AWS 服務的加密最佳實務和功能

庫爾特·庫馬爾，Amazon Web Services

2024 年九月 (文件歷史記錄)

加密是在數位時代保護敏感資料的基本網路安全工具。隨著企業越來越依賴資料來推動其營運 (包括生成式 AI 部署)，透過強大的加密實務來保護這些寶貴資訊，是全方位資料保護策略的重要組成部分。本指南可協助您瞭解加密原則和提 AWS 供的加密功能。

現代網絡安全威脅包括數據洩露的風險，即未經授權訪問您的信息資產導致數據丟失的時候。資料是每個組織獨有的商業資產。它可以包括客戶資訊、業務計畫、設計文件或程式碼。保護企業意味著保護資料。

即使發生外洩，資料加密也能協助保護您的業務資料。它提供了防止意外洩露的防禦層。若要存取 AWS 雲端中的加密資料，使用者需要使用金鑰進行解密的許可，並且需要使用資料所在服務的許可。如果沒有這兩個許可，使用者將無法解密和檢視資料。

一般而言，您可以加密三種類型的資料。傳輸中的資料是在您的網路中主動移動的資料，例如在網路資源之間移動。靜態資料是靜止且處於休眠狀態的資料，例如儲存中的資料。範例包括區塊儲存、物件儲存、資料庫、存檔和物聯網 (IoT) 裝置。使用中的資料是指應用程式或服務正在積極處理或使用的資料。透過在使用時保護資料安全，組織可協助降低意外揭露的風險。

本指南討論加密傳輸中資料和靜態資料的考量和最佳做法。它還會檢閱許多可用的加密功能和控制項 AWS 服務。您可以在 AWS 雲端 環境中的服務層級實作這些加密建議。

目標對象

本指南可供公共和私營部門的小型、中型和大型組織使用。無論您的組織處於評估和實作資料保護策略的初始階段，還是旨在增強現有安全控制，本指南中概述的建議最適合下列受眾：