本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 密钥管理
<a name="key-management"></a>

客户可以指定 AWS KMS 密钥，包括自带密钥 (BYOK)，用于对 Amazon S3 input/output 存储桶和机器学习 (ML) Amazon EBS 卷进行信封加密。笔记本实例以及用于处理、训练和托管模型 Docker 容器的 ML 卷可以选择使用 AWS KMS 客户拥有的密钥进行加密。所有实例操作系统卷均使用 AWS托管密 AWS KMS 钥进行加密。

**注意**  
某些基于 Nitro 的实例包括本地存储，具体取决于实例类型。使用实例上的硬件模块对本地存储卷进行加密。在将实例类型用于本地存储时，无法请求 `VolumeKmsKeyId`。  
有关支持本地实例存储的实例类型的列表，请参阅[实例存储卷](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html#instance-store-volumes)。  
有关本地实例存储加密的更多信息，请参阅 [SSD 实例存储卷](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ssd-instance-store.html)。  
有关基于 Nitro 的实例上的存储卷的更多信息，请参阅 [Amazon EBS 和 NVMe Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nvme-ebs-volumes.html) 实例。

有关 AWS KMS 密钥的信息，请参阅[什么是 AWS 密钥管理服务？](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 在《*AWS Key Management Service 开发人员指南》*中。