本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 常见问题解答
<a name="faq"></a>

本节提供定义加密标准或在实施阶段创建加密基础架构时常见问题的答案。

## 我什么时候需要对称加密？
<a name="faq-symmetric-encryption"></a>

在以下情况下，您可以使用对称加密：
+ 速度、成本和较低的计算开销是当务之急。
+ 您需要加密大量数据。
+ 加密的数据不会超出组织网络的边界。

## 我什么时候需要非对称加密？
<a name="faq-asymmetric-encryption"></a>

在以下情况下，您可以使用非对称加密：
+ 您需要在组织外部共享数据。
+ 法规或治理禁止共享密钥。
+ 不可否认是必需的。（*不可否*认性可防止用户否认先前的承诺或行动。）
+ 您需要根据组织角色严格隔离对加密密钥的访问权限。

## 我什么时候需要信封加密？
<a name="faq-envelope-encryption"></a>

如果您的加密策略要求密钥轮换，则需要支持和实施信封加密。某些治理和合规制度要求密钥轮换，或者您的政策可能要求密钥轮换以满足业务需求。

## 我何时需要使用硬件安全模块 (HSM)？
<a name="faq-hsm"></a>

如果您的政策规定符合以下条件，则可能需要一个 HSM：
+ 联邦信息处理标准 (FIPS) 140-2 第 3 级加密标准。有关更多信息，请参阅 [FIPS 验证](https://docs.aws.amazon.com/cloudhsm/latest/userguide/fips-validation.html)（AWS CloudHSM 文档）。
+ 行业标准 APIs，例如 PKCS \$111、Java 密码学扩展 (JCE) 或微软密码学 API：下一代 (CNG)

## 我为什么要集中管理加密密钥？
<a name="faq-central-management"></a>

以下是集中式密钥管理的常见好处：
+ 由于密钥在不同的位置使用和管理，因此您可以重复使用密钥，从而降低成本。
+ 您可以更好地控制对加密密钥的访问权限。
+ 将密钥存储在单一位置可以更轻松地查看、审计和更新密钥，以防标准发生变化。

## 我是否需要为静态数据使用专门构建的加密基础架构？
<a name="faq-infrastructure"></a>

如果以下任一情况属实，则您的企业需要加密基础架构：
+ 您的企业处理和存储除公共以外的任何分类的数据。
+ 您的企业会捕获和存储有关员工或客户的数据。
+ 您的企业会处理 PII 数据。
+ 您的企业必须遵守要求对数据进行加密的监管或治理制度。
+ 您的企业高管已要求对所有静态数据进行加密。

## 如何 AWS KMS 帮助我的组织实现静态数据的加密目标？
<a name="faq-aws-kms"></a>

除了许多其他功能外， AWS Key Management Service 还可以帮助您：
+ 使用信封加密。
+ 控制加密密钥的访问权限，例如将密钥管理与密钥使用分开。
+ 在多个 AWS 区域 和之间共享密钥 AWS 账户。
+ 集中管理密钥。
+ 自动执行和强制密钥轮换。