本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Textract 中的加密
<a name="encryption"></a>

数据加密是指在传输中和静态数据时保护数据。您可以使用 Amazon S3 托管密钥来保护您的数据或AWS KMS key在运输过程中，还有标准传输层安全性。

## 静态加密
<a name="encryption-at-rest"></a>

在 Amazon Textract 中加密数据的主要方法是服务器端加密。从 Amazon S3 存储桶传递的输入文档由 Amazon S3 加密，并在您访问它们时进行解密。只要您验证了您的请求并且拥有访问权限，您访问加密和未加密对象的方式就没有区别。例如，如果您使用预签名的 URL 来共享您的对象，那么对于加密和解密对象，该 URL 的工作方式是相同的。此外，当您列出存储桶中的对象时，`List`API 会返回所有对象的列表（无论对象是否加密）。

Amazon Textract 使用两种互斥的服务器端加密方法。

**具有 Amazon S3 托管密钥的服务器端加密 (SSE-S3)**

当您将服务器端加密用于 Amazon S3 托管密钥 (SSE-S3) 时，每个对象均使用唯一密钥加密。作为额外的保护，此方法将使用定期轮换的主密钥加密密密密钥本身。Amazon S3 服务器端加密使用可用的最强数据块密码之一、256 位高级加密标准 (AES-256) 来加密您的数据。有关更多信息，请参阅使用服务器端加密与 Amazon S3 托管加密密钥 (SSE-S3) 保护数据。

**使用存储在 AWS Key Management Service 中的 KMS 密钥的服务器端加密 (SSE-KMS)**

在 AWS Key Management Service 中存储 KMS 密钥的服务器端加密 (SSE-KMS) 与 SSE-S3 类似，使用该服务具有一些额外的好处，但也要额外收取费用。使用 KMS 密钥需要单独的权限，该密钥可进一步防止未经授权地访问 Amazon S3 中的对象。SSE-KMS 还向您提供审核跟踪，显示您的 KMS密钥的使用时间和使用者。此外，您可以创建和管理 KMS 密钥或使用AWS 托管式密钥这是您、服务和区域独有的。有关更多信息，请参阅 。使用服务器端加密保护数据将 KMS 密钥存储在 AWS Key Management Service (SSE-KMS) 中。

## 传输中加密
<a name="encryption-in-transit"></a>

对于传输中的数据，Amazon Textract 使用传输层安全性 (TLS) 加密服务和代理之间发送的数据。此外，Amazon Textract 使用 VPC 终端节点在 Amazon Textract 处理文档时使用的各种微服务之间发送数据。