本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # AWS 付款密碼編譯的安全最佳實務 AWS 付款密碼編譯支援許多內建或您可以選擇性地實作的安全功能,以增強加密金鑰的保護,並確保它們用於其預期用途,包括 [IAM 政策](security_iam_service-with-iam.md)、一組廣泛的政策條件金鑰,以精簡金鑰政策和 IAM 政策,以及內建對金鑰區塊的 PCI PIN 規則強制執行。 **重要** 提供的一般準則不代表完整的安全解決方案。由於並非所有的最佳實務都適用於所有情形,因此這些實務並非為規範性的。 + **金鑰用量和使用模式**: AWS 付款密碼編譯遵循並強制執行金鑰用量和使用模式限制,如 ANSI X9 TR 31-2018 互通性安全金鑰交換金鑰區塊規格中所述,並與 PCI PIN 安全要求 18-3 一致。這會限制將單一金鑰用於多種用途的能力,並以密碼編譯方式將金鑰中繼資料 (例如允許的操作) 繫結至金鑰材料本身。 AWS 付款加密會自動強制執行這些限制,例如金鑰加密金鑰 (TR31\_K0\_KEY\_ENCRYPTION\_KEY) 也無法用於資料解密。如需詳細資訊,請參閱[了解 AWS 付款密碼編譯金鑰的金鑰屬性](keys-validattributes.md)。 + **限制共用對稱金鑰材料**:只與最多一個其他實體共用對稱金鑰材料 (例如 Pin 加密金鑰或金鑰加密金鑰)。如果需要將敏感資料傳輸到更多實體或合作夥伴,請建立其他金鑰。 AWS 付款密碼編譯永遠不會公開對稱金鑰材料或非對稱私有金鑰材料。 + **使用別名或標籤將金鑰與特定使用案例或合作夥伴建立關聯**:別名可用來輕鬆表示與金鑰相關聯的使用案例,例如別名/BIN\_12345\_CVK,以表示與 BIN 12345 相關聯的卡片驗證金鑰。若要提供更多彈性,請考慮建立標籤,例如 bin=12345、use\_case=acquiing、country=us、partner=foo。別名和標籤也可以用於限制存取,例如在發行和取得使用案例之間強制執行存取控制。 + **實行最低權限存取**:IAM 可用來限制系統而非個人的生產存取,例如禁止個別使用者建立金鑰或執行密碼編譯操作。IAM 也可以用來限制存取可能不適用於您的使用案例的命令和金鑰,例如限制為取得者產生或驗證接腳的能力。使用最低權限存取的另一種方法是限制對特定服務帳戶的敏感操作 (例如金鑰匯入)。如需範例,請參閱 [AWS 付款密碼編譯身分型政策範例](security_iam_id-based-policy-examples.md)。 **另請參閱** + [AWS 付款密碼編譯的身分和存取管理](security-iam.md) + 《*IAM 使用者指南*》中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。