# 保管中のデータの暗号化を強制する 暗号化が I/O レイテンシーとスループットに与える影響は最小限です。暗号化と復号化は、ユーザーおよびアプリケーション、サービスに対して透過的です。すべてのデータとメタデータは、お客様の代わりに Amazon EFS によって、ディスクに書き込まれる前に暗号化され、クライアントから読み取られる前に復号化されます。暗号化ファイルシステムにアクセスするために、クライアントツールやアプリケーション、もしくはサービスを変更する必要はありません。 組織では、特定の分類に合致する、または特定のアプリケーションやワークロード、環境に関連するすべてのデータを暗号化する必要が生じる場合があります。Amazon EFS ファイルシステムリソースに対して、[AWS Identity and Access Management](https://aws.amazon.com/iam) (IAM) [ID ベースポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)を使用して保管中のデータの暗号化を強制できます。IAM 条件キーを使用すると、暗号化されていない EFS ファイルシステムがユーザーによって作成されるのを阻止できます。 たとえば、暗号化された EFS ファイルシステムのみの作成をユーザーに明示的に許可する IAM ポリシーでは、Effect (効果)、Action (アクション)、Condition (条件) を次のように組み合わせて使用します。 + `Effect` は、`Allow` です。 + `Action` は、`elasticfilesystem:CreateFileSystem` です。 + `Condition elasticfilesystem:Encrypted` は、`true` です。 次の例は、暗号化ファイルシステムのみを作成することをプリンシパルに許可する IAM ID ベースポリシーを示しています。 ``` { “Version”: “2012-10-17”, “Statement”: [ { “Sid”: “VisualEditior0”, “Effect”: “Allow”, “Action”: “elasticfilesystem:CreateFileSystem”, “Condition”: { “Bool”: { “elasticfilesystem:Encrypted”: “true” } }, “Resource”: “*” } } ``` `Resource` 属性が `*` に設定されている場合は、作成されるすべての EFS リソースに IAM ポリシーが適用されることを意味します。データ分類が必要な EFS リソースのサブセットにのみ IAM ポリシーを強制するために、タグに基づく条件付き属性を追加することができます。 また、組織内のすべての AWS アカウントまたは OU に対してサービスコントロールポリシーを使用することで、暗号化された Amazon EFS ファイルシステムを AWS Organizations レベルで作成するよう強制することも可能です。AWS Organizations のサービスコントロールポリシーの詳細は、**AWS Organizations ユーザーガイドの「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#orgs_manage_policies_scp)」を参照してください。