亚马逊 Monitron 不再向新客户开放。现有客户可以继续正常使用该服务。如需了解与 Amazon Monitron 类似的功能，请参阅我们的[博客文章](https://aws.amazon.com/blogs/machine-learning/maintain-access-and-consider-alternatives-for-amazon-monitron)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS KMS 以及 Amazon Monitron 中的数据加密
<a name="kms-data-encrypt"></a>

Amazon Monitron 通过 AWS Key Management Service () 使用两种密钥之一对您的数据和项目信息进行加密。AWS KMS您可以选择以下任一种密钥：
+ 一个 AWS 拥有的密钥。这是默认加密密钥，如果您在设置项目时未选择**自定义加密设置**，系统会使用此密钥。
+ 客户托管式 CMK。您可以使用 AWS 账户中的现有密钥，也可以在 AWS KMS 控制台或使用 API 创建密钥。如果您使用的是现有密钥，则选择 “**选择一个 AWS KMS 密钥**”，然后从密钥列表中选择一个 AWS KMS 密钥，或者输入另一个密钥的 Amazon 资源名称 (ARN)。如果要创建新密钥，请选择**创建 AWS KMS 密钥**。有关更多信息，请参阅《AWS Key Management Service 开发人员指南》**中的[创建密钥](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。

使用 AWS KMS 加密数据时，请记住以下几点：
+ 您的数据在 Amazon S3 和 Amazon DynamoDB 的云中进行静态加密。
+ 当使用 AWS 自有的 CMK 对数据进行加密时，Amazon Monitron 会为每位客户使用单独的 CMK。
+ IAM 用户必须具有调用与 Amazon Monit AWS KMS ron 关联的 API 操作所需的权限。Amazon Monitron 在其托管式策略中包含以下权限，供控制台使用。

  ```
  {
                   "Effect": "Allow",
                   "Action": [
                           "kms:ListKeys",
                           "kms:DescribeKey",
                           "kms:ListAliases",
                           "kms:CreateGrant"
                   ],
                   "Resource": "*"
           },
  ```

   有关更多信息，请参阅《AWS Key Management Service 开发人员指南》**中的[将 IAM 策略用于 AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html)。
+ 如果删除或禁用 CMK，您将无法访问数据。有关详细信息，请参阅《AWS Key Management Service 开发人员指南》**中的[删除 AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html)。