保管時の DAX 暗号化
Amazon DynamoDB Accelerator (DAX) 保管時の暗号化は、基になるストレージへの不正アクセスからデータを保護することで、データ保護のレイヤーを追加します。組織のポリシー、業界や政府の規制、またはコンプライアンス要件によって、データを保護するために保管時の暗号化の使用が求められる場合があります。暗号化を使用すると、クラウドにデプロイされたアプリケーションデータの安全性を向上できます。
保管時の暗号化を使用して、DAX によってディスクに保持されるデータが 256 ビット Advanced Encryption Standard (AES-256 暗号化とも呼ばれる) を使用して暗号化されます。DAX は、プライマリノードからリードレプリカへの変更の伝播の一部として、データをディスクに書き込みます。
DAX 保管時の暗号化には、クラスターの暗号化に使用される単一サービスデフォルトキーを管理する AWS Key Management Service (AWS KMS) を自動的に統合します。DAX クラスターを作成するときにサービスデフォルトキーが存在しない場合、AWS KMS は自動的に新しい AWS マネージドキーを作成します。このキーは、この先作成するクラスターの暗号化に使用されます。AWS KMS は、安全で可用性の高いハードウェアとソフトウェアを組み合わせて、クラウド向けに拡張されたキー管理システムを提供します。
データが暗号化されると、DAX はパフォーマンスの影響を最小限に抑えながら、データの復号を透過的に処理します。暗号化を使用するためにアプリケーションを変更する必要はありません。
注記
DAX はすべての DAX オペレーションについて AWS KMS を呼び出すことはしません。DAX は、クラスター起動時にのみキーを使用します。アクセス権限が取り消された場合でも、DAX はクラスターがシャットダウンされるまで引き続きデータにアクセスできます。顧客が指定した AWS KMS キーはサポートされません。
保管時の DAX 暗号化は、次のクラスターノードタイプに使用できます。
| ファミリー | ノードの種類 |
|---|---|
メモリの最適化 (R4 および R5) |
dax.r4.large dax.r4.xlarge dax.r4.2xlarge dax.r4.4xlarge dax.r4.8xlarge dax.r4.16xlarge dax.r5.large dax.r5.xlarge dax.r5.2xlarge dax.r5.4xlarge dax.r5.8xlarge dax.r5.12xlarge dax.r5.16xlarge dax.r5.24xlarge |
汎用 (T2) |
dax.t2.small dax.t2.medium |
汎用 (T3) |
dax.t3.small dax.t3.medium |
重要
保管時の DAX 暗号化は dax.r3.* ノードタイプではサポートされません。
クラスターが作成された後は、保管時の暗号化を有効または無効にすることはできません。作成時に有効でなかった場合には、保管時の暗号化を有効にするためにクラスターを再度作成する必要があります。
DAX 保管時の暗号化は、追加コストなしで提供されます (AWS KMS 暗号化キーの利用料金適用)。料金に関する詳細については、「Amazon DynamoDB の料金表
AWS Management Console を使用した保管時の暗号化の有効化
コンソールを使用して、次の手順に従ってテーブルに対する保管時の DAX 暗号化を有効にします。
保管時の DAX 暗号化を有効にするには
AWS Management Console にサインインして DynamoDB コンソール (https://console.aws.amazon.com/dynamodb/
) を開きます。 -
コンソールの左側のナビゲーションペインの、[DAX] の [クラスター] を選択します。
-
[クラスターを作成] を選択します。
-
[クラスター名] に、クラスターの短縮名を入力します。クラスターのすべてのノードに [ノードタイプ] を選択して、クラスターサイズに、
3ノードを使用します。 -
[暗号化] で、[暗号化の有効化] が選択されていることを確認します。
-
IAM ロール、サブネットグループ、セキュリティグループ、およびクラスター設定を選択した後、[クラスターの起動] を選択します。
クラスターが暗号化されていることを確認するには、[クラスター] ペインでクラスターの詳細を参照します。暗号化が [有効] である必要があります。
