本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 加密靜態資料
<a name="encryption-at-rest"></a>

靜態加密會加密存放在 EFS 檔案系統上的資料。這可協助您符合合規要求，並保護敏感資料免於未經授權的存取。您的組織可能需要加密符合特定分類或與特定應用程式、工作負載或環境相關聯的所有資料。

**注意**  
 AWS 金鑰管理基礎設施使用聯邦資訊處理標準 (FIPS) 140-3 核准的密碼編譯演算法。基礎設施符合國家標準技術研究所 (NIST) 800-57 的建議。

當您使用 Amazon EFS 主控台建立檔案系統時，靜態加密預設為啟用。使用 、 AWS CLI API 或 SDKs建立檔案系統時，您必須明確啟用加密。

建立 EFS 檔案系統之後，您無法變更其加密設定。這表示您無法修改未加密的檔案系統，使其加密。反之，[請複寫檔案系統](efs-replication.md)，將資料從未加密的檔案系統複製到新的加密檔案系統。如需詳細資訊，請參閱[如何開啟現有 EFS 檔案系統的靜態加密？](https://repost.aws/knowledge-center/efs-turn-on-encryption-at-rest)

## 靜態加密的運作方式
<a name="howencrypt"></a>

在加密的檔案系統中，資料和中繼資料預設會在寫入儲存體之前加密，並在讀取時自動解密。這些程序由 Amazon EFS 透明處理，因此您不需要修改應用程式。

Amazon EFS 使用 AWS KMS 進行金鑰管理，如下所示：
+ **檔案資料加密** – 檔案的內容會使用您指定的 KMS 金鑰進行加密。這可以是：
  +  AWS 擁有的金鑰 適用於 Amazon EFS 的 (`aws/elasticfilesystem`) – 預設選項，不收取額外費用。
  + 您建立和管理的客戶受管金鑰 – 提供額外的控制和稽核功能。
+ **中繼資料加密** - 檔案名稱、目錄名稱和目錄內容會使用 Amazon EFS 內部管理的金鑰進行加密。

### 加密程序
<a name="encryption-atrest-process"></a>

當檔案系統建立或重新複製到相同帳戶中的檔案系統時，Amazon EFS 會使用[轉送存取工作階段 (FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)，使用發起人的憑證進行 KMS 呼叫。在 CloudTrail 日誌中，`kms:CreateGrant`通話似乎是由建立檔案系統或複寫的相同使用者身分進行。您可以透過尋找值為 的 `invokedBy` 欄位，在 CloudTrail 中識別 Amazon EFS 服務呼叫`elasticfilesystem.amazonaws.com`。KMS 金鑰上的資源政策必須允許 FAS `CreateGrant`的動作進行呼叫。

**重要**  
您可以管理授予的控制權，也可以隨時撤銷授予。撤銷授予可防止 Amazon EFS 存取 KMS 金鑰以供未來操作使用。如需詳細資訊，請參閱[《 開發人員指南》中的淘汰和撤銷授予](https://docs.aws.amazon.com/kms/latest/developerguide/grant-delete.html)*AWS Key Management Service *。

使用客戶受管 KMS 金鑰時，資源政策也必須允許 Amazon EFS 服務主體，並包含限制存取特定服務端點`kms:ViaService`的條件。例如：

```
"kms:ViaService":
    "elasticfilesystem.us-east-2.amazonaws.com"
```

Amazon EFS 使用業界標準的 AES-256 加密演算法來加密靜態資料和中繼資料。

如需 Amazon EFS 的 KMS 金鑰政策詳細資訊，請參閱 [使用 Amazon EFS 的 AWS KMS 金鑰](EFSKMS.md)。

## 強制執行新檔案系統的靜態加密
<a name="enforce-encryption-at-rest"></a>

您可以在 `elasticfilesystem:Encrypted` AWS Identity and Access Management (IAM) 身分型政策中使用 IAM 條件金鑰，以在使用者建立 EFS 檔案系統時強制執行靜態建立。如需有關使用條件索引鍵的詳細資訊，請參閱 [範例：強制建立加密檔案系統](security_iam_id-based-policy-examples.md#using-iam-to-enforce-encryption-at-rest)。

您也可以在 中定義服務控制政策 (SCPs) AWS Organizations ，以強制執行組織中所有 AWS 帳戶 的 Amazon EFS 加密。如需 中服務控制政策的詳細資訊 AWS Organizations，請參閱*AWS Organizations 《 使用者指南*》中的[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#orgs_manage_policies_scp)。