Crittografia dei dati a riposo di DynamoDB: come funziona - Amazon DynamoDB
Chiavi di proprietà di AWSChiavi gestite da AWSChiavi gestite dal clienteNote sull'utilizzo delle Chiavi gestite da AWS

Crittografia dei dati a riposo di DynamoDB: come funziona

La crittografia a riposo di Amazon DynamoDB crittografa i dati tramite lo standard di crittografia avanzata a 256 bit (AES-256) che aiuta a proteggere i dati dall'accesso non autorizzato all'archiviazione sottostante.

La crittografia dei dati a riposo si integra con AWS Key Management Service (AWS KMS) per la gestione delle chiavi di crittografia utilizzate per crittografare le tabelle.

Nota

A maggio 2022, AWS KMS ha modificato il programma di rotazione delle Chiavi gestite da AWS passando da ogni tre anni (circa 1.095 giorni) a ogni anno (circa 365 giorni).

Le nuove Chiavi gestite da AWS vengono ruotate automaticamente un anno dopo la loro creazione e successivamente all'incirca ogni anno.

Le Chiavi gestite da AWS esistenti vengono ruotate automaticamente un anno dopo l'ultima rotazione e successivamente ogni anno.

Chiavi di proprietà di AWS

Le Chiavi di proprietà di AWS non sono archiviate nel tuo account AWS. Fanno parte di una raccolta di KMS che AWS possiede e gestisce per l'utilizzo in più account AWS. I servizi AWS possono utilizzare Chiavi di proprietà di AWS  per proteggere i tuoi dati. Chiavi di proprietà di AWS utilizzati da DynamoDB vengono ruotati ogni anno (circa 65 giorni).

Non puoi visualizzare, gestire o utilizzare Chiavi di proprietà di AWS o verificarne l'utilizzo. Tuttavia, non è necessario effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati.

Per l'uso delle Chiavi di proprietà di AWS, non viene addebitata una tariffa mensile né una tariffa di utilizzo e non sono conteggiate per quanto riguarda le quote di AWS KMS per l'account.

Chiavi gestite da AWS

Le Chiavi gestite da AWS sono chiavi KMS nel tuo account create, gestite e utilizzate a tuo nome da un servizio AWS che si integra con AWS KMS. Puoi visualizzare le Chiavi gestite da AWS nel tuo account, visualizzare le relative policy delle chiavi e verificare il loro utilizzo nei registri AWS CloudTrail. Tuttavia, non puoi gestire queste chiavi KMS o modificarne le autorizzazioni.

La crittografia dei dati inattivi si integra automaticamente con AWS KMS per la gestione delle Chiavi gestite da AWS per DynamoDB (aws/dynamodb) utilizzata per crittografare le tabelle. Se quando crei la tabella crittografata DynamoDB non esiste una Chiave gestita da AWS, AWS KMS crea automaticamente una nuova chiave. da utilizzare con le tabelle crittografate create in futuro. AWS KMS combina hardware e software sicuri e a disponibilità elevata per offrire un sistema di gestione delle chiavi a misura di cloud.

Per ulteriori informazioni sulla gestione delle autorizzazioni della Chiave gestita da AWS, consulta Autorizzazione all'uso della Chiave gestita da AWS nella Guida per gli sviluppatori di AWS Key Management Service.

Chiavi gestite dal cliente

Le chiavi gestite dal cliente sono chiavi KMS nel tuo account AWS create da te, di tua proprietà e gestite da te. Hai il controllo completo di queste chiavi KMS, tra cui la definizione e il mantenimento delle policy delle chiavi, delle policy IAM e delle concessioni, l'abilitazione e la disabilitazione di tali chiavi, la rotazione del materiale crittografico, l'aggiunta di tag, la creazione di alias che fanno riferimento a esse e la pianificazione per l'eliminazione. Per ulteriori informazioni relative alla gestione delle autorizzazioni di una chiave gestita dal cliente, consulta Chiavi gestite dal cliente.

Quando specifichi una chiave gestita dal cliente come chiave di crittografia a livello di tabella, la tabella DynamoDB, gli indici secondari locale e globale e i flussi vengono crittografati con la stessa chiave gestita dal cliente. I backup on demand vengono crittografati con la chiave di crittografia a livello di tabella specificata al momento della creazione del backup. L'aggiornamento della chiave di crittografia a livello di tabella non modifica la chiave di crittografia associata con i backup on demand esistenti.

L'impostazione dello stato della chiave gestita dal cliente su disabilitata o la pianificazione per l'eliminazione impedisce a tutti gli utenti e al servizio DynamoDB di criptare o decriptare i dati e di eseguire operazioni di lettura e scrittura sulla tabella. DynamoDB deve poter accedere alla chiave di crittografia per assicurarsi di poter continuare ad accedere alla tabella e prevenire la perdita di dati.

Se disabiliti la chiave gestita dal cliente o ne pianifichi l'eliminazione, lo stato della tabella diventa Inaccessible (Inaccessibile). Per essere certi che sia possibile continuare a lavorare con la tabella, è necessario fornire a DynamoDB l'accesso alla chiave di crittografia specificata entro sette giorni. Non appena il servizio rileva che la chiave di crittografia non è accessibile, DynamoDB invia una notifica e-mail come avviso.

Nota

  • Se la chiave gestita dal cliente rimane inaccessibile al servizio DynamoDB per più di sette giorni, la tabella viene archiviata e non è più possibile accedervi. DynamoDB crea un backup on demand della tabella che viene addebitato. È possibile utilizzare il backup on demand per ripristinare i dati in una nuova tabella. Per avviare il ripristino, è necessario abilitare l'ultima chiave gestita dal cliente sulla tabella e DynamoDB deve potervi accedere.

  • Se non è possibile accedere alla chiave gestita dal cliente utilizzata per criptare una replica della tabella globale, DynamoDB rimuoverà questa replica dal gruppo di replica. La replica non verrà eliminata e sarà interrotta da e verso questa regione 20 ore dopo aver rilevato che la chiave gestita dal cliente non è accessibile.

Per ulteriori informazioni, copri come attivare ed eliminare le chiavi.

Note sull'utilizzo delle Chiavi gestite da AWS

Amazon DynamoDB non è in grado di leggere i dati delle tabelle a meno che non abbia accesso alla chiave KMS archiviata nell'account AWS KMS. DynamoDB utilizza la crittografia envelope e la gerarchia delle chiavi per criptare i dati. La chiave di crittografia di AWS KMS viene utilizzata per criptare la chiave root di questa gerarchia. Per ulteriori informazioni, consulta Crittografia envelope nella Guida per gli sviluppatori di AWS Key Management Service.

DynamoDB non richiama AWS KMS per ogni operazione DynamoDB. La chiave viene aggiornata una volta ogni 5 minuti per chiamante con traffico attivo.

Assicurati di avere configurato l'SDK per riutilizzare le connessioni. In caso contrario, si riscontreranno latenze da DynamoDB in quanto si devono ristabilire nuove voci di cache AWS KMS per ciascuna operazione DynamoDB. Inoltre, è possibile che si incorra in costi di AWS KMS e CloudTrail più elevati. Ad esempio, per fare ciò con l'SDK Node.js, puoi creare un nuovo agente HTTPS con keepAlive attivato. Per ulteriori informazioni, consulta Configurazione di keepAlive in Node.js nella Guida per lo sviluppatore di AWS SDK per JavaScript.