强制实施静态数据加密

加密对 I/O 延迟和吞吐量的影响微乎其微。加密和解密对用户、应用程序和服务都是透明的。所有数据和元数据在写入磁盘之前由 Amazon EFS 代表您进行加密，并在客户端读取之前先解密。您无需更改客户端工具、应用程序或服务即可访问加密的文件系统。

您的组织可能要求加密符合特定分类条件的所有数据，或者加密与特定应用程序、工作负载或环境关联的所有数据。您可以使用 AWS Identity and Access Management（IAM）基于身份的策略对 Amazon EFS 文件系统资源实施静态数据加密。使用 IAM 条件键，您可以避免用户创建未加密的 EFS 文件系统。

例如，明确允许用户仅创建加密的 EFS 文件系统的 IAM 策略使用以下效果、操作和条件组合：

Effect 为 Allow。
Action 为 elasticfilesystem:CreateFileSystem。
Condition elasticfilesystem:Encrypted 为 true。

以下示例演示了一个基于身份的 IAM 策略，该策略授权主体仅创建加密的文件系统。


{
  “Version”: “2012-10-17”,
  “Statement”: [
    {
      “Sid”: “VisualEditior0”,
      “Effect”: “Allow”,
      “Action”: “elasticfilesystem:CreateFileSystem”,
      “Condition”: {
        “Bool”: {
          “elasticfilesystem:Encrypted”: “true”
        }
      },
      “Resource”: “*”
    }
}

将 Resource 属性设置为 * 表示 IAM 策略适用于创建的所有 EFS 资源。您可以添加基于标签的其他条件属性，以便仅对具有数据分类需求的 EFS 资源子集强制使用该属性。

您还可以通过对组织中的所有 AWS 账户或组织单位使用服务控制策略，在 AWS Organizations 级别强制创建加密的 Amazon EFS 文件系统。有关 AWS Organizations 中的服务控制策略的更多信息，请参阅 AWS Organizations 用户指南中的服务控制策略。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

使用 AWS CLI 创建加密文件系统

创建要求加密所有 EFS 文件系统的 IAM 策略