# SEC09-BP01 實作安全金鑰和憑證管理
<a name="sec_protect_data_transit_key_cert_mgmt"></a>

 安全地存放加密金鑰和憑證，並依適當的時間間隔，以嚴格的存取控制進行輪換。達成此目標的最佳方式是使用受管服務，例如 [AWS Certificate Manager (ACM)](http://aws.amazon.com/certificate-manager)。它可讓您輕鬆佈建、管理和部署可與 AWS 服務和您的內部連線資源搭配使用的公有和私有 Transport Layer Security (TLS) 憑證。TLS 憑證可用來保護網路通訊，和建立網際網路中的網站和私有網路中資源的身份。ACM 與 AWS 資源整合，例如 Elastic Load Balancer (ELB)、AWS 分發以及 API Gateway 上的 API，也會處理自動憑證更新。如果您使用 ACM 部署私有根 CA，則它可以提供憑證和私有金鑰兩者，用於 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、容器內等。 

 **若未建立此最佳實務，暴露的風險等級為：** 高 

## 實作指引
<a name="implementation-guidance"></a>
+  實作安全金鑰和憑證管理：實作您定義的安全金鑰和憑證管理解決方案。 
  + [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
  + [ 如何在 AWS 中託管和管理整個私有憑證基礎架構 ](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+  實作安全協定：使用提供身份驗證和機密性的安全協定 (例如 Transport Layer Security (TLS) 或 IPsec) 來減少資料竄改或遺失的風險。請查看 AWS 文件，了解與您使用的服務相關的協定和安全性。

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [AWS 文件 ](https://docs.aws.amazon.com/)