本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 常見問答集
<a name="faq"></a>

本節提供定義加密標準或在實作階段建立加密基礎設施時，常見問題的答案。

## 何時需要對稱加密？
<a name="faq-symmetric-encryption"></a>

您可以在下列情況下使用對稱加密：
+ 速度、成本和較低的運算開銷是首要任務。
+ 您需要加密大量資料。
+ 加密的資料不會離開組織的網路邊界。

## 何時需要非對稱加密？
<a name="faq-asymmetric-encryption"></a>

您可以在下列情況下使用非對稱加密：
+ 您需要在組織外部共用資料。
+ 法規或控管禁止共用金鑰。
+ 不可否認是必要的。(*不否認*可防止使用者拒絕先前的承諾或動作。)
+ 您需要根據組織角色嚴格隔離對加密金鑰的存取。

## 何時需要信封加密？
<a name="faq-envelope-encryption"></a>

如果您的加密政策需要金鑰輪換，您需要支援和實作信封加密。有些控管和合規機制需要金鑰輪換，或者您的政策可能會強制它以滿足業務需求。

## 何時需要使用硬體安全模組 (HSM)？
<a name="faq-hsm"></a>

如果您的政策指定合規，您可能需要 HSM：
+ 聯邦資訊處理標準 (FIPS) 140-2 第 3 級加密標準。如需詳細資訊，請參閱 [FIPS 驗證](https://docs.aws.amazon.com/cloudhsm/latest/userguide/fips-validation.html) (AWS CloudHSM 文件）。
+ 產業標準 APIs，例如 PKCS\$111、Java 密碼編譯延伸模組 (JCE) 或 Microsoft 密碼編譯 API：新一代 (CNG)

## 為什麼我應該集中管理加密金鑰？
<a name="faq-central-management"></a>

以下是集中式金鑰管理的常見優點：
+ 由於金鑰是在不同的位置使用和管理，因此您可以重複使用金鑰，進而降低成本。
+ 您可以更好地控制對加密金鑰的存取。
+ 將金鑰存放在單一位置可讓您在標準變更時更輕鬆地檢視、稽核和更新金鑰。

## 我是否需要針對靜態資料使用專用加密基礎設施？
<a name="faq-infrastructure"></a>

如果下列任一情況成立，您的企業需要加密基礎設施：
+ 您的企業會處理和存放公有 以外的任何分類資料。
+ 您的企業會擷取和儲存員工或客戶的資料。
+ 您的企業會處理 PII 資料。
+ 您的企業必須符合需要加密資料的法規或控管機制。
+ 您的企業執行主管已強制加密所有靜態資料。

## 如何 AWS KMS 協助我的組織達成靜態資料的加密目標？
<a name="faq-aws-kms"></a>

除了許多其他功能之外， AWS Key Management Service 還可以協助您：
+ 使用信封加密。
+ 控制加密金鑰存取，例如將金鑰管理與金鑰用量分開。
+ 在多個 AWS 區域 和 之間共用金鑰 AWS 帳戶。
+ 集中管理金鑰。
+ 自動化和強制金鑰輪換。