在新聞中，最常見的資安事件，就是資料外洩的問題，而通常會發生這類型的事件不外乎就是未將資料或是其他基礎設施設定加密。在AWS上面，資料保護主要分為以下三個項目:

1. 資料分類
2. 靜態資料保護
3. 資料傳輸時加密

資料分類
在進行資料保護及留存時，你應該要依照資料的機密性來做分類，例如:資料是否包含個人訊息(PII)、是否可供大眾閱覽或是僅限內部使用以及是否含有智慧財產權等，依照不同等級給予不同的資料保護措施。你可以透過下tag、定義IAM Policy、SCP、KMS、Cloud HSM等服務，來進行資料的分級以及保護。

你應該要依照資料的敏感程度、法律及公司規定訂定DLM(Data Lifecycle Management)，去考慮資料可以留存多久、多久之後要銷毀、資料如何存取、是否可對外分享等問題，例如:對於存取較敏感的資料必須要進行身分驗證。

靜態資料保護
靜態資料保護是指你儲存在任何地方，在你進行加密或是存取控制時保護你的靜態資料，降低未經授權的存取。透過金鑰存儲、輪換和存去控制在內的加密方法，您可以幫助保護您的內容，防止未經授權的用戶和不必要的授權用戶暴露，如:透過KMS加密S3裡面新建立的物件。

在正常操作情況下，讓所有用戶遠離直接存去敏感資料和系統。 例如，使用變更管理工作流使用工具管理 EC2 實例，而不是允許直接存取或透過Bastion，你可以透過SSM automation來實現自動化管理機制。

資料傳輸時加密
資料傳輸時加密指的是從一端傳到另一端，包含服務間的傳輸以及server到用戶端的傳輸。傳輸中的資料提供適當級別的保護，您可以保護工作負載資料的機密性和完整性。

你應該要安全地儲存加密金鑰和證書，並在嚴格的存取控制下以適當的時間間輪換它們。透過AWS Certificate Manager (ACM)來託管證書，讓您可以輕鬆地配置、管理和部署公共和私有傳輸層安全 (TLS) 證書以用於 AWS 服務和您的內部連接資源。TLS 證書用於保護網路並建立網站的身份以及專用網路上的資源。AWS 服務提供使用 TLS 進行通信的 HTTPS 端點，從而在與 AWS API 通信時提供傳輸中的加密。 你可以透過像是GuardDuty等偵測服務，來監控可疑的活動，如偵測S3存取、VPC flowlog等。

資料保護的介紹就先到這邊，下篇進入相關服務簡介