# 保護靜態資料 *靜態資料*代表您在工作負載中的任何期間,保留在非揮發性儲存體中的任何資料。其中包括:長期存放資料的區塊儲存體、物件儲存體、資料庫、封存、IoT 裝置和任何其他儲存媒介。實作加密和適當的存取控制,保護靜態資料能將未經授權存取的風險降低。 加密和記號化是兩個重要但截然不同的資料保護方案。 *記號化*是一種過程,可讓您定義權杖來表示敏感資訊 (例如,用權杖來表示客戶的信用卡號)。記號本身必須毫無意義,而且不可衍生自記號化的資料,因此,密碼編譯摘要無法作為記號使用。透過仔細地規劃記號化的方法,您可以為內容提供額外的保護,並確保滿足合規要求。例如,如果您善用記號而非使用信用卡號碼,則可以縮小信用卡處理系統的合規範圍。 *加密*是一種轉換內容的方式,若沒有將內容解密回純文字所需的私密金鑰,就無法讀取。記號化和加密都可以用來適當地保護資訊。此外,遮罩這種技術也允許將資料片段修訂成為剩餘的資料不視為敏感的狀態。例如,PCI-DSS 允許超出合規範圍邊界,保留卡號的後四碼以編製索引。 **稽核加密金鑰的使用**:請確定您了解並稽核加密金鑰的使用,以驗證金鑰的存取控制機制是否正確實作。例如,任何使用 AWS KMS 金鑰的 AWS 服務,都會將每次的使用記錄在 AWS CloudTrail 中。然後,您可以使用 Amazon CloudWatch Logs Insights 等工具來查詢 AWS CloudTrail,以確保金鑰的所有使用都是有效的。 **Topics** + [SEC08-BP01 實作安全金鑰管理](sec_protect_data_rest_key_mgmt.md) + [SEC08-BP02 強制靜態加密](sec_protect_data_rest_encrypt.md) + [SEC08-BP03 自動化靜態資料保護](sec_protect_data_rest_automate_protection.md) + [SEC08-BP04 強制存取控制](sec_protect_data_rest_access_control.md)