本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 故障診斷加密
**Topics**
+ [以傳輸中的資料加密進行的掛載失敗](#mounting-tls-fails)
+ [以傳輸中的資料加密進行的掛載已中斷](#mounting-tls-interrupt)
+ [無法建立靜態加密檔案系統](#unable-to-encrypt)
+ [無法使用加密的檔案系統](#unusable-encrypt)
## 以傳輸中的資料加密進行的掛載失敗
預設情況下,當您使用 Amazon EFS 掛載協助程式搭配 Transport Layer Security (TLS) 時,它會強制執行主機名稱檢查。有些系統不支援此功能,例如當您使用 Red Hat Enterprise Linux 或 CentOS 時。在這些情況下,使用 TLS 來掛載 EFS 檔案系統會失敗。
**採取動作**
我們建議在您的用戶端升級 stunnel 版本以支援主機名稱檢查。如需詳細資訊,請參閱[升級 `stunnel`](upgrading-stunnel.md)。
## 以傳輸中的資料加密進行的掛載已中斷
您的 Amazon EFS 檔案系統已加密連線可能會因為用戶端事件而停止回應或中斷,這是有可能發生的事,但機率不高。
**採取動作**
如果您的以傳輸中的資料加密的 Amazon EFS 檔案系統連線被中斷,請執行以下步驟:
1. 請確認 stunnel 服務正在用戶端上執行。
1. 請確認監視程式應用程式 `amazon-efs-mount-watchdog` 正在用戶端上執行。此應用程式正在執行,您可以找出是否使用下列命令:
```
ps aux | grep [a]mazon-efs-mount-watchdog
```
1. 檢查您的支援日誌。如需詳細資訊,請參閱[取得支援日誌](mount-helper-logs.md)。
1. 或者,您也可以啟用您的 stunnel 日誌並檢查那些資訊。您可以在 `/etc/amazon/efs/efs-utils.conf` 中變更您的日誌組態以啟用 stunnel 日誌。然而如此一來,您就必須使用掛載協助程式卸載該檔案系統,然後再重新掛載以讓該變更生效。
**重要**
啟用 stunnel 日誌可能會在您的檔案系統佔用極大的空間。
如果中斷繼續,請聯絡 AWS Support。
## 無法建立靜態加密檔案系統
您已試過建立新的靜態加密檔案系統。不過,您會收到錯誤訊息,指出 AWS KMS 無法使用。
**採取動作**
在極少數情況下,可能會在您的 中 AWS KMS 暫時無法使用此錯誤 AWS 區域。如果發生這種情況,請等待 AWS KMS 恢復完整可用性,然後再試一次以建立檔案系統。
## 無法使用加密的檔案系統
加密檔案系統持續傳回 NFS 伺服器錯誤。當 EFS AWS KMS 因下列其中一個原因無法從 擷取主金鑰時,可能會發生這些錯誤:
+ 該金鑰已停用。
+ 該金鑰已刪除。
+ Amazon EFS 使用金鑰的許可已被撤銷。
+ AWS KMS 暫時無法使用。
**採取動作**
首先,確認 AWS KMS 金鑰已啟用。您可以在主控台中檢視金鑰是否已啟用。如需詳細資訊,請在《AWS Key Management Service 開發人員指南》**中的[檢視金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html)。
如果該金鑰未啟用,請將其啟用。如需詳細資訊,請參閱在《AWS Key Management Service 開發人員指南》**中的[啟用和停用金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)。
如果該金鑰正在等待刪除,則此狀態會停用金鑰。您可以取消刪除並重新啟用該金鑰。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[排程和取消金鑰刪除](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-scheduling-key-deletion)。
如果金鑰已啟用,而且您仍然遇到問題,或者如果您遇到重新啟用金鑰的問題,請聯絡 AWS Support。