# SEC08-BP02 强制实施静态加密
您应确保只以加密的方式存储数据。AWS Key Management Service(AWS KMS)与大量 AWS 服务无缝集成,使您能够更轻松地加密所有静态数据。例如,在 Amazon Simple Storage Service(Amazon S3)中,您可以对存储桶设置 [默认加密](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) ,以自动加密所有的新对象。此外,[Amazon Elastic Compute Cloud (Amazon EC2) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)和 [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) 支持通过设置默认加密来强制加密。您可以使用 [AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 自动检查您已使用了加密,例如针对 [Amazon Elastic Block Store(Amazon EBS)卷](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)、 [Amazon Relational Database Service(Amazon RDS)实例](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)和 [Amazon S3 存储桶](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html)。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 对 Amazon Simple Storage Service(Amazon S3)强制实施静态加密:实施 Amazon S3 存储桶默认加密。
+ [如何为 S3 存储桶启用默认加密?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ 使用 AWS Secrets Manager:Secrets Manager 是一项 AWS 服务,让您能够轻松地管理密钥。密钥可以是数据库凭证、密码、第三方 API 密钥甚至任意文本。
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ 为新的 EBS 卷配置默认加密:指定所有新创建的 EBS 卷要以加密形式创建,并选择使用 AWS 提供的默认密钥或您创建的密钥。
+ [EBS 卷的默认加密](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ 配置加密亚马逊云机器镜像(AMI):通过复制启用加密功能的现有 AMI,可自动加密根卷和快照。
+ [有加密快照的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ 配置 Amazon Relational Database Service(Amazon RDS)加密:通过启用加密选项,配置对您的 Amazon RDS 数据库集群和静态快照的加密。
+ [加密 Amazon RDS 资源](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)
+ 在其他 AWS 服务中配置加密:对于您使用的 AWS 服务,请确定加密功能。
+ [AWS 文档](https://docs.aws.amazon.com/)
## 资源
**相关文档:**
+ [有加密快照的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ [AWS 加密工具](https://docs.aws.amazon.com/aws-crypto-tools)
+ [AWS 文档](https://docs.aws.amazon.com/)
+ [AWS 加密开发工具包](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [AWS KMS 加密详情白皮书](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ [AWS 加密服务和工具](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Amazon EBS 加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [EBS 卷的默认加密](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [加密 Amazon RDS 资源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [如何为 S3 存储桶启用默认加密?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [利用加密保护 Amazon S3 数据](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**相关视频:**
+ [AWS 中的加密原理](https://youtu.be/plv7PQZICCM)
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)