本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
常見問答集
本節提供定義加密標準或在實作階段建立加密基礎設施時,常見問題的答案。
何時需要對稱加密?
您可以在下列情況下使用對稱加密:
-
速度、成本和較低的運算開銷是首要任務。
-
您需要加密大量資料。
-
加密的資料不會離開組織的網路邊界。
何時需要非對稱加密?
您可以在下列情況下使用非對稱加密:
-
您需要在組織外部共用資料。
-
法規或控管禁止共用金鑰。
-
不可否認為必要項目。(不否認可防止使用者拒絕先前的承諾或動作。)
-
您需要根據組織角色嚴格隔離對加密金鑰的存取。
何時需要信封加密?
如果您的加密政策需要輪換金鑰,則需要支援和實作信封加密。有些管理和合規機制需要金鑰輪換,或者您的政策可能會強制它來滿足業務需求。
何時需要使用硬體安全模組 (HSM)?
如果您的政策指定遵循下列各項,則您可能需要 HSM:
-
聯邦資訊處理標準 (FIPS) 140-2 第 3 級加密標準。如需詳細資訊,請參閱 FIPS 驗證 (AWS CloudHSM 文件)。
-
產業標準 APIs,例如 PKCS#11、Java 密碼編譯延伸模組 (JCE) 或 Microsoft 密碼編譯 API:新一代 (CNG)
為什麼我應該集中管理加密金鑰?
以下是集中式金鑰管理的常見優點:
-
由於金鑰是在不同的位置使用和管理,因此您可以重複使用金鑰,進而降低成本。
-
您可以對加密金鑰的存取進行更多控制。
-
將金鑰存放在單一位置可讓您在標準變更時更輕鬆地檢視、稽核和更新金鑰。
我是否需要使用專用加密基礎設施來儲存靜態資料?
如果您的企業需要加密基礎設施,如果下列任一情況為真:
-
您的企業會處理和存放公開以外的任何分類資料。
-
您的企業會擷取和存放員工或客戶的資料。
-
您的企業會處理 PII 資料。
-
您的企業必須符合需要加密資料的法規或控管機制。
-
您的企業執行領導階層已強制加密所有靜態資料。
如何 AWS KMS 協助我的組織達成靜態資料的加密目標?
除了許多其他功能之外, AWS Key Management Service 還可以協助您:
-
使用信封加密。
-
控制加密金鑰存取,例如將金鑰管理與金鑰用量分開。
-
在多個 AWS 區域 和 之間共用金鑰 AWS 帳戶。
-
集中管理金鑰。
-
自動化和強制金鑰輪換。
