結論

Amazon EFS 檔案系統待用資料與傳輸中的資料都可加密。您可以使用 CMK 為待用資料加密，並使用 AWS KMS 加以控制及管理。建立加密檔案系統非常簡單，只需在 AWS 管理主控台的 Amazon EFS 檔案系統建立精靈中選取核取方塊，或是將單一參數新增至 AWS CLI、AWS 開發套件或 Amazon EFS API 中的 CreateFileSystem 作業。

您可以使用以 AWS IAM 身分區分的原則與檔案系統原則，為待用與傳輸施行加密，以進一步強化您的安全需求，並有助於滿足您的合規需求。使用加密檔案系統對檔案系統效能影響最小，不會讓服務、應用程式與使用者感到任何不同。您可以使用 EFS 裝載協助程式，在每個用戶端上建立加密的 TLS 通道，為傳輸中的資料加密，藉此為用戶端與裝載的 EFS 檔案系統之間的所有 NFS 流量加密。您可以使用 IAM 身分原則，為 Amazon EFS 待用資料施行加密，並使用 EFS 檔案系統原則為 Amazon EFS 傳輸中的資料施行加密，兩者均無需額外費用。