# Applicazione della crittografia dei dati a riposo La crittografia ha un effetto minimo sulla latenza e sul throughput di I/O. La crittografia e la decrittografia sono trasparenti per utenti, applicazioni e servizi. Tutti i dati e i metadati vengono crittografati da Amazon EFS per conto del cliente prima di essere scritti su disco e decrittografati prima di essere letti dai client. Non è necessario modificare gli strumenti, le applicazioni o i servizi client per accedere a un file system crittografato. Un'organizzazione potrebbe richiedere la crittografia di tutti i dati che soddisfano una determinata classificazione o sono associati a una determinata applicazione, carico di lavoro o ambiente. È possibile utilizzare [policy basate sull'identità](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) di [AWS Identity and Access Management](https://aws.amazon.com/iam) (IAM) per imporre la crittografia dei dati a riposo per le risorse del file system Amazon EFS. Utilizzando una chiave di condizione IAM, è possibile impedire agli utenti di creare file system EFS non crittografati. Ad esempio, una policy IAM che consente esplicitamente agli utenti di creare solo file system EFS crittografati utilizza la seguente combinazione di effetti, operazioni e condizioni: + Il valore del campo `Effect` è `Allow`. + Il valore del campo `Action` è `elasticfilesystem:CreateFileSystem`. + Il valore del campo `Condition elasticfilesystem:Encrypted` è `true`. L'esempio seguente illustra una policy basata sull'identità IAM che autorizza le entità alla sola creazione di file system crittografati. ``` { “Version”: “2012-10-17”, “Statement”: [ { “Sid”: “VisualEditior0”, “Effect”: “Allow”, “Action”: “elasticfilesystem:CreateFileSystem”, “Condition”: { “Bool”: { “elasticfilesystem:Encrypted”: “true” } }, “Resource”: “*” } } ``` L'attributo `Resource` impostato su `*` indica che la policy IAM si applica a tutte le risorse EFS create. È possibile aggiungere attributi condizionali aggiuntivi basati su tag per applicarli solo a un sottoinsieme di risorse EFS con esigenze di riservatezza dei dati. È anche possibile imporre la creazione di file system Amazon EFS crittografati a livello di AWS Organizations utilizzando policy di controllo dei servizi per tutti gli account AWS o le unità organizzative dell'organizzazione. Per ulteriori informazioni sulle policy di controllo dei servizi in AWS Organizations, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#orgs_manage_policies_scp) nella *Guida per gli utenti di AWS Organizations*.