# 加密静态数据 [加密静态数据](https://d1.awsstatic.com/whitepapers/AWS_Securing_Data_at_Rest_with_Encryption.pdf)对于法规遵从性和数据保护至关重要。它有助于确保任何没有有效密钥的用户或应用程序都无法读取保存在磁盘上的敏感数据。AWS 为静态加密和加密密钥管理提供了多个选项。例如,您可以将 AWS Encryption SDK 与在 AWS KMS 中创建和管理的 CMK 结合使用来加密任意数据。 加密的数据可以安全地以静态形式存储,并且只能由有权访问 CMK 的一方解密。因此,您可以获得机密的信封加密数据、用于授权和经过身份验证的加密的策略机制,以及通过 AWS CloudTrail 进行的审计日志记录。一些 AWS Foundation Services 具有内置的静态加密功能,提供了在将数据写入非易失性存储之前对其进行加密的选项。例如,您可以使用 AES-256 加密对 Amazon EBS 卷进行加密并配置 Amazon S3 存储桶以进行服务器端加密(SSE)。Amazon S3 还支持*客户端加密*,这允许您在将数据发送到 Amazon S3 之前对其进行加密。AWS SDK 支持客户端加密,以方便对象的加密和解密操作。Amazon RDS 还支持透明数据加密(TDE)。 可以使用内置的 Linux 库对 Linux Amazon EC2 实例存储上的数据进行加密。这种方法可以透明地加密文件,保护机密数据。因此,处理数据的应用程序不会发现磁盘级别的加密。 您可以使用两种方法来加密实例存储上的文件: + **磁盘级加密** — 使用此方法,整个磁盘或磁盘中的一个数据块使用一个或多个加密密钥进行加密。磁盘加密在文件系统级别以下运行,与操作系统无关,并隐藏目录和文件信息,如名称和大小。例如,加密文件系统是 Windows NT 操作系统新技术文件系统(NTFS)的 Microsoft 扩展,该系统提供磁盘加密。 + **文件系统级加密** — 通过这种方法,会加密文件和目录,但不是整个磁盘或分区。文件系统级加密在文件系统之上运行,并且可跨操作系统移植。 对于非易失性存储标准(NVMe)[SSD 实例存储卷](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ssd-instance-store.html),*磁盘级加密*是默认选项。NVMe 实例存储中的数据使用 XTS-AES-256 分组密码进行加密,这一密码在实例上的硬件模块中实现。加密密钥使用硬件模块生成,并且对于每个 NVMe 实例存储设备都是唯一的。所有加密密钥会在实例停止或终止时被销毁,并且无法恢复。您不能使用自己的加密密钥。