# 保护静态数据 *静态数据*代表您在工作负载期间的任意时间段内保留在非易失性存储器中的任何数据。其中包括数据块存储、对象存储、数据库、存档、IoT 设备和用来保留数据的任何其他存储介质。在实施了加密和适当的访问控制时,保护静态数据可以降低未经授权访问的风险。 加密和令牌化是两个重要但不同的数据保护方案。 *令牌化*是一个支持您定义令牌以表示其他敏感信息的过程(例如代表客户信用卡号的令牌)。令牌自身必须没有任何意义,而且不能是从它令牌化的数据衍生而来 – 因此,无法将加密摘要用作令牌。通过认真规划令牌化方法,您可以为内容提供额外保护,并确保满足合规性要求。例如,如果您使用令牌而不是信用卡号,就可以缩小信用卡处理系统的合规性范围。 *加密*可以将内容转换为这样一种形式:如果用户没有将这些内容解密为纯文本所需的密钥,就无法读取。令牌化和加密都可用于酌情保护信息。此外,可以使用掩码这种技术编辑数据的某个部分,以使剩余的数据不被视为敏感数据。例如,PCI-DSS 允许在合规性范围边界之外保留卡号的最后四位数字,以供索引使用。 **审计加密密钥的使用:**务必了解并审计加密密钥的使用,确保对密钥正确实施访问控制措施。例如,使用 AWS KMS 密钥的任何 AWS 服务都会在 AWS CloudTrail 中记录每次密钥使用。随后,您可以使用 Amazon CloudWatch Logs Insights 等工具查询 AWS CloudTrail,确保密钥的所有使用都有效。 **Topics** + [SEC08-BP01 实施安全密钥管理](sec_protect_data_rest_key_mgmt.md) + [SEC08-BP02 强制实施静态加密](sec_protect_data_rest_encrypt.md) + [SEC08-BP03 自动执行静态数据保护](sec_protect_data_rest_automate_protection.md) + [SEC08-BP04 强制实施访问控制](sec_protect_data_rest_access_control.md)