本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon EC2 和 Amazon EBS 的加密最佳實務 [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html) 在 AWS 雲端中提供可擴展的運算容量。您可以視需要啟動任意數量的虛擬伺服器,,並快速進行擴展或縮減。[Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/ebs/latest/userguide/what-is-ebs.html) 提供區塊層級儲存體磁碟區,可與 EC2 執行個體搭配使用。 請考慮這些服務的下列加密最佳實務: + 使用適當的資料分類金鑰和值來標記所有 EBS 磁碟區。這可協助您根據您的政策判斷和實作適當的安全和加密要求。 + 根據您的加密政策和技術可行性,為 EC2 執行個體之間或 EC2 執行個體與內部部署網路之間傳輸中的資料設定加密。 + 您可以同時加密 EC2 執行個體的開機和資料 EBS 磁碟區。加密的 EBS 磁碟區可保護下列資料: + 磁碟區內的待用資料 + 所有在磁碟區和執行個體間移動的資料 + 所有從磁碟區建立的快照 + 所有從那些快照建立的磁碟區 如需詳細資訊,請參閱 [EBS 加密運作方式](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)。 + 在目前的 中,為您的帳戶預設啟用 EBS 磁碟區的加密 AWS 區域。這會強制加密任何新的 EBS 磁碟區和快照複本。不會影響現有的 EBS 磁碟區或快照。如需詳細資訊,請參閱[預設啟用加密](https://docs.aws.amazon.com/ebs/latest/userguide/work-with-ebs-encr.html#encryption-by-default)。 + 為 Amazon EC2 執行個體加密執行個體儲存體根磁碟區。這有助於保護與作業系統一起儲存的組態檔案和資料。如需詳細資訊,請參閱[如何使用 Amazon EC2 執行個體存放區加密保護靜態資料](https://aws.amazon.com/blogs/security/how-to-protect-data-at-rest-with-amazon-ec2-instance-store-encryption/) (AWS 部落格文章) + 在 中 AWS Config,實作[加密磁碟區](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html)規則來自動檢查,以驗證和強制執行適當的加密組態。