本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Key Management Service 最佳实践
<a name="introduction"></a>

*亚马逊 Web Services（[贡献者](contributors.md)）*

*2025 年 3 月*（[文档历史记录](doc-history.md)）

[AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 是一项托管服务，可让您轻松创建和控制用于保护数据的加密密钥。本指南描述了如何有效使用 AWS KMS 并提供了最佳实践。它可以帮助您比较配置选项并选择最适合您需求的设置。

本指南包含有关您的组织如何使用 AWS KMS 来保护敏感信息以及为多个用例实施签名的建议。它考虑了使用以下维度的当前建议：
+ **管理密钥**-管理和密钥存储选项的委派选项
+ **数据保护** — 加密您自己的应用程序中的数据，而不是代表您 AWS 服务 进行加密
+ **访问管理** — 使用 AWS KMS 密钥策略和 AWS Identity and Access Management (IAM) 策略实施基于角色的访问控制 (RBAC) 或基于属性的访问控制 (ABAC)。
+ **多账户和多区域架构**-针对大规模部署的建议。
+ **账单和成本管理** — 了解您的成本和使用情况，并就降低成本的方法提出建议。
+ D@@ **etective 控件** — 监控 KMS 密钥的状态、加密设置和加密数据。
+ **事件响应**-更正导致不遵守数据保护策略的错误配置。

## 目标业务成果
<a name="outcomes"></a>

您的数据是企业的重要敏感资产。使用 AWS KMS，您可以管理用于保护和验证数据的加密密钥。您可以控制数据的使用方式、谁有权访问数据以及如何对其进行加密。本指南旨在帮助开发人员、系统管理员和安全专业人员实施加密最佳实践，以帮助您保护存储或传输的敏感数据 AWS 服务。通过理解和实施本指南中的建议，您可以提高整个 AWS 环境中的数据机密性和完整性。无论这些要求是在内部制定的，还是针对合规性或验证计划的特定要求，您都可以满足您的数据保护要求。有关 AWS KMS 如何帮助您保护 AWS 环境中数据的更多信息，请参阅 AWS KMS 文档中的将[AWS KMS 加密与一起 AWS 服务使用](https://docs.aws.amazon.com/kms/latest/developerguide/service-integration.html)。