本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Key Management Service 最佳實務
<a name="introduction"></a>

*Amazon Web Services [（貢獻者](contributors.md))*

*2025 年 3 月* ([文件歷史記錄](doc-history.md))

[AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 是一種受管服務，可讓您輕鬆建立和控制用來保護資料的加密金鑰。本指南說明如何有效地使用 AWS KMS 和提供最佳實務。它可協助您比較組態選項，並根據您的需求選擇最佳設定。

本指南包含有關組織如何使用 AWS KMS 來保護敏感資訊並實作多個使用案例簽署的建議。它會考慮使用下列維度的目前建議：
+ **管理金鑰** – 管理和金鑰儲存選擇的委派選項
+ **資料保護** – 在您自己的應用程式中加密資料，而不是代表您 AWS 服務 進行加密
+ **存取管理** – 使用 AWS KMS 金鑰政策和 AWS Identity and Access Management (IAM) 政策來實作角色型存取控制 (RBAC) 或屬性型存取控制 (ABAC)。
+ **多帳戶和多區域架構** – 大規模部署的建議。
+ **帳單和成本管理** – 了解您的成本和用量，以及降低成本的建議。
+ **Detective 控制** – 監控 KMS 金鑰、加密設定和加密資料的狀態。
+ **事件回應** – 更正導致不符合資料保護政策的錯誤設定。

## 目標業務成果
<a name="outcomes"></a>

您的資料是您業務的關鍵和敏感資產。透過 AWS KMS，您可以管理用來保護和驗證資料的加密金鑰。您可以控制資料的使用方式、誰可以存取資料，以及資料的加密方式。本指南旨在協助開發人員、系統管理員和安全專業人員實作加密最佳實務，協助您保護儲存或傳輸的敏感資料 AWS 服務。透過了解並實作本指南中的建議，您可以在整個 AWS 環境中提升資料機密性和完整性。您可以滿足您的資料保護要求，無論這些要求是在內部制定，或者您有合規或驗證計劃的特定要求。如需有關 AWS KMS 如何協助您保護 AWS 環境中資料的詳細資訊，請參閱 AWS KMS 文件中的[使用 AWS KMS 加密搭配 AWS 服務](https://docs.aws.amazon.com/kms/latest/developerguide/service-integration.html) 。