Amazon Elastic Compute Cloud

Amazon EC2 是一项可扩展、用户可配置的计算服务，支持多种加密静态数据的方法。例如，当在 Amazon EC2 实例中托管的应用程序或数据库平台中处理时，客户可能会选择对 PHI 执行应用程序级或字段级加密。方法包括使用应用程序框架（例如Java或.NET）中的标准库对数据进行加密；利用Microsoft SQL或Oracle中的透明数据加密功能；或者将其他第三方和基于软件即服务 (SaaS) 的解决方案集成到其应用程序中。

客户可以选择将其在 Amazon EC2 中运行的应用程序与 AWS KMS 软件开发工具包集成，从而简化密钥管理和存储过程。客户还可以使用AWS Marketplace 合作伙伴提供的第三方软件或本机文件系统加密工具（例如 dm-crypt、LUKS 等），使用文件级或全盘加密 (FDE) 对静态数据进行加密。

包含 PHI 的网络流量必须对传输中的数据进行加密。对于外部来源（例如互联网或传统 IT 环境）与 Amazon EC2 之间的流量，客户应使用开放标准的传输加密机制，例如传输层安全 (TLS) 或 IPsec 虚拟专用网络 (VPN)，这与《指南》一致。在 Amazon Virtual Private Cloud (VPC) 内部，对于在 Amazon EC2 实例之间传输的数据，还必须对包含 PHI 的网络流量进行加密；大多数应用程序都支持 TLS 或其他提供传输中加密的协议，可以将其配置为与指南保持一致。对于不支持加密的应用程序和协议，可以在实例之间使用 IPsec 或类似的实现通过加密隧道发送传输 PHI 的会话。