# 加密靜態資料 [加密靜態資料](https://d1.awsstatic.com/whitepapers/AWS_Securing_Data_at_Rest_with_Encryption.pdf)對於法規合規與資料保護而言非常重要。此作法有助於確保不具有效金鑰的使用者或應用程式,無法讀取儲存在磁碟上的敏感資料。AWS 除了提供多種選項,可以為加密靜態資料及管理加密金鑰。例如,您可以使用在 AWS KMS 中建立及管理 CMK 的 AWS 加密開發套件,為任何資料加密。 加密資料可安全地儲存靜態資料,而且只有具備 CMK 授權之存取權的一方才能解密。因此,您可以從 AWS CloudTrail 取得信封加密的機密資料、用於授權與驗證加密的政策機制及稽核記錄。有一些 AWS 基礎服務內建了加密靜態資料的功能,讓您可以選擇在將資料寫入非揮發性儲存體之前先行加密。例如,您可以使用 AES-256 加密,為 Amazon EBS 磁碟區加密,以及為 Amazon S3 儲存貯體設定伺服器端加密 (SSE)。Amazon S3 也支援*用戶端加密*,可讓您在將資料傳送至 Amazon S3 之前先行加密。AWS 開發套件支援用戶端加密,有利於物件的加密與解密作業。Amazon RDS 也支援透明資料加密 (TDE)。 其在 Linux Amazon EC2 執行個體存放區上,可以使用內建的 Linux 程式庫加密資料。此方法會透明地加密檔案,保護機密資料。因此,處理資料的應用程式將不會知道磁碟層級加密。 您有兩種方法可以用來加密執行個體存放區上的檔案: + **磁碟層級加密**:若採用此方法,將會使用一或多組加密金鑰,為整個磁碟或磁碟中的區塊加密。磁碟加密會在檔案系統層級之下運作,不會區分作業系統,並會隱藏目錄與檔案資訊,例如名稱與大小。比方說,Encrypting File System 是 Windows NT 作業系統之新技術檔案系統 (NTFS) 的 Microsoft 擴充套件,可提供磁碟加密。 + **檔案系統層級加密**:此方法會加密檔案與目錄,但不會加密整個磁碟或分割區。檔案系統層級加密會在檔案系統之上運作,具備跨作業系統的可攜性。 對於非揮發性記憶體界面 (NVMe) 的 [SSD 執行個體存放區磁碟區](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ssd-instance-store.html)而言,*磁碟層級加密*是預設選項。NVMe 執行個體儲存體中的資料,會使用執行個體上硬體模組中實作的 XTS-AES-256 區塊編碼器加密。加密金鑰是以硬體模組來產生,且對每個 NVMe 執行個體儲存體設備而言是唯一的。所有加密金鑰會在執行個體停止或終止時銷毀,且無法復原。您不可使用自己的加密金鑰。