AWS提供了多种方式来对PII（个人身份识别）数据进行加密，以确保用户数据的安全性以及符合隐私法规的要求。其中最常用的方式是使用 AWS Key Management Service (KMS) 进行密钥管理和加密/解密操作。

下面是一个示例，使用Python调用KMS API来加密一个字符串：

import boto3
import base64

# Connect to KMS
kms = boto3.client('kms')

# Define plaintext
plaintext = 'This is my secret data'

# Encrypt plaintext with KMS key
response = kms.encrypt(
    KeyId='1234abcd-12ab-34cd-56ef-1234567890ab',  # Replace with your KMS key ID
    Plaintext=plaintext
)

# Extract ciphertext from response
ciphertext = response['CiphertextBlob']

# Base64-encode ciphertext for storage
encoded_ciphertext = base64.b64encode(ciphertext)

print(f'Plaintext: {plaintext}')
print(f'Ciphertext: {encoded_ciphertext}')

这里的 KeyId 是指你在AWS KMS中创建的主密钥，可以从AWS控制台或CLI获取。当然，也可以使用默认的主密钥，但这并不是最佳安全实践。

当需要解密数据时，只需调用 KMS API 的 decrypt 方法，例如：

# Connect to KMS
kms = boto3.client('kms')

# Decode base64-encoded ciphertext
decoded_ciphertext = base64.b64decode(encoded_ciphertext)

# Decrypt ciphertext with KMS key
response = kms.decrypt(
    CiphertextBlob=decoded_ciphertext
)

# Extract plaintext from response
plaintext = response['Plaintext']

print(f'Ciphertext: {encoded_ciphertext}')
print(f'Plaintext: {plaintext}')

这样就可以使用AWS KMS来加密和解密PII数据了。