本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Amazon Keyspaces 中的静态加密 Amazon Keyspaces(Apache Cassandra 兼容)*静态加密*使用存储在 [Amazon Key Management Service (Amazon KMS)](https://www.amazonaws.cn/kms/) 中的加密密钥对所有静态数据进行加密,以增强安全性。此功能减少保护敏感数据时涉及的操作负担和复杂性。通过静态加密,您可以构建安全敏感型应用程序,以满足针对数据保护的严格合规性和法规要求。 Amazon Keyspaces 静态加密使用 256 位高级加密标准 (AES-256) 来加密数据。这有助于保护您的数据,防止对底层存储进行未经授权的访问。 Amazon Keyspaces 透明地加密和解密表和流中的数据。Amazon Keyspaces 使用信封加密和密钥层次结构来保护数据加密密钥。它与 Amazon KMS 集成,用于存储和管理根加密密钥。有关加密密钥层次结构的更多信息,请参阅[静态加密:它在 Amazon Keyspaces 中如何运作](encryption.howitworks.md)。有关信封加密等 Amazon KMS 概念的更多信息,请参阅《*Amazon Key Management Service 开发人员指南*》中的[Amazon KMS 管理服务概念](https://docs.amazonaws.cn/kms/latest/developerguide/concepts.html)。 创建新表时,您可以选择以下 *Amazon KMS 密钥(KMS 密钥)*之一: + Amazon 拥有的密钥 — 这是默认的加密类型。此密钥由 Amazon Keyspaces 拥有(不另外收费)。 + 客户自主管理型密钥:此密钥存储在您的账户中,由您创建、拥有和管理。您可以完全控制客户管理的密钥(Amazon KMS 收费)。 Amazon Keyspaces 使用与底层表相同的密钥自动加密变更数据捕获 (CDC) 流。有关 CDC 的更多信息,请参阅[在 Amazon Keyspaces 中处理变更数据捕获 (CDC) 流](cdc.md)。 您可以随时在客户管理的密钥 Amazon 拥有的密钥 和客户管理的密钥之间切换。您可以在创建新表时指定客户自主管理型密钥,也可以通过控制台或使用 CQL 语句以编程方式更改现有表的 KMS 密钥。要了解如何操作,请参阅[静态加密:如何使用客户自主管理型密钥加密 Amazon Keyspaces 中的表](encryption.customermanaged.md)。 使用默认选项提供静态加密 Amazon 拥有的密钥 ,不收取额外费用。但是,使用客户自主管理型密钥需支付 Amazon KMS 费用。有关定价的更多信息,请参阅 [Amazon KMS 定价](https://www.amazonaws.cn/kms/pricing)。 Amazon Keyspaces 的静态加密功能适用于所有地区 Amazon Web Services 区域,包括 Amazon 中国(北京)和 Amazon 中国(宁夏)地区。有关更多信息,请参阅 [静态加密:它在 Amazon Keyspaces 中如何运作](encryption.howitworks.md)。 **Topics** + [静态加密:它在 Amazon Keyspaces 中如何运作](encryption.howitworks.md) + [静态加密:如何使用客户自主管理型密钥加密 Amazon Keyspaces 中的表](encryption.customermanaged.md)