# SEC08-BP01 實作安全金鑰管理
<a name="sec_protect_data_rest_key_mgmt"></a>

 透過定義加密方法 (包含金鑰的儲存、輪換和存取控制)，可以協助保護您的內容，免於未經授權的使用者和不必要的向授權使用者透露。AWS Key Management Service (AWS KMS) 可協助您管理加密金鑰， [並與許多 AWS 服務整合](https://aws.amazon.com/kms/details/#integration)。此服務為您的 AWS KMS 金鑰提供耐用、安全和冗餘的儲存。您可以定義金鑰別名以及金鑰層級的政策。這些政策可幫助您定義金鑰管理員和金鑰使用者。此外，AWS CloudHSM 是雲端硬體安全模組 (HSM)，讓您能夠在 AWS 雲端上輕鬆產生和使用自己的加密金鑰。透過使用 FIPS 140-2 3 級驗證的 HSM，它可以幫助您滿足公司、合同和法規對資料安全的合規要求。 

 **若未建立此最佳實務，暴露的風險等級為：** 高 

## 實作指引
<a name="implementation-guidance"></a>
+  實作 AWS KMS：AWS KMS 可讓您輕鬆建立和管理金鑰，並控制多種 AWS 服務和應用程式中的加密使用。AWS KMS 是一種安全且具彈性的服務，使用經過 FIPS 140-2 驗證的硬體安全模組來保護您的金鑰。 
  +  [入門：AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) 
+  考慮 AWS 加密開發套件：當您的應用程式需要在用戶端對資料進行加密時，可使用整合 AWS KMS 的 AWS 加密開發套件。
  +  [AWS 加密開發套件](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [AWS Key Management Service](https://aws.amazon.com/kms) 
+  [AWS 加密服務和工具](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html) 
+  [入門：AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) 
+  [使用加密保護 Amazon S3 資料](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) 

 **相關影片：** 
+  [在 AWS 中加密如何運作](https://youtu.be/plv7PQZICCM) 
+  [保護 AWS 上的區塊儲存安全](https://youtu.be/Y1hE1Nkcxs8)