本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 关于数据加密
<a name="about-data-encryption"></a>

本节包含加密概念和术语的高级概述。数据加密可帮助您强制执行数据机密性。通过实施加密和访问控制，您可以帮助保护企业中的数据。

## 关于加密密钥
<a name="about-encryption-keys"></a>

加密服务使用加密密钥来加密数据。*加密密钥*是由加密算法生成的随机位的加密字符串。密钥的长度可能有所不同，而且每个密钥都设计为不可预测且唯一。加密的强度通常取决于两个因素：密钥的长度和使用的算法。通常，较长的密钥可提供更强的加密。

## 关于加密算法
<a name="about-encryption-algorithms"></a>

生成加密密钥的算法有两种：对称算法和非对称算法。

*对称*加密使用相同的密钥来加密和解密数据。这种类型的加密通常速度更快，因此可以高效处理大量数据。这种类型的加密已被广泛使用，并且被普遍认为是安全的。由于加密和解密都使用单个密钥，因此最佳做法是经常更改密钥，以防止未经授权的人员获取密钥。有关何时建议使用对称加密的更多信息，请参阅[我什么时候需要对称加密？](faq.md#faq-symmetric-encryption)*常见问题解答*部分中的。

*非对称*加密使用一对密钥，一个公钥用于加密，一个私钥用于解密。您可以共享公钥，因为它不用于解密，但对私钥的访问应受到严格限制。人们普遍认为非对称加密比对称加密更安全，但它速度较慢，因为它使用的密钥长度更长，并且需要更复杂的加密计算。有关何时建议使用非对称加密的更多信息，请参阅[我什么时候需要非对称加密？](faq.md#faq-asymmetric-encryption)*常见问题解答*部分中的。

## 关于信封加密
<a name="about-envelope-encryption"></a>

加密数据时，只有当您的加密密钥保持机密时，数据才会受到保护。用于加密数据的密钥称为*数据密钥*。*信封加密**是使用另一个加密密钥（称为密钥加密密钥）对数据密钥进行加密的做法。*您甚至可以使用另一个加密密钥对该密钥进行加密，依此类推。最终，一个密钥必须以明文形式保存，这样您就可以解密密钥和数据。此顶级明文密钥加密密钥称为*根密钥*。

信封加密可提供以下多种优势：
+ **便利** — 由于您的数据密钥已加密，因此您可以将其与加密数据一起存储。
+ **效率** — 加密操作可能很耗时，尤其是在数据量大的情况下。您可以只重新加密保护原始数据的数据密钥，而无需使用不同的密钥多次重新加密原始数据。这允许您提供两层或多层加密保护，而无需重新加密数据。
+ **性能**-您可以组合加密算法。例如，您可以对原始数据使用对称加密，但对数据密钥使用非对称加密，这结合了两种加密算法的优势。

有关信封加密的更多信息，请参阅[信封加密](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping)（AWS Key Management Service 文档）。有关决定是否需要信封加密的更多信息，请参阅[我什么时候需要信封加密？](faq.md#faq-envelope-encryption)*常见问题解答*部分中的。