# 使用 Amazon Elastic File System 加密文件数据
<a name="efs-encrypted-file-systems"></a>

发布日期：**2021 年 2 月 22日**（[文档历史记录和贡献者](document-details.md)）

## 摘要
<a name="abstract"></a>

安全性是 AWS 的工作重点，我们为客户提供工具，将安全性作为他们企业中的头等大事。政府法规和行业或公司的合规性政策可能会要求使用加密策略、加密算法和适当的密钥管理，来保护不同分类的数据。本白皮书概述了加密 Amazon Elastic File System（Amazon EFS）的最佳实践。

## 介绍
<a name="introduction-section"></a>

 [Amazon Elastic File System](https://aws.amazon.com/efs)（Amazon EFS）在云中提供简单、可扩展、高度可用且具有高持久性的共享文件系统。您使用 Amazon EFS 创建的文件系统具有弹性，使它们可以在您添加和删除数据时自动扩展和缩减。它们的大小会增长到数 PB，从而将数据分布在多个可用区（AZ）中数量不受限制的存储服务器上。

存储在这些文件系统中的数据可以使用 Amazon EFS 进行静态和传输中加密。要对静态数据进行加密，您可以通过 AWS 管理控制台或 AWS Command Line Interface（AWS CLI）创建加密的文件系统。或者，您可以通过 Amazon EFS API 或其中一个 AWS 开发工具包以编程方式创建加密的文件系统。

为了对静态数据进行加密，Amazon EFS 与 [AWS Key Management Service](https://aws.amazon.com/kms)（AWS KMS）集成以进行密钥管理。您还可以通过挂载文件系统并通过传输层安全性（TLS）传输所有 NFS 流量，从而启用传输中数据加密。

本白皮书概述了 Amazon EFS 的加密最佳实践。它介绍了如何在客户端连接层启用传输中数据加密，以及如何在 AWS 管理控制台和 AWS CLI 中创建加密的文件系统。

**注意**  
使用 API 和开发工具包创建加密的文件系统不在本白皮书的讨论范围之内。有关如何执行此操作的更多信息，请参阅 *Amazon EFS 用户指南*或[开发工具包文档](https://aws.amazon.com/tools/#sdk)中的 [Amazon EFS API](https://docs.aws.amazon.com/efs/latest/ug/API_CreateFileSystem.html)。