本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 關於資料加密
<a name="about-data-encryption"></a>

本節包含加密概念和術語的高階概觀。資料加密可協助您強制執行資料機密性。透過實作加密和存取控制，您可以協助保護企業中的資料。

## 關於加密金鑰
<a name="about-encryption-keys"></a>

加密服務使用加密金鑰來加密資料。*加密金鑰*是由加密演算法產生的隨機位元密碼編譯字串。金鑰長度可能有所不同，每個金鑰的設計都是不可預測且唯一的。加密的強度通常取決於兩個因素：金鑰的長度和使用的演算法。一般而言，較長的金鑰可提供更強的加密。

## 關於加密演算法
<a name="about-encryption-algorithms"></a>

產生加密金鑰的演算法有兩種類型：對稱和非對稱。

*對稱*加密使用相同的金鑰來加密和解密資料。這種類型的加密通常更快，因此對大量資料很有效率。此類型是廣泛使用的加密，且普遍接受為安全。由於單一金鑰同時用於加密和解密，最佳實務是經常變更金鑰，以防止未經授權的人員取得金鑰。如需何時建議對稱加密的詳細資訊，請參閱*常見問答集*一節[何時需要對稱加密？](faq.md#faq-symmetric-encryption)中的 。

*非對稱*加密使用一對金鑰：一個用於加密的公有金鑰和一個用於解密的私有金鑰。您可以共用公有金鑰，因為它不用於解密，但對私有金鑰存取應受到高度限制。非對稱加密通常被視為比對稱加密更安全，但速度較慢，因為它使用較長的金鑰長度，且需要更複雜的加密計算。如需何時建議非對稱加密的詳細資訊，請參閱*常見問答集*一節[何時需要非對稱加密？](faq.md#faq-asymmetric-encryption)中的 。

## 關於信封加密
<a name="about-envelope-encryption"></a>

當您加密資料時，只有在加密金鑰保持秘密時，才會保護資料。用來加密資料的金鑰稱為*資料金鑰*。*信封加密*是使用另一個加密金鑰來加密資料金鑰的做法，稱為*金鑰加密金鑰*。您甚至可以使用另一個加密金鑰來加密該金鑰，以此類推。最後，一個金鑰必須保留為純文字，以便您可以解密金鑰和資料。這個最上層的純文字金鑰加密金鑰稱為*根金鑰*。

封套加密提供多種優勢：
+ **便利性** – 由於您的資料金鑰已加密，因此您可以將其與加密的資料一起存放。
+ **效率** – 加密操作可能會耗時，特別是在大量資料時。這時您可以捨棄使用不同金鑰來多次重新加密原始資料的做法，改成只重新加密負責保護原始資料的資料金鑰。這可讓您提供兩層或更多層的加密保護，而無需重新加密資料。
+ **效能** – 您可以結合加密演算法。例如，您可以對原始資料使用對稱加密，但對資料金鑰使用非對稱加密，這結合了兩種加密演算法的優勢。

如需信封加密的詳細資訊，請參閱[信封加密 ](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping)(AWS Key Management Service 文件）。如需判斷是否需要信封加密的詳細資訊，請參閱*常見問答集*[何時需要信封加密？](faq.md#faq-envelope-encryption)一節中的 。