# 强制实施静态数据加密 加密对 I/O 延迟和吞吐量的影响微乎其微。加密和解密对用户、应用程序和服务都是透明的。所有数据和元数据在写入磁盘之前由 Amazon EFS 代表您进行加密,并在客户端读取之前先解密。您无需更改客户端工具、应用程序或服务即可访问加密的文件系统。 您的组织可能要求加密符合特定分类条件的所有数据,或者加密与特定应用程序、工作负载或环境关联的所有数据。您可以使用 [AWS Identity and Access Management](https://aws.amazon.com/iam)(IAM)[基于身份的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)对 Amazon EFS 文件系统资源实施静态数据加密。使用 IAM 条件键, 您可以避免用户创建未加密的 EFS 文件系统。 例如,明确允许用户仅创建加密的 EFS 文件系统的 IAM 策略使用以下效果、操作和条件组合: + `Effect` 为 `Allow`。 + `Action` 为 `elasticfilesystem:CreateFileSystem`。 + `Condition elasticfilesystem:Encrypted` 为 `true`。 以下示例演示了一个基于身份的 IAM 策略,该策略授权主体仅创建加密的文件系统。 ``` { “Version”: “2012-10-17”, “Statement”: [ { “Sid”: “VisualEditior0”, “Effect”: “Allow”, “Action”: “elasticfilesystem:CreateFileSystem”, “Condition”: { “Bool”: { “elasticfilesystem:Encrypted”: “true” } }, “Resource”: “*” } } ``` 将 `Resource` 属性设置为 `*` 表示 IAM 策略适用于创建的所有 EFS 资源。您可以添加基于标签的其他条件属性,以便仅对具有数据分类需求的 EFS 资源子集强制使用该属性。 您还可以通过对组织中的所有 AWS 账户或组织单位使用服务控制策略,在 AWS Organizations 级别强制创建加密的 Amazon EFS 文件系统。有关 AWS Organizations 中的服务控制策略的更多信息,请参阅 *AWS Organizations 用户指南*中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#orgs_manage_policies_scp)。