本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Translate 中的数据保护
<a name="data-protection"></a>

Amazon Translate 符合 AWS [分担责任模式](https://aws.amazon.com/compliance/shared-responsibility-model/)，其中包括数据保护的法规和指南。 AWS 负责保护运行所有 AWS 服务的全球基础架构。 AWS 保持对托管在此基础架构上的数据的控制，包括用于处理客户内容和个人数据的安全配置控制。 AWS 客户和 APN 合作伙伴，无论是作为数据控制者还是数据处理者，都应对他们在 AWS 云端存储的任何个人数据负责。

出于数据保护目的，我们建议您保护 AWS 账户凭证并使用 AWS Identity and Access Management (IAM) 设置角色，这样每位用户仅获得履行其工作职责所需的权限。还建议您通过以下方式保护数据：
+ 对每个账户使用多重身份验证（MFA）。
+ 用于 SSL/TLS 与 AWS 资源通信。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。
+ 使用 AWS 加密解决方案以及 AWS 服务中的所有默认安全控制。
+ 使用高级托管安全服务（例如 Amazon Macie），它有助于发现和保护存储在 Amazon Simple Storage Service (Amazon S3) 中的个人数据。

我们强烈建议您切勿将敏感的可识别信息（例如您客户的账号）放入自由格式字段（例如**名称**字段）。这包括您使用控制台、API 或使用 Amazon Translate 或其他 AWS 服务时 AWS SDKs。 AWS CLI您输入到 Amazon Translate 或其它服务中的任何数据都可能被选取以包含在诊断日志中。当您向外部服务器提供网址时，请勿在网址中包含凭证信息来验证您对该服务器的请求。

有关数据保护的更多信息，请参阅*AWS 安全性博客* 上的[AWS 责任共担模式和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。

**Topics**
+ [静态加密](encryption-at-rest.md)
+ [传输中加密](encryption-in-transit.md)

# 静态加密
<a name="encryption-at-rest"></a>

对于您使用 Amazon Translate 运行的批量翻译作业，您的翻译输入和输出都是静态加密的。但是，各自的加密方法都有所不同。

Amazon Translate 还使用使用默认密钥加密的 Amazon Elastic Block Store (Amazon EBS) 卷。

## 翻译输入
<a name="encryption-at-rest-input"></a>

在使用 Amazon Translate 批量翻译文档时，您将一组输入文档存储在 Amazon S3 存储桶中。要静态加密这些文档，您可以使用 Amazon S3 提供的 SSE-S3 服务器端加密选项。使用此选项，每个对象均使用由 Amazon S3 管理的唯一密钥加密。

有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[使用采用 Amazon S3 托管加密密钥的服务器端加密 (SSE-S3) 保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。

## 翻译输出
<a name="encryption-at-rest-output"></a>

当 Amazon Translate 完成批量翻译任务时，它会将输出内容放入您 AWS 账户中的 Amazon S3 存储桶中。为了静态加密输出，Amazon Translate 使用 Amazon S3 提供的 SSE-KMS 加密选项。使用此选项，您的输出将使用存储在 AWS Key Management Service (AWS KMS) 中的密钥进行加密。

有关 SSE 的更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[通过 AWS Key Management Service (SSE-KMS) 使用服务器端加密保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)。

有关 KMS 密钥的更多信息，请参阅《AWS Key Management Service 开发人员指南》**中的 [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)。

Amazon Translate 可以使用以下任一类型的密钥：

**AWS 托管式密钥**  
默认情况下，Amazon Translate 使用 *AWS 托管式密钥*。此类型的 KMS 密钥由您的账户创建 AWS 并存储在您的账户中。但是，您无法自己管理此 KMS 密钥，只能由 AWS代表您管理和使用。

**客户托管密钥**  
或者，您可以选择使用*客户托管密钥加密输出，该密钥*是您在 AWS 账户中创建、拥有和管理的 KMS 密钥。  
在使用您自己的 KMS 密钥之前，您必须为 Amazon Translate 用于访问 Amazon S3 中输出存储桶的 IAM 服务角色添加权限。如果您想使用其他 AWS 账户中的 KMS 密钥，还必须更新中的密钥策略 AWS KMS。有关更多信息，请参阅 [自定义加密的必备权限](async-prereqs.md#async-prereqs-permissions-custom-encryption)。  
在运行批量翻译作业时，您可以选择使用客户托管密钥。有关更多信息，请参阅 [运行批量翻译作业](async-start.md)。

# 传输中加密
<a name="encryption-in-transit"></a>

为加密传输中数据，Amazon Translate 结合使用 TLS 1.2 和 AWS 证书。