本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon EFS 的加密最佳實務 [Amazon Elastic File System (Amazon EFS)](https://docs.aws.amazon.com/efs/latest/ug/whatisefs.html) 協助您在 AWS 雲端中建立和設定共用檔案系統。 請考慮此服務的下列加密最佳實務: + 在 中 AWS Config,實作 [efs-encrypted-check](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) AWS 受管規則。此規則會檢查 Amazon EFS 是否設定為使用 加密檔案資料 AWS KMS。 + 透過建立 Amazon CloudWatch 警報來對 Amazon EFS 檔案系統強制執行加密,該警報會監控 CloudTrail 日誌中是否存在 `CreateFileSystem` 事件,並在建立未加密的檔案系統時觸發警報。如需詳細資訊,請參閱[逐步解說:在 Amazon EFS 檔案系統上強制執行靜態加密](https://docs.aws.amazon.com/efs/latest/ug/efs-enforce-encryption.html)。 + 使用 [EFS 掛載協助程式](https://docs.aws.amazon.com/efs/latest/ug/efs-mount-helper.html)掛載檔案系統。這會在用戶端與 Amazon EFS 服務之間設定和維護 TLS 1.2 通道,並透過此加密通道路由所有網路檔案系統 (NFS) 流量。下列命令實作使用 TLS 進行傳輸中加密。 ``` sudo mount -t efs  -o tls file-system-id:/ /mnt/efs ``` 如需詳細資訊,請參閱[使用 EFS 掛載協助程式掛載 EFS 檔案系統](https://docs.aws.amazon.com/efs/latest/ug/efs-mount-helper.html)。 + 使用 AWS PrivateLink實作界面 VPC 端點,以在 VPCs和 Amazon EFS API 之間建立私有連線。透過 VPN 連線傳入和傳出端點的資料經過加密。如需詳細資訊,請參閱[使用介面 VPC 端點存取 AWS 服務](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。 + 使用 IAM 身分型政策中的 `elasticfilesystem:Encrypted` 條件金鑰來防止使用者建立未加密的 EFS 檔案系統。如需詳細資訊,請參閱[使用 IAM 強制建立加密檔案系統](https://docs.aws.amazon.com/efs/latest/ug/using-iam-to-enforce-encryption-at-rest.html)。 + 應使用資源型金鑰政策將用於 EFS 加密的 KMS 金鑰設定為最低權限存取。 + 在連接至 EFS 檔案系統時,使用 EFS 檔案系統政策中的 `aws:SecureTransport` 條件金鑰強制 NFS 用戶端使用 TLS。如需詳細資訊,請參閱使用 Amazon Elastic File System 加密檔案資料中[傳輸中的資料](https://docs.aws.amazon.com/whitepapers/latest/efs-encrypted-file-systems/encryption-of-data-in-transit.html)加密 (AWS 白皮書)。 * Amazon Elastic File System*