保护静态数据

静态数据代表您在工作负载期间的任意时间段内保留在非易失性存储器中的任何数据。其中包括数据块存储、对象存储、数据库、存档、IoT 设备和用来保留数据的任何其他存储介质。在实施了加密和适当的访问控制时，保护静态数据可以降低未经授权访问的风险。

加密和令牌化是两个重要但不同的数据保护方案。

令牌化是一个支持您定义令牌以表示其他敏感信息的过程（例如代表客户信用卡号的令牌）。令牌自身必须没有任何意义，而且不能是从它令牌化的数据衍生而来 – 因此，无法将加密摘要用作令牌。通过认真规划令牌化方法，您可以为内容提供额外保护，并确保满足合规性要求。例如，如果您使用令牌而不是信用卡号，就可以缩小信用卡处理系统的合规性范围。

加密可以将内容转换为这样一种形式：如果用户没有将这些内容解密为纯文本所需的密钥，就无法读取。令牌化和加密都可用于酌情保护信息。此外，可以使用掩码这种技术编辑数据的某个部分，以使剩余的数据不被视为敏感数据。例如，PCI-DSS 允许将卡号的最后四位数字保留在合规范围边界之外以便编制索引。

审计加密密钥的使用：务必了解并审计加密密钥的使用，确保对密钥正确实施访问控制措施。例如，任何使用 AWS KMS 密钥的 AWS 服务都会记录每次使用情况 AWS CloudTrail。然后 AWS CloudTrail，您可以使用诸如 Amazon L CloudWatch ogs Insights 之类的工具进行查询，以确保您的密钥的所有使用都是有效的。