以下の資料によるとLamdaの環境変数はデフォルトでも保存時に暗号化されるようです。

Lambda は、AWS KMS key で常にサーバー側の暗号化を提供します。デフォルトでは、Lambda は AWS マネージドキーを使用します。このデフォルトの動作がワークフローに適している場合は、他の設定をする必要はありません。
Lambda 環境変数の保護

KMSのキーを変更することはできても、保存時の暗号化自体を行わない設定は調べた限り見つかりませんでした。
少なくとも2019年頃からこのデフォルトで暗号化される仕様は存在したようです。

また、解説文にある。

Lambda関数の設定画面だけでなく、ログやエラーメッセージでも平文で表示されないようにする必要があります。

についても、どのようなケースを想定しているのかいまいち理解できていません。
Lambda関数内で環境変数の中身をログに出力するようなコードを書いてしまうようなケースでは、暗号化ヘルパーを使って関数内で復号化しても回避できないように思えます。
※どちらのケースでもコード次第ではないでしょうか。