加密靜態資料
加密靜態資料
加密資料可安全地儲存靜態資料,而且只有具備 CMK 授權之存取權的一方才能解密。因此,您可以從 AWS CloudTrail 取得信封加密的機密資料、用於授權與驗證加密的政策機制及稽核記錄。有一些 AWS 基礎服務內建了加密靜態資料的功能,讓您可以選擇在將資料寫入非揮發性儲存體之前先行加密。例如,您可以使用 AES-256 加密,為 Amazon EBS 磁碟區加密,以及為 Amazon S3 儲存貯體設定伺服器端加密 (SSE)。Amazon S3 也支援用戶端加密,可讓您在將資料傳送至 Amazon S3 之前先行加密。AWS 開發套件支援用戶端加密,有利於物件的加密與解密作業。Amazon RDS 也支援透明資料加密 (TDE)。
其在 Linux Amazon EC2 執行個體存放區上,可以使用內建的 Linux 程式庫加密資料。此方法會透明地加密檔案,保護機密資料。因此,處理資料的應用程式將不會知道磁碟層級加密。
您有兩種方法可以用來加密執行個體存放區上的檔案:
-
磁碟層級加密:若採用此方法,將會使用一或多組加密金鑰,為整個磁碟或磁碟中的區塊加密。磁碟加密會在檔案系統層級之下運作,不會區分作業系統,並會隱藏目錄與檔案資訊,例如名稱與大小。比方說,Encrypting File System 是 Windows NT 作業系統之新技術檔案系統 (NTFS) 的 Microsoft 擴充套件,可提供磁碟加密。
-
檔案系統層級加密:此方法會加密檔案與目錄,但不會加密整個磁碟或分割區。檔案系統層級加密會在檔案系統之上運作,具備跨作業系統的可攜性。
對於非揮發性記憶體界面 (NVMe) 的 SSD 執行個體存放區磁碟區而言,磁碟層級加密是預設選項。NVMe 執行個體儲存體中的資料,會使用執行個體上硬體模組中實作的 XTS-AES-256 區塊編碼器加密。加密金鑰是以硬體模組來產生,且對每個 NVMe 執行個體儲存體設備而言是唯一的。所有加密金鑰會在執行個體停止或終止時銷毀,且無法復原。您不可使用自己的加密金鑰。
