As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Melhores práticas de criptografia para o Amazon EFS [Amazon Elastic File System (Amazon EFS)](https://docs.aws.amazon.com/efs/latest/ug/whatisefs.html) ajuda você a criar e configurar sistemas de arquivos compartilhados na Nuvem AWS. Considere as seguintes práticas recomendadas de criptografia para esse serviço: + Em AWS Config, implemente a regra [efs-encrypted-check](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) AWS gerenciada. Essa regra verifica se o Amazon EFS está configurado para criptografar os dados do arquivo usando AWS KMS. + Imponha a criptografia aos sistemas de arquivos do Amazon EFS criando um CloudWatch alarme da Amazon que monitora CloudTrail os registros de `CreateFileSystem` eventos e aciona um alarme se um sistema de arquivos não criptografado for criado. Para obter mais informações, consulte [Passo a passo: aplicar criptografia em um sistema de arquivos do Amazon EFS em repouso](https://docs.aws.amazon.com/efs/latest/ug/efs-enforce-encryption.html). + Monte o sistema de arquivos usando o [assistente de montagem do EFS](https://docs.aws.amazon.com/efs/latest/ug/efs-mount-helper.html). Isso configura e mantém um túnel TLS 1.2 entre o cliente e o serviço Amazon EFS e roteia todo o tráfego de Network File System (NFS) por esse túnel criptografado. O comando a seguir implementa o uso do TLS para criptografia em trânsito. ``` sudo mount -t efs  -o tls file-system-id:/ /mnt/efs ``` Para obter mais informações, consulte [Usar o assistente de montagem do EFS para montar sistemas de arquivos do EFS](https://docs.aws.amazon.com/efs/latest/ug/efs-mount-helper.html). + Usando AWS PrivateLink e implementando endpoints VPC de interface para estabelecer uma conexão privada entre e a API VPCs do Amazon EFS. Os dados em trânsito pela conexão VPN de e para o endpoint são criptografados. Para obter mais informações, consulte [Acessar um AWS service (Serviço da AWS) usando um endpoint da VPC de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html). + Use a chave de condição `elasticfilesystem:Encrypted` nas políticas baseadas em identidade do IAM para impedir que os usuários criem sistemas de arquivos do EFS que não sejam criptografados. Para obter mais informações, consulte [Usar o IAM para forçar a criação de sistemas de arquivos criptografados](https://docs.aws.amazon.com/efs/latest/ug/using-iam-to-enforce-encryption-at-rest.html). + As chaves do KMS usadas para criptografia do EFS devem ser configuradas para acesso com privilégios mínimos usando políticas de chaves baseadas em recursos. + Use a chave de condição `aws:SecureTransport` na política do sistema de arquivos do EFS para forçar o uso de TLS para clientes NFS ao conectar a um sistema de arquivos do EFS. Para obter mais informações, consulte [Criptografia de dados em trânsito em](https://docs.aws.amazon.com/whitepapers/latest/efs-encrypted-file-systems/encryption-of-data-in-transit.html) *Criptografando dados de arquivos com o Amazon Elastic File System* (AWS Whitepaper).