本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon MWAA 上的加密
<a name="encryption"></a>

下列主題說明 Amazon MWAA 如何保護靜態和傳輸中的資料。使用此資訊來了解 Amazon MWAA 如何與 整合 AWS KMS 來加密靜態資料，以及如何使用傳輸中的 Transport Layer Security (TLS) 通訊協定加密資料。

**Topics**
+ [靜態加密](#encryption-at-rest)
+ [傳輸中加密](#encryption-in-transit)

## 靜態加密
<a name="encryption-at-rest"></a>

在 Amazon MWAA 上，*靜態*資料是服務儲存至持久性媒體的資料。

您可以使用 [AWS擁有的金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)進行靜態資料加密，或者選擇性地在建立環境時提供[客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)以進行其他加密。如果您選擇使用客戶管理的 KMS 金鑰，它必須與您搭配環境使用的其他 AWS 資源和服務位於相同的帳戶中。

若要使用客戶受管 KMS 金鑰，您必須將 CloudWatch 存取所需的政策陳述式連接至您的金鑰政策。當您為環境使用客戶管理的 KMS 金鑰時，Amazon MWAA 會代表您連接四個[授權](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。如需授予 Amazon MWAA 連接至客戶受管 KMS 金鑰的詳細資訊，請參閱[客戶受管金鑰以進行資料加密](custom-keys-certs.md)。

如果您未指定客戶管理的 KMS 金鑰，根據預設，Amazon MWAA 會使用 AWS 擁有的 KMS 金鑰來加密和解密您的資料。建議使用 AWS 擁有的 KMS 金鑰來管理 Amazon MWAA 上的資料加密。

**注意**  
您需為 Amazon MWAA 上 AWS 擁有或客戶管理之 KMS 金鑰的儲存和使用付費。如需詳細資訊，請參閱 [AWS KMS 定價](https://aws.amazon.com/kms/pricing/)。

### 加密成品
<a name="encryption-at-rest-services"></a>

您可以在建立 Amazon MWAA 環境時指定 [AWS擁有的金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)或[客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)，以指定用於靜態加密的加密成品。Amazon MWAA 會將所需的[授予](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)新增至您指定的金鑰。

**Amazon S3** – Amazon S3 資料會在物件層級使用伺服器端加密 (SSE) 進行加密。Amazon S3 加密和解密會在存放 DAG 程式碼和支援檔案的 Amazon S3 儲存貯體上進行。物件上傳到 Amazon S3 時會加密，並在下載到您的 Amazon MWAA 環境時解密。根據預設，如果您使用客戶管理的 KMS 金鑰，Amazon MWAA 會使用它來讀取和解密 Amazon S3 儲存貯體上的資料。

**CloudWatch Logs** – 如果您使用的是 AWS 擁有的 KMS 金鑰，傳送至 CloudWatch Logs 的 Apache Airflow 日誌會使用 SSE 搭配 CloudWatch Logs AWS 擁有的 KMS 金鑰加密。如果您使用客戶管理的 KMS 金鑰，則必須將[金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)新增至 KMS 金鑰，以允許 CloudWatch Logs 使用您的金鑰。

**Amazon SQS** – Amazon MWAA 會為您的環境建立一個 Amazon SQS 佇列。Amazon MWAA 會使用 SSE 搭配 AWS 擁有的 KMS 金鑰或您指定的客戶受管 KMS 金鑰來加密傳入和傳出佇列的資料。無論您使用的是 AWS 擁有還是客戶管理的 KMS 金鑰，都必須將 Amazon SQS 許可新增至執行角色。

**Aurora PostgreSQL** – Amazon MWAA 會為您的環境建立一個 PostgreSQL 叢集。Aurora PostgreSQL 會使用 SSE，使用 AWS 擁有或客戶管理的 KMS 金鑰來加密內容。如果您使用客戶管理的 KMS 金鑰，Amazon RDS 會為金鑰新增至少兩個授權：一個用於叢集，另一個用於資料庫執行個體。如果您選擇在多個環境中使用客戶管理的 KMS 金鑰，Amazon RDS 可以建立額外的授權。如需詳細資訊，請參閱 [Amazon RDS 中的資料保護](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/DataDurability.html)。

## 傳輸中加密
<a name="encryption-in-transit"></a>

傳輸中的資料稱為資料，可在其通過網路時攔截。

Transport Layer Security (TLS) 會在您環境的 Apache Airflow 元件和其他與 Amazon MWAA 整合 AWS 的服務之間加密傳輸中的 Amazon MWAA 物件，例如 Amazon S3。如需 Amazon S3 加密的詳細資訊，請參閱[使用加密保護資料](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)。