DAX-Verschlüsselung im Ruhezustand - Amazon-DynamoDB
Aktivieren der Verschlüsselung im Ruhezustand mithilfe des AWS Management Console

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

DAX-Verschlüsselung im Ruhezustand

Die Amazon-DynamoDB-Accelerator-(DAX)-Funktion zur Verschlüsselung von Daten im Ruhezustand stellt eine zusätzliche Sicherheitsebene für die Daten bereit, indem die Daten vor unautorisiertem Zugriff auf den zugrunde liegenden Speicher geschützt werden. Richtlinien der Organisation, Vorschriften der Branche oder Behörde und Compliance-Anforderungen schreiben möglicherweise zum Schutz Ihrer Daten die Verschlüsselung im Ruhezustand vor. Sie können mithilfe der Verschlüsselung den Datenschutz Ihrer in der Cloud bereitgestellten Anwendungen erhöhen.

Bei der Verschlüsselung im Ruhezustand werden die von DAX auf der Festplatte persistenten Daten mit dem 256-Bit Advanced Encryption Standard, auch bekannt als AES-256-Verschlüsselung, verschlüsselt. DAX schreibt Daten auf den Datenträger als Teil der Weitergabe von Änderungen vom primären Knoten an Read Replicas.

Die DAX-Verschlüsselung für Daten im Ruhezustand ist für die Verwaltung eines einzelnen Standard-Serviceschlüssels für die Verschlüsselung der Cluster automatisch in AWS Key Management Service (AWS KMS) integriert. Wenn beim Erstellen des verschlüsselten DAX-Clusters kein Serviceschlüssel vorhanden ist, erstellt AWS automatisch einen neuen AWS KMS verwalteten Schlüssel für Sie. Dieser Schlüssel wird für verschlüsselte Cluster verwendet, die in der Zukunft erstellt werden. AWS KMS kombiniert sichere, hoch verfügbare Hard- und Software, um ein System für die Schlüsselverwaltung bereitzustellen, das für die Cloud skaliert ist.

Nachdem Sie die Daten verschlüsselt haben, übernimmt DAX die Entschlüsselung Ihrer Daten auf transparente Art und Weise und mit minimaler Auswirkung auf die Leistung. An Ihren Anwendungen sind keine Änderungen zur Nutzung der Verschlüsselung erforderlich.

Anmerkung

DAX ruft nicht AWS KMS für jeden einzelnen DAX-Betrieb ab. DAX verwendet den Schlüssel nur beim Starten des Clusters. Auch wenn der Zugriff verweigert wird, kann DAX auf die Daten zugreifen, bis der Cluster heruntergefahren wurde. Kundenspezifische AWS KMS Schlüssel werden nicht unterstützt.

Die DAX-Verschlüsselung von Daten im Ruhezustand ist für die folgenden Cluster-Knotentypen verfügbar.

Familie Knotentyp

Speicheroptimiert (R4 und R5)

dax.r4.large

dax.r4.xlarge

dax.r4.2xlarge

dax.r4.4xlarge

dax.r4.8xlarge

dax.r4.16xlarge

dax.r5.large

dax.r5.xlarge

dax.r5.2xlarge

dax.r5.4xlarge

dax.r5.8xlarge

dax.r5.12xlarge

dax.r5.16xlarge

dax.r5.24xlarge

Allgemein (T2)

dax.t2.small

dax.t2.medium

Allgemein (T3)

dax.t3.small

dax.t3.medium
Wichtig

Die DAX-Verschlüsselung von Daten im Ruhezustand wird für dax.r3.*-Knotentypen nicht unterstützt.

Sie können die Verschlüsselung von Daten im Ruhezustand nicht aktivieren oder deaktivieren, nachdem ein Cluster erstellt wurde. Sie müssen den Cluster neu erstellen, um Verschlüsselung von Daten im Ruhezustand zu aktivieren, wenn die Funktion bei der ursprünglichen Erstellung nicht aktiviert wurde.

Die DAX-Verschlüsselung im Ruhezustand wird ohne zusätzliche Kosten angeboten (es fallen Gebühren für die Verwendung von AWS KMS-Verschlüsselungsschlüsseln an). Vollständige Informationen zu Preisen finden Sie unter Amazon-DynamoDB-Preise.

Aktivieren der Verschlüsselung im Ruhezustand mithilfe des AWS Management Console

Gehen Sie wie folgt vor, um die DAX-Verschlüsselung von Daten im Ruhezustand mit der Konsole zu aktivieren.

Um die DAX-Verschlüsselung im Ruhezustand zu aktivieren,

  1. Melden Sie sich bei AWS Management Console an und öffnen Sie die DynamoDB-Konsole unter https://console.aws.amazon.com/dynamodb/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite der Konsole unter DAX die Option Clusters (Cluster).

  3. Wählen Sie Create cluster (Cluster erstellen).

  4. Geben Sie unter Cluster name (Cluster-Name) einen Kurznamen für den Cluster ein. Wählen Sie einen Node type (Knotentyp) für alle Knoten im Cluster und geben Sie als Cluster-Größe 3 Knoten an.

  5. Unter Encryption (Verschlüsselung) muss Enable encryption (Verschlüsselung aktivieren) ausgewählt sein.

    Screenshot der Cluster-Einstellungen in der Konsole mit der "Enable encryption (Verschlüsselung aktivieren)"-Einstellung.

  6. Wählen Sie nach Auswahl von IAM-Rolle, Subnetzgruppe, Sicherheitsgruppen und Cluster-Einstellungen die Option Launch cluster (Cluster starten).

Sie können ermitteln, ob der Cluster verschlüsselt ist, indem Sie die Cluster-Details im Bereich Clusters (Cluster) prüfen. Die Verschlüsselung sollte ENABLED (AKTIVIERT) sein.