SEC08-BP02 強制靜態加密

您應該確保存放資料的唯一方法是使用加密。AWS Key Management Service (AWS KMS) 與許多 AWS 服務無縫整合，讓您更輕鬆地為所有靜態資料加密。例如，在 Amazon Simple Storage Service (Amazon S3) 中，您可以在儲存貯體上設定預設加密，以便將所有新物件自動加密。此外，Amazon Elastic Compute Cloud (Amazon EC2) 和 Amazon S3 透過設定預設加密來支援強制加密。您可以使用 AWS Config 規則，自動檢查您是否正在將加密用於，例如， Amazon Elastic Block Store (Amazon EBS) 磁碟區， Amazon Relational Database Service (Amazon RDS) 執行個體和 Amazon S3 儲存貯體。

若未建立此最佳實務，暴露的風險等級： 高

實作指引

強制對 Amazon Simple Storage Service (Amazon S3) 執行靜態加密：實作 Amazon S3 儲存貯體預設加密。
- 如何針對 S3 儲存貯體啟用預設加密？
使用 AWS Secrets Manager：Secrets Manager 是一項 AWS 服務，可讓您更輕鬆地管理機密。機密可以是資料庫登入資料、密碼、第三方 API 金鑰，甚至是任意文字。
- AWS Secrets Manager
設定新 EBS 磁碟區的預設加密：使用 AWS 提供的預設金鑰或您自行建立的金鑰，指定您希望以加密形式建立所有新的 EBS 磁碟區。
- EBS 磁碟區的預設加密
設定加密的 Amazon Machine Images (AMI)：複製已啟用加密的現有 AMI 會自動加密根磁碟區和快照。
- 帶有加密快照的 AMI
設定 Amazon Relational Database Service (Amazon RDS)：透過啟用加密選項，為您的 Amazon RDS 資料庫叢集和靜態快照設定啟用加密。
- 加密 Amazon RDS 資源
在其他 AWS 服務中設定加密：對於您使用的 AWS 服務，請決定加密功能。
- AWS 文件

相關文件：

相關影片：

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

SEC08-BP01 實作安全金鑰管理

SEC08-BP03 將靜態資料保護自動化