截至 2025 年 11 月 7 日，亚马逊 Fraud Detector 不再向新客户开放。要获得与 Amazon Fraud Detector 类似的功能 SageMaker，请浏览亚马逊 AutoGluon、和 AWS WAF。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 密钥管理
<a name="key-management"></a>

Amazon Fraud Detector 使用以下两种密钥之一对您的数据进行加密：
+  AWS 拥有的 [KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys)。这是默认值。
+ 客户管理的 [KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys)。

## 创建客户托管的 KMS 密钥
<a name="create-customer-managed-cmk"></a>

您可以使用 KMS 控制台或 [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)API 创建客户托管的 AWS KMS 密钥。创建密钥时，请确保：
+ 选择对称加密客户管理的 KMS 密钥，Amazon Fraud Detector 不支持非对称 KMS 密钥。有关更多信息，请参阅《[密钥管理服务开发人员指南》 AWS KMS中的非对称](https://docs.aws.amazon.com//kms/latest/developerguide/symmetric-asymmetric.html) AWS 密钥。
+ 创建单个区域 KMS 密钥。Amazon Fraud Detector 不支持多区域 KMS 密钥。有关更多信息，请参阅《[密钥管理服务开发人员指南》 AWS KMS中的多区域](https://docs.aws.amazon.com//kms/latest/developerguide/multi-region-keys-overview.html) AWS 密钥。
+ 提供以下[密钥政策](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key_permissions)，向 Amazon Fraud Detector 授予使用密钥的权限。

  ```
          {
      "Effect": "Allow",
      "Principal": {
          "Service": "frauddetector.amazonaws.com"
      },
      "Action": [
          "kms:Encrypt",
          "kms:Decrypt",
          "kms:ReEncrypt*",
          "kms:GenerateDataKey*",
          "kms:DescribeKey",
          "kms:CreateGrant",
          "kms:RetireGrant"
      ],
      "Resource": "*"
  }
  ```

  有关密钥策略的信息，请参阅《[密钥管理服务开发人员指南》中的在 AWS KMS 中使用 AWS 密钥策略](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。

## 使用客户托管的 KMS 密钥加密数据
<a name="encrypt-data-using-CMK"></a>

使用 Amazon Fraud Detector 的 Pu [t K KMSEncryption ey](https://docs.aws.amazon.com/frauddetector/latest/api/API_PutKMSEncryptionKey.html) API 使用客户管理的 KMS 密钥加密您的静态亚马逊欺诈探测器数据。您可以随时使用 `PutKMSEncryptionKey` API 更改加密配置。

**有关加密数据的重要说明**
+ 设置客户托管的 KMS 密钥后生成的数据经过加密。在设置客户托管的 KMS 密钥之前生成的数据将保持未加密状态。
+ 如果更改了客户管理的 KMS 密钥，则使用先前加密配置加密的数据将不会被重新加密。

## 查看数据
<a name="view-encrypted-data"></a>

当您使用客户托管的 KMS 密钥加密您的 Amazon Fraud Detector 数据时，无法使用亚马逊欺诈检测器控制台的 “**搜索过去的预测**” 区域中的筛选条件搜索使用此方法加密的数据。为确保搜索结果完整，请使用以下一个或多个属性来筛选结果：
+ 事件 ID
+ 评估时间戳
+ 探测器状态
+ 探测器版本
+ 模型版本
+ 模型类型
+ 规则评估状态
+ 规则执行模式
+ 规则匹配状态
+ 规则版本
+ 可变数据源

如果客户管理的 KMS 密钥已被删除或计划删除，则您的数据可能不可用。有关更多信息，请参阅[删除 KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html)。