Cifrado en reposo de DynamoDB - Amazon DynamoDB

Si proporcionásemos una traducción de la versión en inglés de la guía, prevalecerá la versión en inglés de la guía si hubiese algún conflicto. La traducción se proporciona mediante traducción automática.

Cifrado en reposo de DynamoDB

Todos los datos del usuario almacenados en Amazon DynamoDB se cifran totalmente en reposo. El cifrado en reposo de DynamoDB proporciona mayor seguridad al cifrar todos los datos en reposo con las claves de cifrado almacenadas en AWS Key Management Service (AWS KMS). Esta funcionalidad ayuda a reducir la carga y la complejidad operativas que conlleva la protección de información confidencial. Con el cifrado en reposo, puede crear aplicaciones sensibles a la seguridad que necesitan cumplimiento estricto de cifrado y requisitos normativos.

El cifrado en reposo de DynamoDB proporciona una capa adicional de seguridad de los datos, porque los protege en una tabla cifrada —que incluye su clave principal, los índices secundarios locales y globales, las secuencias, las tablas globales, las copias de seguridad y los clústeres de DynamoDB Accelerator (DAX) siempre que los datos se almacenen en un soporte duradero. Las políticas de la organización, las normativas industriales o gubernamentales y los requisitos de conformidad suelen requerir el uso del cifrado en reposo para aumentar la seguridad de los datos de las aplicaciones.

El cifrado en reposo se integra de forma automática con AWS KMS para administrar la clave de cifrado que se utiliza para cifrar las tablas. Para obtener más información, consulte Conceptos de AWS Key Management Service en la AWS Key Management Service Developer Guide.

Al crear una tabla nueva, puede elegir una de las siguientes claves maestras de cliente (CMK) para cifrarla:

  • CMK propiedad de AWS – El tipo de cifrado predeterminado. La clave es propiedad de DynamoDB (sin cargo adicional).

  • CMK administrada por AWS – La clave se almacena en su cuenta y la administra AWS KMS (se aplican los cargos de AWS KMS).

  • CMK administrada por el cliente – La clave se almacena en su cuenta y usted la crea, posee y administra. Usted controla plenamente la CMK (se aplican cargos de AWS KMS).

Cuando accede a una tabla cifrada, DynamoDB descifra los datos de la tabla de forma transparente. Puede alternar entre una CMK propiedad de AWS, una CMK administrada por AWS y una CMK administrada por el cliente en cualquier momento. No es preciso cambiar ningún código ni aplicación para usar o administrar las tablas cifradas. DynamoDB continúa proporcionando la misma latencia en milisegundos de un solo dígito que cabe esperar de nosotros y todas las consultas de DynamoDB funcionan de manera transparente con los datos cifrados.

Puede especificar una clave de cifrado al crear una tabla o cambiar las claves de cifrado en una tabla existente con la Consola de administración de AWS, la AWS Command Line Interface (AWS CLI) o la API de Amazon DynamoDB. Para saber cómo hacerlo, consulte Administración de tablas de cifrado en DynamoDB.

El cifrado en reposo usando la CMK propiedad de AWS se ofrece sin cargo adicional. Sin embargo, se aplicarán cargos de AWS KMS a las CMK administradas por AWS y a las CMK administradas por el cliente. Para obtener más información sobre los precios, consulte Precios de AWS KMS.

El cifrado en reposo de DynamoDB está disponible en todas las regiones de AWS Regions, incluidas las regiones AWS China (Pekín) y AWS China (Ningxia), así como la región AWS GovCloud (EE.UU.). El soporte para el cifrado en reposo para las CMK administradas por el cliente está disponible en todas las regiones de AWS excepto Asia Pacífico (Osaka-Local). Para obtener más información, consulte Cifrado en reposo: Funcionamiento y Notas de uso del cifrado en reposo de DynamoDB.