本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 的加密最佳實務 AWS Lambda
<a name="lambda"></a>

[AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) 是一項運算服務，可協助您執行程式碼，無需佈建或管理伺服器。若要保護您的環境變數，可以使用伺服器端加密來保護您的靜態資料，並使用用戶端加密來保護傳輸中的資料。

請考慮此服務的下列加密最佳實務：
+ Lambda 永遠使用 AWS KMS key提供靜態伺服器端加密。根據預設，Lambda 會使用 AWS 受管金鑰。我們建議您使用客戶受管金鑰，因為您可以完全控制此金鑰，包括管理、輪換和稽核。
+ 對於需要加密的傳輸中的資料，啟用協助程式，這可確保使用偏好 KMS 金鑰對環境變數進行用戶端加密，以在傳輸過程中提供保護。如需詳細資訊，請參閱[保護環境變數](https://docs.aws.amazon.com/lambda/latest/dg/configuration-envvars.html#configuration-envvars-encryption)中的*傳輸中安全*。
+ 儲存敏感或重要資料的 Lambda 函數環境變數應在傳輸過程中進行加密，以協助保護動態傳遞至函數的資料 (通常是存取資訊) 免遭未經授權的存取。
+ 若要防止使用者檢視環境變數，請將陳述式新增至 IAM 政策中的使用者許可，或新增至拒絕存取預設金鑰、客戶受管金鑰或所有金鑰的金鑰政策。如需詳細資訊，請參閱[使用 AWS Lambda 環境變數](https://docs.aws.amazon.com/lambda/latest/dg/configuration-envvars.html)。