本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 實作
<a name="implementation"></a>

在此策略中，*架構*是指加密標準的技術實作。本節包含 [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 和 AWS 服務等相關資訊[AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html)，可協助您根據您的政策和標準實作data-at-rest加密策略。

AWS KMS 是一項受管服務，可協助您建立和控制用來保護資料的加密金鑰。KMS 金鑰永遠不會讓服務保持未加密狀態。若要使用或管理您的 KMS 金鑰，您會與 互動 AWS KMS，而且許多 AWS 服務 都與 整合 AWS KMS。

AWS CloudHSM 是一種密碼編譯服務，用於在您的 AWS 環境中建立和維護*硬體安全模組* HSMs)。HSMs是處理密碼編譯操作並為密碼編譯金鑰提供安全儲存的運算裝置。如果您的標準要求您使用 FIPS 140-2 第 3 級驗證硬體，或您的標準要求使用業界標準 APIs，例如 PKCS\#11、Java 密碼編譯延伸模組 (JCE) 和 Microsoft CryptoNG (CNG)，則您可能會考慮使用 AWS CloudHSM。

您可以將 AWS CloudHSM 設定為 的自訂金鑰存放區 AWS KMS。此解決方案結合了 的便利性和服務整合 AWS KMS ，以及在您的 中使用 AWS CloudHSM 叢集的額外控制和合規優勢 AWS 帳戶。如需詳細資訊，請參閱[自訂金鑰存放區](https://docs.aws.amazon.com/kms/latest/developerguide/custom-key-store-overview.html) (AWS KMS 文件）。

本文件討論高階 AWS KMS 功能，並說明如何 AWS KMS 解決您的政策和標準。

## 成本、便利性和控制
<a name="cost-convenience-control"></a>

AWS KMS 提供不同類型的金鑰。有些由 擁有或管理 AWS，有些則由 客戶建立和管理。您可以根據您想要對金鑰和成本考量的控制層級，在這些選項之間進行選擇：
+ **AWS 擁有的金鑰** - AWS 擁有和管理這些金鑰，而且它們用於多個 AWS 帳戶。有些 AWS 服務 支援 AWS 擁有的金鑰。您可以免費使用這些金鑰。此金鑰類型可免除您管理金鑰生命週期和存取金鑰的成本和管理開銷。如需此類型金鑰的詳細資訊，請參閱[AWS 擁有的金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) (AWS KMS 文件）。
+ **AWS 受管金鑰** – 如果 已與 AWS 服務 整合 AWS KMS，則可以代表您建立、管理和使用這類金鑰，以保護您在該服務中的資源。這些金鑰會在您的 中建立 AWS 帳戶，而且 AWS 服務 只能使用它們。 AWS 受管金鑰不收取月費。它們可能會收取超過免費方案使用的費用，但有些會為您 AWS 服務 支付這些費用。您可以使用身分政策來控制這些金鑰的檢視和稽核存取權，但 會 AWS 管理金鑰生命週期。如需此類型金鑰的詳細資訊，請參閱 [AWS 受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (AWS KMS 文件）。如需與 AWS 服務 整合之 的完整清單 AWS KMS，請參閱[AWS 服務 整合](https://aws.amazon.com/kms/features/#AWS_Service_Integration) (AWS 行銷）。
+ **客戶受管金鑰** – 您可以建立、擁有和管理這類金鑰，而且您可以完全控制金鑰生命週期。對於職責分離，您可以使用身分和資源型政策來控制對金鑰的存取。您也可以設定自動[金鑰輪換](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)。客戶受管金鑰會產生每月費用，如果您超過免費方案，也會產生使用費。如需此類型金鑰的詳細資訊，請參閱[客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) (AWS KMS 文件）。

如需金鑰儲存和用量的詳細資訊，請參閱[AWS Key Management Service 定價](https://aws.amazon.com/kms/pricing/) (AWS 行銷）。

## 效能和加密類型
<a name="performance"></a>

根據標準中選擇的加密類型，您可以使用兩種類型的 KMS 金鑰。
+ **對稱** – 所有 AWS KMS key 類型都支援對稱加密。加密客戶受管金鑰時，您可以使用單一強度金鑰來使用 AES-256-GCM 進行加密和解密。
+ **非對稱** – 客戶受管金鑰支援非對稱加密。您可以根據預期用途，在不同的金鑰強度和演算法之間進行選擇。非對稱金鑰可以使用 RSA 加密和解密，也可以使用 RSA 或 ECC 簽署和驗證操作。非對稱金鑰演算法本質上可提供角色的分離，並簡化金鑰管理。搭配 使用非對稱加密時 AWS KMS，不支援某些操作，例如輪換金鑰和匯入外部金鑰材料。

如需對稱和非對稱金鑰支援 AWS KMS 之操作的詳細資訊，請參閱[金鑰類型參考](https://docs.aws.amazon.com/kms/latest/developerguide/symm-asymm-compare.html) (AWS KMS 文件）。

### 封套加密
<a name="envelope-encryption"></a>

內建信封加密 AWS KMS。在 中 AWS KMS，您會以純文字或加密格式產生資料金鑰。加密的資料金鑰會使用 KMS 金鑰加密。您可以將 KMS 金鑰存放在 AWS CloudHSM 叢集的自訂金鑰存放區中。如需信封加密優點的詳細資訊，請參閱[關於信封加密](about-data-encryption.md#about-envelope-encryption)。

## 金鑰儲存位置
<a name="storage"></a>

您可以使用 政策來管理對 AWS KMS 資源的存取。*政策*說明誰可以存取哪些資源。連接至 AWS Identity and Access Management (IAM) 主體的政策稱為*身分型政策*或 *IAM 政策*。連接到其他類型資源的政策稱為*資源政策*。 的資源 AWS KMS 政策 AWS KMS keys 稱為*金鑰政策*。每個 KMS 金鑰都有金鑰政策。

金鑰政策提供彈性，以分散式方式將加密金鑰存放在中央位置，或將其存放在更接近資料的位置。當您決定將 KMS 金鑰存放在您的 時，請考慮下列 AWS KMS 功能 AWS 帳戶：
+ **單一區域基礎設施支援** – 根據預設，KMS 金鑰是區域特定的，而且永遠不會保持 AWS KMS 未加密狀態。如果您的標準對於在特定地理位置控制金鑰有嚴格的要求，請使用單一區域金鑰來探索 。
+ **多區域基礎設施支援** – AWS KMS 也支援稱為*多區域金鑰的特殊用途金鑰*類型。在多個 中存放資料 AWS 區域 是災難復原的常見組態。透過使用多區域金鑰，您可以在區域之間傳輸資料，而無需重新加密，而且您可以像在每個區域中擁有相同的金鑰一樣管理資料。如果您的標準要求加密基礎設施在主動-主動組態中跨越多個區域，此功能非常有用。如需詳細資訊，請參閱[多區域金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) (AWS KMS 文件）。
+ **集中式管理** – 如果您的標準需要將金鑰存放在集中位置，您可以使用 AWS KMS 將所有加密金鑰存放在單一位置 AWS 帳戶。您可以使用金鑰政策來授予其他應用程式的存取權，這些應用程式可以位於相同區域中的不同帳戶中。集中式金鑰管理可以降低管理金鑰生命週期和金鑰存取控制的管理開銷。
+ **外部金鑰材料** – 您可以將外部產生的金鑰材料匯入 AWS KMS。此功能的支援適用於單一和多區域對稱金鑰。由於對稱金鑰的材質是在外部產生，因此您有責任保護產生的金鑰材料。如需詳細資訊，請參閱[匯入的金鑰材料](https://docs.aws.amazon.com/kms/latest/developerguide/importing-keys.html) (AWS KMS 文件）。

## 存取控制
<a name="controlling-access"></a>

在 中 AWS KMS，您可以使用下列政策機制實作精細層級的存取控制：[金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)、[IAM 政策和](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html)[授予](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。使用這些控制項，您可以根據角色設定職責分離，例如管理員、可加密資料的主要使用者、可解密資料的主要使用者，以及可同時加密和解密資料的主要使用者。如需詳細資訊，請參閱[身分驗證和存取控制](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) (AWS KMS 文件）。

## 稽核和記錄
<a name="auditing-and-logging"></a>

AWS KMS 與 AWS CloudTrail 和 Amazon EventBridge 整合，用於記錄和監控目的。所有 AWS KMS API 操作都會記錄在 CloudTrail 日誌中並可供稽核。您可以使用 Amazon CloudWatch、EventBridge 和 AWS Lambda 來設定自訂監控解決方案，以設定通知和自動修復。如需詳細資訊，請參閱[記錄和監控](https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html) (AWS KMS 文件）。