本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
資料加密是指在傳輸中和靜態下保護資料。您可以使用 Amazon S3 託管密鑰或AWS KMS key,以及在運輸途中的標準傳輸層安全性。
靜態加密
在 Amazon Textract 中加密數據的主要方法是服務器端加密。從 Amazon S3 存儲桶傳遞的輸入文檔由 Amazon S3 加密,並在您訪問這些文檔時進行解密。只要您驗證要求並具備存取許可,存取加密物件或未加密物件的方式並無不同。例如,如果您使用預先簽章的 URL 來分享物件,加密物件與未加密物件的 URL 運作方式會相同。此外,當您列出儲存貯體中的物件時,ListAPI 會返回所有物件的清單,無論這些物件是否已加密。
Amazon Textract 使用兩種互相排斥的伺服器端加密方法。
伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3)
使用 Amazon S3 受管金鑰 (SSE-S3) 的服務器端加密搭配使用唯一金鑰來加密每個物件。此方法使用定期輪換的主要金鑰自行加密金鑰,提供額外的防護。Amazon S3 伺服器端加密使用目前最強大的其中一種區塊加密法 (256 位元進階加密標準 (AES-256)),加密您的資料。如需詳細資訊,請參閱使用伺服器端加密與 Amazon S3 受管加密金鑰 (SSE-S3) 保護資料。
伺服器端加密搭配存放在 AWS Key Management Service (SSE-KMS) 中的 KMS 金鑰
「伺服器端加密搭配存放在 AWS Key Management Service (SSE-KMS) 的 KMS 金鑰」與 SSE-S3 相似,但有一些額外優點,且使用此服務需支付一些額外費用。使用 KMS 金鑰需要個別的許可。KMS 金鑰可提供多一層保護,防止他人在未經授權的情況下存取您在 Amazon S3 中的物件。SSE-KMS 也可以提供稽核線索,顯示使用您 KMS 金鑰的人員及使用的時間。此外,您可以創建和管理 KMS 密鑰,或使用AWS 受管金鑰專屬於您、您的服務和您的區域。如需詳細資訊,請參閱「」使用伺服器端加密保護資料使用儲存在 AWS Key Management Service (SSE-KMS) 中的 KMS 金鑰。
傳輸中加密
Amazon Textract 使用傳輸層安全性 (TLS) 來加密服務與代理程式之間發送的資料。此外,Amazon Textract 使用 VPC 終端節點在 Amazon Textract 文檔時使用的各種微服務之間發送數據。
