翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # Amazon EFS の暗号化のベストプラクティス [Amazon Elastic File System (Amazon EFS)](https://docs.aws.amazon.com/efs/latest/ug/whatisefs.html) は、 AWS クラウドでの共有ファイルシステムの作成と設定に役立ちます。 このサービスでは、以下の暗号化のベストプラクティスを検討してください。 + で AWS Config、[efs-encrypted-check](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) AWS マネージドルールを実装します。このルールは、Amazon EFS が を使用してファイルデータを暗号化するように設定されているかどうかを確認します AWS KMS。 + Amazon CloudWatch アラームを作成して Amazon EFS ファイルシステムの暗号化を強制します。ここでは CloudTrail ログで `CreateFileSystem` イベントを監視し、暗号化されていないファイルシステムが作成されるとアラームをトリガーします。詳細については、「[チュートリアル: 保管時に Amazon EFS ファイルシステムの暗号化を強制する](https://docs.aws.amazon.com/efs/latest/ug/efs-enforce-encryption.html)」を参照してください。。 + [EFS マウントヘルパー](https://docs.aws.amazon.com/efs/latest/ug/efs-mount-helper.html)を使用してファイルシステムをマウントする こうすることで、クライアントと Amazon EFS サービス間の TLS 1.2 トンネルが設定および維持され、すべてのネットワークファイルシステム (NFS) トラフィックがこの暗号化されたトンネルを介してルーティングされます。次のコマンドは、転送中の暗号化に TLS を使用する機能を実装します。 ``` sudo mount -t efs  -o tls file-system-id:/ /mnt/efs ``` 詳細については、「[EFS マウントヘルパーを使用して EFS ファイルシステムをマウントする](https://docs.aws.amazon.com/efs/latest/ug/efs-mount-helper.html)」を参照してください。 + を使用して AWS PrivateLink、インターフェイス VPC エンドポイントを実装し、VPCs と Amazon EFS API 間のプライベート接続を確立します。VPN 接続を介してエンドポイントへ、またはエンドポイントから転送されるデータが暗号化されます。詳細については、「[インターフェイス VPC エンドポイントを使用して AWS のサービス にアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」を参照してください。 + IAM ID ベースのポリシーの `elasticfilesystem:Encrypted` 条件キーを使用して、暗号化されていない EFS ファイルシステムをユーザーが作成できないようにします。詳細については、「[IAM を使用して暗号化されたファイルシステムの作成を強制する](https://docs.aws.amazon.com/efs/latest/ug/using-iam-to-enforce-encryption-at-rest.html)」を参照してください。 + EFS 暗号化に使用する KMS キーは、リソースベースのキーポリシーを使用して最小特権アクセスに設定する必要があります。 + EFS ファイルシステムポリシーの `aws:SecureTransport` 条件キーを使用して、EFS ファイルシステムへの接続時に、NFS クライアントに TLS を強制的に使用します。詳細については、「Amazon Elastic File System によるファイルデータの暗号化[https://docs.aws.amazon.com/whitepapers/latest/efs-encrypted-file-systems/encryption-of-data-in-transit.html](https://docs.aws.amazon.com/whitepapers/latest/efs-encrypted-file-systems/encryption-of-data-in-transit.html)」(AWS ホワイトペーパー) を参照してください。 * Amazon Elastic File System*