ 撤销了 Amazon EFS 使用密钥的权限。
+ AWS KMS 暂时不可用。
**要采取的操作**
首先,确认 AWS KMS 密钥已启用。为此,您可以在控制台中查看这些密钥。有关更多信息,请参阅《AWS Key Management Service 开发人员指南**》中的[查看密钥](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html)。
如果未启用密钥,请将其启用。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》**中的[启用和禁用密钥](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)。
如果密钥处于待删除状态,该状态将禁用密钥。您可以取消删除,然后重新启用密钥。有关更多信息,请参阅《AWS Key Management Service 开发人员指南**》中的[计划和取消密钥删除](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-scheduling-key-deletion)。
如果密钥已启用,但仍然遇到问题,或者在重新启用密钥时遇到问题,请联系 Su AWS pport。