Amazon DynamoDB
開発者ガイド (API バージョン 2012-08-10)

保管時の DAX 暗号化

Amazon DynamoDB Accelerator (DAX) 保管時の暗号化は、基になるストレージへの不正アクセスからデータを保護することで、データ保護のレイヤーを追加します。組織のポリシー、業界や政府の規制、またはコンプライアンス要件によって、データを保護するために保管時の暗号化の使用が求められる場合があります。暗号化を使用すると、クラウドにデプロイされたアプリケーションのデータ安全化を向上できます。

保管時の暗号化を使用して、DAX によってディスクに保持されるデータが 256 ビット Advanced Encryption Standard (AES-256 暗号化とも呼ばれる) を使用して暗号化されます。DAX は、プライマリノードからリードレプリカへの変更の伝播の一部として、データをディスクに書き込みます。

DAX 保管時の暗号化には、クラスターの暗号化に使用される単一サービスデフォルトキーを管理する AWS Key Management Service (AWS KMS) を自動的に統合します。DAX クラスターを作成するときにサービスデフォルトキーが存在しない場合、AWS KMS は自動的に新しいキーを作成します。このキーは、この先作成するクラスターの暗号化に使用されます。AWS KMS は、安全で可用性の高いハードウェアとソフトウェアを組み合わせて、クラウド向けに拡張されたキー管理システムを提供します。

データが暗号化されると、DAX はパフォーマンスの影響を最小限に抑えながら、データの復号を透過的に処理します。暗号化を使用するためにアプリケーションを変更する必要はありません。

注記

DAX は、DAX オペレーションごとに AWS KMS を呼び出すことはありません。DAX はクラスター起動時にのみキーを使用します。アクセス権限が取り消された場合でも、DAX はクラスターがシャットダウンされるまで引き続きデータにアクセスできます。顧客が指定した AWS KMS キーはサポートされません。

DAX 保管時の暗号化は、次のクラスターノードタイプに使用できます。

ファミリー ノードタイプ

メモリの最適化 (R4)

dax.r4.large

dax.r4.xlarge

dax.r4.2xlarge

dax.r4.4xlarge

dax.r4.8xlarge

dax.r4.16xlarge

汎用 (T2)

dax.t2.small

dax.t2.medium

重要

DAX 保管時の暗号化は dax.r3.* ノードタイプではサポートされません。

クラスターが作成された後は、保管時の暗号化を有効または無効にすることはできません。作成時に有効でなかった場合には、保管時の暗号化を有効にするためにクラスターを再度作成する必要があります。

DAX 保管時の暗号化は、追加料金なしで提供されます (AWS KMS 暗号化キーの利用料金適用)。料金については、「Amazon DynamoDB 料金表」を参照してください。

保管中の暗号化を有効にする (コンソール)

コンソールを使用して、次の手順に従って DAX 保管時の暗号化を有効にします。

  1. AWS マネジメントコンソール にサインインし、DynamoDB コンソール (https://console.aws.amazon.com/dynamodb/) を開きます。

  2. コンソールの左側のナビゲーションペインの、[DAX] の [クラスター] を選択します。

  3. [クラスターの作成] を選択します。[クラスター名] に、クラスターの短縮名を入力します。クラスターのすべてのノードに [ノードタイプ] を選択して、クラスターサイズに、3 ノードを使用します。[暗号化] で、[暗号化の有効化] が選択されていることを確認します。

    
            コンソールのクラスター設定のスクリーンショットは、有効な暗号化の設定を示しています。
  4. IAM ロール、サブネットグループ、セキュリティグループ、およびクラスター設定を選択した後、[クラスターの起動] を選択します。

クラスターが暗号化されていることを確認するには、[クラスター] ペインでクラスターの詳細を参照します。暗号化が [有効] である必要があります。