本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 的加密最佳实践 AWS Lambda [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) 是一项计算服务,可帮助您运行代码,无需预置或管理服务器。为了保护环境变量,您可以使用服务器端加密来保护静态数据,使用客户端加密来保护传输中数据。 考虑下面针对该服务的加密最佳实践: + Lambda 始终通过 AWS KMS key提供服务器端静态加密。默认情况下,Lambda 使用 AWS 托管密钥。我们建议您使用客户管理的密钥,因为您可以完全控制密钥,包括管理、轮换和审计。 + 对于需要加密的传输中数据,启用帮助程序,以确保使用首选 KMS 密钥对环境变量进行客户端加密,从而保护传输中数据。有关更多信息,请参阅 [Securing environment variables](https://docs.aws.amazon.com/lambda/latest/dg/configuration-envvars.html#configuration-envvars-encryption) 中的 *Security in transit*。 + 应在传输过程中对包含敏感数据或关键数据的 Lambda 函数环境变量进行加密,以保护动态传递给函数的数据(通常是访问信息)免遭未经授权的访问。 + 要防止用户查看环境变量,请在 IAM policy 或密钥政策中的用户权限中添加一条语句,以拒绝用户访问默认密钥、客户管理的密钥或所有密钥。有关更多信息,请参阅[使用 AWS Lambda 环境变量](https://docs.aws.amazon.com/lambda/latest/dg/configuration-envvars.html)。