Perlindungan data di Resolusi Entitas AWS - Resolusi Entitas AWS
Enkripsi data saat istirahat untuk Resolusi Entitas AWSManajemen kunci

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan data di Resolusi Entitas AWS

Bagian AWS model tanggung jawab bersama model berlaku untuk perlindungan data di Resolusi Entitas AWS. Seperti yang dijelaskan dalam model ini, AWS bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk menjaga kontrol atas konten Anda yang di-host di infrastruktur ini. Anda juga bertanggung jawab atas konfigurasi keamanan dan tugas manajemen untuk Layanan AWS yang Anda gunakan. Untuk informasi selengkapnya tentang privasi data, lihat Privasi Data FAQ. Untuk informasi tentang perlindungan data di Eropa, lihat AWS Model Tanggung Jawab Bersama dan posting GDPR blog di AWS Blog Keamanan.

Untuk tujuan perlindungan data, kami menyarankan Anda untuk melindungi Akun AWS kredensi dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:

  • Gunakan otentikasi multi-faktor (MFA) dengan setiap akun.

  • GunakanSSL/TLSuntuk berkomunikasi dengan AWS sumber daya. Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.

  • Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang menggunakan CloudTrail jalur untuk menangkap AWS kegiatan, lihat Bekerja dengan CloudTrail jalan setapak di AWS CloudTrail Panduan Pengguna.

  • Gunakan AWS solusi enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.

  • Gunakan layanan keamanan terkelola lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.

  • Jika Anda memerlukan FIPS 140-3 modul kriptografi yang divalidasi saat mengakses AWS melalui antarmuka baris perintah atauAPI, gunakan FIPS titik akhir. Untuk informasi selengkapnya tentang FIPS titik akhir yang tersedia, lihat Federal Information Processing Standard (FIPS) 140-3.

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang Nama. Ini termasuk ketika Anda bekerja dengan Resolusi Entitas AWS atau lainnya Layanan AWS menggunakan konsol,API, AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Jika Anda memberikan URL ke server eksternal, kami sangat menyarankan agar Anda tidak menyertakan informasi kredensil dalam URL untuk memvalidasi permintaan Anda ke server tersebut.

Enkripsi data saat istirahat untuk Resolusi Entitas AWS

Resolusi Entitas AWS menyediakan enkripsi secara default untuk melindungi data pelanggan sensitif saat istirahat menggunakan AWS kunci enkripsi yang dimiliki.

AWSkunci yang dimiliki — Resolusi Entitas AWS menggunakan kunci ini secara default untuk secara otomatis mengenkripsi data yang dapat diidentifikasi secara pribadi. Anda tidak dapat melihat, mengelola, atau menggunakan AWS memiliki kunci, atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat kunci yang AWS dimiliki di AWS Key Management Service Panduan Pengembang.

Enkripsi data saat istirahat secara default membantu mengurangi overhead operasional dan kompleksitas yang terlibat dalam melindungi data sensitif. Pada saat yang sama, Anda dapat menggunakannya untuk membangun aplikasi aman yang memenuhi kepatuhan enkripsi yang ketat dan persyaratan peraturan.

Atau, Anda juga dapat memberikan KMS kunci terkelola pelanggan untuk enkripsi saat membuat sumber daya alur kerja yang cocok.

Kunci terkelola pelanggan - Resolusi Entitas AWS mendukung penggunaan KMS kunci terkelola pelanggan simetris yang Anda buat, miliki, dan kelola untuk memungkinkan enkripsi data sensitif Anda. Karena Anda memiliki kontrol penuh atas lapisan enkripsi ini, Anda dapat melakukan tugas-tugas seperti:

  • Menetapkan dan memelihara kebijakan utama

  • Menetapkan dan memelihara IAM kebijakan dan hibah

  • Mengaktifkan dan menonaktifkan kebijakan utama

  • Memutar bahan kriptografi kunci

  • Menambahkan tanda

  • Membuat alias kunci

  • Kunci penjadwalan untuk penghapusan

Untuk informasi selengkapnya, lihat kunci terkelola pelanggan di AWS Key Management Service Panduan Pengembang.

Untuk informasi lebih lanjut tentang AWS KMS, lihat Apa itu Layanan Manajemen AWS Kunci?

Manajemen kunci

Bagaimana Resolusi Entitas AWS menggunakan hibah di AWS KMS

Resolusi Entitas AWS membutuhkan hibah untuk menggunakan kunci yang dikelola pelanggan Anda. Saat Anda membuat alur kerja yang cocok yang dienkripsi dengan kunci yang dikelola pelanggan, Resolusi Entitas AWS membuat hibah atas nama Anda dengan mengirimkan CreateGrantpermintaan ke AWS KMS. Hibah di AWS KMS digunakan untuk memberi Resolusi Entitas AWS akses ke KMS kunci di akun pelanggan. Resolusi Entitas AWS memerlukan hibah untuk menggunakan kunci yang dikelola pelanggan Anda untuk operasi internal berikut:

  • Kirim GenerateDataKeypermintaan ke AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci yang dikelola pelanggan Anda.

  • Kirim permintaan Dekripsi ke AWS KMS untuk mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi data Anda.

Anda dapat mencabut akses ke hibah, atau menghapus akses layanan ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, Resolusi Entitas AWS tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci yang dikelola pelanggan, yang memengaruhi operasi yang bergantung pada data tersebut. Misalnya, jika Anda menghapus akses layanan ke kunci Anda melalui hibah dan mencoba memulai pekerjaan untuk alur kerja yang cocok yang dienkripsi dengan kunci pelanggan, maka operasi akan mengembalikan kesalahan. AccessDeniedException

Membuat kunci yang dikelola pelanggan

Anda dapat membuat kunci terkelola pelanggan simetris dengan menggunakan AWS Management Console, atau AWS KMS APIs.

Untuk membuat kunci terkelola pelanggan simetris

Resolusi Entitas AWS mendukung enkripsi menggunakan KMSkunci enkripsi simetris. Ikuti langkah-langkah untuk Membuat kunci terkelola pelanggan simetris di AWS Key Management Service Panduan Pengembang.

Pernyataan kebijakan utama

Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat Mengelola akses ke kunci terkelola pelanggan di AWS Key Management Service Panduan Pengembang.

Untuk menggunakan kunci yang dikelola pelanggan Anda dengan Resolusi Entitas AWS sumber daya, API operasi berikut harus diizinkan dalam kebijakan utama:

  • kms:DescribeKey— Memberikan informasi seperti kunciARN, tanggal pembuatan (dan tanggal penghapusan, jika berlaku), status kunci, dan tanggal asal dan kedaluwarsa (jika ada) dari materi utama. Ini termasuk bidang, sepertiKeySpec, yang membantu Anda membedakan berbagai jenis KMS kunci. Ini juga menampilkan penggunaan kunci (enkripsi, penandatanganan, atau pembuatan dan verifikasiMACs) dan algoritma yang didukung oleh KMS kunci. Resolusi Entitas AWS memvalidasi bahwa KeySpec adalah SYMMETRIC_DEFAULT dan KeyUsage sedangENCRYPT_DECRYPT.

  • kms:CreateGrant— Menambahkan hibah ke kunci yang dikelola pelanggan. Memberikan akses kontrol ke KMS kunci tertentu, yang memungkinkan akses ke operasi hibah Resolusi Entitas AWS membutuhkan. Untuk informasi selengkapnya tentang Menggunakan Hibah, lihat AWS Key Management Service Panduan Pengembang.

Hal ini memungkinkan Resolusi Entitas AWS untuk melakukan hal berikut:

  • Panggilan GenerateDataKey untuk menghasilkan kunci data terenkripsi dan menyimpannya, karena kunci data tidak segera digunakan untuk mengenkripsi.

  • Panggilan Decrypt untuk menggunakan kunci data terenkripsi yang disimpan untuk mengakses data terenkripsi.

  • Siapkan kepala sekolah yang pensiun untuk memungkinkan layanan. RetireGrant

Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan Resolusi Entitas AWS:

{
      "Sid" : "Allow access to principals authorized to use AWS Entity Resolution",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "*"
      },
      "Action" : ["kms:DescribeKey","kms:CreateGrant"],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "kms:ViaService" : "entityresolution.region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
      }
}

Izin untuk pengguna

Ketika Anda mengonfigurasi KMS kunci sebagai kunci default untuk enkripsi, kebijakan KMS kunci default memungkinkan setiap pengguna dengan akses ke KMS tindakan yang diperlukan untuk menggunakan KMS kunci ini untuk mengenkripsi atau mendekripsi sumber daya. Anda harus memberikan izin kepada pengguna untuk memanggil tindakan berikut agar dapat menggunakan enkripsi KMS kunci yang dikelola pelanggan:

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKey

Selama CreateMatchingWorkflowpermintaan, Resolusi Entitas AWS akan mengirim DescribeKeydan CreateGrantpermintaan ke AWS KMS atas nama Anda. Ini akan mengharuskan IAM entitas yang membuat CreateMatchingWorkflow permintaan dengan KMS kunci yang dikelola pelanggan untuk memiliki kms:DescribeKey izin pada kebijakan KMS utama.

Selama permintaan CreateIdMappingWorkflowdan StartIdMappingJobpermintaan, Resolusi Entitas AWS akan mengirim DescribeKeydan CreateGrantpermintaan ke AWS KMS atas nama Anda. Ini akan mengharuskan IAM entitas membuat CreateIdMappingWorkflow dan StartIdMappingJob meminta dengan KMS kunci yang dikelola pelanggan untuk memiliki kms:DescribeKey izin pada kebijakan KMS utama. Penyedia akan dapat mengakses kunci yang dikelola pelanggan untuk mendekripsi data di Resolusi Entitas AWS Bucket Amazon S3.

Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan untuk penyedia untuk mendekripsi data di Resolusi Entitas AWS Ember Amazon S3:

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::715724997226:root" 
        },
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "<KMSKeyARN>",
        "Condition": {
            "StringEquals": {
                "kms:ViaService": "s3.amazonaws.com"
            }
        }
    }]
}

Ganti masing-masing <user input placeholder> dengan informasi Anda sendiri.

<KMSKeyARN> AWS KMS Nama Sumber Daya Amazon.

Demikian pula, IAM entitas yang memanggil StartMatchingJobAPIharus memiliki kms:Decrypt dan kms:GenerateDataKey izin pada KMS kunci terkelola pelanggan yang disediakan dalam alur kerja yang cocok.

Untuk informasi selengkapnya tentang menentukan izin dalam kebijakan, lihat AWS Key Management Service Panduan Pengembang.

Untuk informasi selengkapnya tentang pemecahan masalah akses kunci, lihat AWS Key Management Service Panduan Pengembang.

Menentukan kunci yang dikelola pelanggan untuk Resolusi Entitas AWS

Anda dapat menentukan kunci yang dikelola pelanggan sebagai enkripsi lapisan kedua untuk sumber daya berikut:

Alur kerja yang cocok - Saat Anda membuat sumber daya alur kerja yang cocok, Anda dapat menentukan kunci data dengan memasukkan, yang KMSArn Resolusi Entitas AWS digunakan untuk mengenkripsi data pribadi yang dapat diidentifikasi yang disimpan oleh sumber daya.

KMSArn— Masukkan kunciARN, yang merupakan pengidentifikasi kunci untuk AWS KMS kunci yang dikelola pelanggan.

Anda dapat menentukan kunci terkelola pelanggan sebagai enkripsi lapisan kedua untuk sumber daya berikut jika Anda membuat atau menjalankan alur kerja pemetaan ID di dua Akun AWS:

Alur kerja pemetaan ID atau Alur kerja pemetaan ID Mulai - Saat Anda membuat sumber daya alur kerja pemetaan ID atau memulai pekerjaan alur kerja pemetaan ID, Anda dapat menentukan kunci data dengan memasukkan, yang KMSArn Resolusi Entitas AWS digunakan untuk mengenkripsi data pribadi yang dapat diidentifikasi yang disimpan oleh sumber daya.

KMSArn— Masukkan kunciARN, yang merupakan pengidentifikasi kunci untuk AWS KMS kunci yang dikelola pelanggan.

Memantau kunci enkripsi Anda untuk Resolusi Entitas AWS Layanan

Saat Anda menggunakan AWS KMS kunci yang dikelola pelanggan dengan Anda Resolusi Entitas AWS Sumber daya layanan, Anda dapat menggunakan AWS CloudTrailatau Amazon CloudWatch Log untuk melacak permintaan itu Resolusi Entitas AWS mengirim ke AWS KMS.

Contoh berikut adalah AWS CloudTrail acara untukCreateGrant,GenerateDataKey,Decrypt, dan DescribeKey untuk memantau AWS KMS Operasi yang disebut oleh Resolusi Entitas AWS untuk mengakses data yang dienkripsi oleh kunci yang dikelola pelanggan Anda:

CreateGrant

Saat Anda menggunakan AWS KMS kunci terkelola pelanggan untuk mengenkripsi sumber daya alur kerja yang cocok, Resolusi Entitas AWS mengirimkan CreateGrant permintaan atas nama Anda untuk mengakses KMS kunci di Akun AWS. Hibah yang Resolusi Entitas AWS create khusus untuk sumber daya yang terkait dengan AWS KMS kunci yang dikelola pelanggan. Selain itu, Resolusi Entitas AWS menggunakan RetireGrant operasi untuk menghapus hibah saat Anda menghapus sumber daya.

Contoh peristiwa berikut mencatat CreateGrant operasi:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "entityresolution.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "retiringPrincipal": "entityresolution.region.amazonaws.com",
        "operations": [
            "GenerateDataKey",
            "Decrypt",
        ],
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "granteePrincipal": "entityresolution.region.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

DescribeKey

Resolusi Entitas AWS menggunakan DescribeKey operasi untuk memverifikasi apakah AWS KMS kunci terkelola pelanggan yang terkait dengan sumber daya yang cocok ada di akun dan Wilayah.

Contoh peristiwa berikut mencatat DescribeKey operasi.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "entityresolution.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

GenerateDataKey

Saat Anda mengaktifkan AWS KMS kunci terkelola pelanggan untuk sumber daya alur kerja yang cocok, Resolusi Entitas AWS mengirimkan GenerateDataKey permintaan melalui Amazon Simple Storage Service (Amazon S3) ke AWS KMS yang menentukan AWS KMS kunci yang dikelola pelanggan untuk sumber daya.

Contoh peristiwa berikut mencatat GenerateDataKey operasi.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "s3.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}

Dekripsi

Saat Anda mengaktifkan AWS KMS kunci terkelola pelanggan untuk sumber daya alur kerja yang cocok, Resolusi Entitas AWS mengirimkan Decrypt permintaan melalui Amazon Simple Storage Service (Amazon S3) ke AWS KMS yang menentukan AWS KMS kunci yang dikelola pelanggan untuk sumber daya.

Contoh peristiwa berikut mencatat Decrypt operasi.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "s3.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:10:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}

Pertimbangan

Resolusi Entitas AWS tidak mendukung pembaruan alur kerja yang cocok dengan KMS kunci terkelola pelanggan baru. Dalam kasus seperti itu, Anda dapat membuat alur kerja baru dengan KMS kunci yang dikelola pelanggan.

Pelajari selengkapnya

Sumber daya berikut memberikan informasi lebih lanjut tentang enkripsi data saat istirahat.

Untuk informasi selengkapnya tentang konsep dasar Layanan Manajemen AWS Kunci, lihat AWS Key Management Service Panduan Pengembang.

Untuk informasi selengkapnya tentang praktik terbaik Keamanan untuk Layanan Manajemen AWS Utama, lihat AWS Key Management Service Panduan Pengembang.