结论

Amazon EFS 文件系统数据可以静态加密和传输中加密。您可以使用 CMK 对数据进行静态加密，使用 AWS KMS 控制和管理 CMK。创建加密文件系统非常简单，只需在 AWS 管理控制台的 Amazon EFS 文件系统创建向导中选中复选框，或者在 AWS CLI、AWS 开发工具包或 Amazon EFS API 中为 CreateFileSystem 操作添加一个参数。

您可以使用 AWS IAM 基于身份的策略和文件系统策略强制实施静态加密和传输中加密，以进一步增强安全要求并帮助满足合规性需求。使用加密的文件系统对服务、应用程序和用户也是透明的，对文件系统性能的影响微乎其微。您可以使用 EFS 挂载帮助程序在每个客户端上建立加密的 TLS 隧道，对客户端和挂载的 EFS 文件系统之间的所有 NFS 流量进行加密，从而对传输中的数据进行加密。您可以使用 IAM 身份策略对静态的 Amazon EFS 数据进行加密，也可以使用 EFS 文件系统策略对传输中的数据进行加密，无需额外付费。