本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

加密靜態資料

您可以使用 AWS Management Console、 AWS CLI或以程式設計方式透過 Amazon EFSAPI或其中一個 建立加密的檔案系統 AWS SDKs。您的組織可能需要對符合特定分類所有資料進行加密，或是與特定應用程式、工作負載或環境相關聯。

建立EFS檔案系統後，就無法變更其加密設定。這表示您無法修改未加密的檔案系統，使其加密。反之，您需要建立新的加密檔案系統。

強制執行建立靜態加密EFS的檔案系統

您可以在 AWS Identity and Access Management （IAM） 身分型政策中使用elasticfilesystem:EncryptedIAM條件金鑰，來控制使用者是否可以建立靜態加密的 Amazon EFS 檔案系統。如需有關使用條件索引鍵的詳細資訊，請參閱 範例：強制建立加密檔案系統。

您也可以在 內 AWS Organizations 定義服務控制政策 （SCPs），以強制執行組織中所有 AWS 帳戶的EFS加密。如需 中服務控制政策的詳細資訊 AWS Organizations，請參閱 AWS Organizations 使用者指南 中的服務控制政策。

使用主控台對靜態的檔案系統進行加密

當您使用 Amazon EFS主控台建立新的檔案系統時，靜態加密預設為啟用。

靜態加密的運作方式

在加密的檔案系統中，資料和中繼資料會自動加密後再寫入檔案系統。同樣地，隨著資料和中繼資料受到讀取，會自動將他們解密再顯示給應用程式。這些程序由 Amazon 透明處理EFS，因此您不需要修改應用程式。

Amazon EFS使用業界標準的 AES-256 加密演算法來加密靜態EFS資料和中繼資料。如需詳細資訊，請參閱《AWS Key Management Service 開發人員指南》中的密碼編譯基礎。