# 強制執行靜態資料加密 加密對 I/O 延遲與輸送量的影響非常小。使用者、應用程序與服務並不會感覺到加密與解密的進行。所有資料與中繼資料在寫入磁碟之前,都會由 Amazon EFS 代表您進行加密,並會在客戶端讀取之前進行解密。您無需變更用戶端工具、應用程序或服務,即可存取加密的檔案系統。 您的組織可能需要加密所有資料,才能符合特定的機密等級,或是需要加密與特定應用程式、工作負載或環境相關聯的所有資料。您可以使用以 [AWS Identity and Access Management](https://aws.amazon.com/iam) (IAM) [身分區分的政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html),為 Amazon EFS 檔案系統的資源強制執行靜態資料加密。使用 IAM 條件金鑰可以避免使用者建立未加密的 EFS 檔案系統。 例如,明確允許使用者只能建立加密 EFS 檔案系統的 IAM 政策,會使用下列效果、動作與條件的組合: + `Effect` 為 `Allow`。 + `Action` 為 `elasticfilesystem:CreateFileSystem`。 + `Condition elasticfilesystem:Encrypted` 為 `true`。 下列範例説明以 IAM 身分區分的政策,其授權主體只能建立加密的檔案系統。 ``` { “Version”: “2012-10-17”, “Statement”: [ { “Sid”: “VisualEditior0”, “Effect”: “Allow”, “Action”: “elasticfilesystem:CreateFileSystem”, “Condition”: { “Bool”: { “elasticfilesystem:Encrypted”: “true” } }, “Resource”: “*” } } ``` 設定為 `*` 的 `Resource` 屬性,表示將會對所有建立的 EFS 資源,套用 IAM 政策。您可以根據標籤新增其他條件屬性,以便只對具有資料機密需求的一部分 EFS 資源強制執行該屬性。 您也可以藉由對組織中的所有 AWS 帳戶或 OU 使用服務控制政策,在 AWS Organizations 層級強制執行建立加密的 Amazon EFS 檔案系統。如需 AWS Organizations 中服務控制策略的詳細資訊,請參閲《*AWS Organizations 使用者指南*》中的[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#orgs_manage_policies_scp)。