¿Cómo Amazon DynamoDB utiliza AWS KMS?

Amazon DynamoDB es un servicio de base de datos completamente administrado NoSQL escalable. DynamoDB se integra con AWS Key Management Service (AWS KMS) para admitir una característica de cifrado del lado del servidor de cifrado en reposo.

Con el cifrado en reposo, DynamoDB cifra de forma transparente todos los datos de los clientes en una tabla de DynamoDB, incluida su clave principal y los índices secundarios locales y globales, siempre que la tabla se almacene en el disco. (Si la tabla tiene una clave de ordenación, algunas de las claves de ordenación que marcan los límites del intervalo se almacenan en texto no cifrado en los metadatos de la tabla). Cuando obtiene acceso a la tabla, DynamoDB descifra los datos de la tabla de forma transparente. No es necesario que cambie sus aplicaciones para utilizar o administrar tablas cifradas.

El cifrado en reposo protege también las secuencias de DynamoDB, las tablas globales y las copias de seguridad siempre que estos objetos se guardan en un soporte duradero. Las instrucciones acerca de las tablas de este tema se aplican también a estos objetos.

Todas las tablas de DynamoDB están cifradas. No existe la opción de habilitar o deshabilitar el cifrado para tablas nuevas o existentes. De forma predeterminada, todas las tablas están cifradas en una Clave propiedad de AWS en la cuenta de servicio de DynamoDB. Sin embargo, puede seleccionar una opción para cifrar algunas o todas las tablas con una clave administrada por el cliente o la Clave administrada de AWS para DynamoDB en su cuenta.

Para obtener más información sobre la compatibilidad de Amazon DynamoDB con las claves de KMS, consulte Cifrado en reposo de DynamoDB en la Guía para desarrolladores de Amazon DynamoDB.