Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Prácticas recomendadas de cifrado para Amazon EFS [Amazon Elastic File System (Amazon EFS)](https://docs.aws.amazon.com/efs/latest/ug/whatisefs.html) lo ayuda a crear y configurar sistemas de archivos compartidos en la Nube de AWS. Tenga en cuenta las siguientes prácticas recomendadas de cifrado para este servicio: + En AWS Config, implemente la regla [efs-encrypted-check](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) AWS administrada. Esta regla comprueba si Amazon EFS está configurado para cifrar los datos del archivo mediante AWS KMS. + Aplique el cifrado de los sistemas de archivos Amazon EFS mediante la creación de una CloudWatch alarma de Amazon que supervise CloudTrail los registros en busca de `CreateFileSystem` eventos y active una alarma si se crea un sistema de archivos sin cifrar. Para obtener más información, consulte [Tutorial: Aplicación del cifrado en un sistema de archivos de Amazon EFS en reposo](https://docs.aws.amazon.com/efs/latest/ug/efs-enforce-encryption.html). + Monte el sistema de archivos mediante el [ayudante de montaje de EFS](https://docs.aws.amazon.com/efs/latest/ug/efs-mount-helper.html). Esto configura y mantiene un túnel TLS 1.2 entre el cliente y el servicio Amazon EFS, y enruta todo el tráfico del sistema de archivos de red (NFS) a través de este túnel cifrado. El siguiente comando implementa el uso de TLS para el cifrado en tránsito. ``` sudo mount -t efs  -o tls file-system-id:/ /mnt/efs ``` A fin de obtener más información, consulte [Uso del ayudante de montaje de EFS para montar sistemas de archivos de EFS](https://docs.aws.amazon.com/efs/latest/ug/efs-mount-helper.html). + Uso AWS PrivateLink e implementación de puntos de enlace de VPC de interfaz para establecer una conexión privada entre y VPCs la API de Amazon EFS. Los datos en tránsito a través de la conexión de VPN hacia y desde el punto de conexión se encuentran cifrados. Para obtener más información, consulte [Acceso a un Servicio de AWS a través de un punto de conexión de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html). + Utilice la clave de condición `elasticfilesystem:Encrypted` en las políticas de IAM basadas en identidades para evitar que los usuarios creen sistemas de archivos de EFS que no se encuentren cifrados. Para obtener más información, consulte [Uso de IAM para imponer la creación de sistemas de archivos cifrados](https://docs.aws.amazon.com/efs/latest/ug/using-iam-to-enforce-encryption-at-rest.html). + Las claves de KMS utilizadas para el cifrado de EFS se deben configurar para un acceso con privilegios mínimos mediante políticas de claves basadas en recursos. + Utilice la clave de condición `aws:SecureTransport` de la política del sistema de archivos de EFS a fin de imponer el uso de TLS para los clientes de NFS cuando se conectan a un sistema de archivos de EFS. Para obtener más información, consulte [Cifrado de datos en tránsito](https://docs.aws.amazon.com/whitepapers/latest/efs-encrypted-file-systems/encryption-of-data-in-transit.html) en *Cifrado de datos de archivos con Amazon Elastic File System* (AWS documento técnico).