# 暗号化ファイルシステムの作成 暗号化ファイルシステムは、AWS マネジメントコンソール、AWS CLI、Amazon EFS API、または AWS SDK を使用して作成できます。ファイルシステムの暗号化を有効にできるのは、作成時のみです。 Amazon EFS はキー管理のために AWS KMS と統合され、CMK を使用してファイルシステムを暗号化します。ファイル名、ディレクトリ名、ディレクトリコンテンツなどのファイルシステムメタデータは、AWS 管理の CMK を使用して暗号化および復号化されます。 ファイルやファイルデータのコンテンツは、お客様が選択した CMK を使用して暗号化および復号化されます。CMK は次の 3 つのタイプのいずれかです。 + Amazon EFS 用の AWS 管理の CMK + お客様の AWS アカウントからのカスタマー管理の CMK + 別の AWS アカウントからのカスタマー管理の CMK 組織は、CMK のアクセス制御と使用ポリシーだけでなく、作成、ローテーション、削除に関して完全な制御を必要とする社内ポリシーや規制ポリシーの対象になる場合があります。対象になる場合は、カスタマー管理の CMK の使用をお勧めします。対象にならない場合は、AWS 管理の CMK を使用できます。 すべてのユーザーが Amazon EFS の AWS 管理型 CMK を保有しています。そのエイリアスは `aws/elasticfilesystem` です。この CMK のキーポリシーは AWS によって管理され、お客様は変更できません。AWS 管理の CMK の作成と保存にコストは発生しません。 カスタマー管理の CMK を使用してファイルシステムを暗号化する場合は、所有するカスタマー管理の CMK のキーエイリアスを選択します。または、別のアカウントが所有するカスタマー管理の CMK の Amazon リソースネーム (ARN) を入力することもできます。お客様が所有するカスタマー管理の CMK を使って、キーを使用できるユーザーとサービスをキーポリシーとキー付与によって制御できます。 また、キーへのアクセスを無効化、再有効化、削除、または取り消すタイミングを選択することで、これらのキーの有効期間とローテーションを制御することもできます。他の AWS アカウントのキーへのアクセスを管理する方法については、**AWS KMS デベロッパーガイドの「[キーポリシーの変更](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html#key-policy-modifying-external-accounts)」を参照してください。 カスタマー管理の CMK を管理する方法の詳細は、**AWS KMS デベロッパーガイドの「[カスタマーマスターキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) (CMK)」を参照してください。 次のセクションでは、AWS マネジメントコンソールと AWS CLI を使用して、暗号化ファイルシステムを作成する方法について説明します。