翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
保管時の DynamoDB 暗号化
Amazon DynamoDB に保存されているすべてのユーザーデータは、保管時に完全に暗号化されます。DynamoDBの保管時の暗号化は、AWS Key Management Service (AWS KMS)
DynamoDB の保管時の暗号化は、データを堅牢なメディアに保存されている場合は常に暗号化されたテーブル内にデータを配置して保護することにより、プライマリキー、ローカルおよびグローバルセカンダリインデックス、ストリーム、グローバルテーブル、バックアップ、DynamoDB Accelerator (DAX) クラスターなどに対する追加のデータ保護レイヤーを提供します。組織のポリシー、業界や政府の規制、またはコンプライアンス要件によって、アプリケーションのデータセキュリティを高めるために保管時の暗号化の使用が求められることがあります。
保管時の暗号化は、テーブルの暗号化に使用される暗号化キー AWS KMS を管理するために と統合されます。キーの種類と詳細については、「AWS Key Management Service デベロッパーガイド」の「AWS Key Management Service の概念」を参照してください。
新しいテーブルを作成するときは、次のいずれか AWS KMS key のタイプを選択してテーブルを暗号化できます。キーの種類は、いつでも切り替えることができます。
-
AWS 所有のキー – デフォルトの暗号化タイプ。キーは DynamoDB により所有されます (追加料金なし)。
-
AWS マネージドキー – キーは アカウントに保存され、 によって管理されます AWS KMS (AWS KMS 料金が適用されます)。
-
カスタマーマネージド型キー – キーはお客様のアカウントに保存され、ユーザーが作成、所有、管理します。KMS キーを完全に制御できます (AWS KMS 料金が適用されます)。
キータイプの詳細については、「カスタマーキーと AWS キー」を参照してください。
注記
保存時の暗号化を有効にして新しい DAX クラスターを作成する場合、 AWS マネージドキー を使用して、クラスター内の保管中のデータを暗号化します。
テーブルにソートキーが存在する場合、範囲の境界線を示すソートキーの一部が、プレーンテキスト形式でテーブルメタデータに保存されます。
暗号化されたテーブルにアクセスすると、DynamoDB はテーブルデータを透過的に復号化します。暗号化されたテーブルの使用あるいは管理のためにコードやアプリケーションを変更する必要はありません。DynamoDB は、期待される 1 桁ミリ秒のレイテンシーを継続的に提供し、すべての DynamoDB クエリは暗号化されたデータでシームレスに機能します。
新しいテーブルを作成するときに暗号化キーを指定するか、、 AWS Command Line Interface (AWS CLI) AWS Management Console、または Amazon DynamoDB API を使用して既存のテーブルで暗号化キーを切り替えることができます。この方法の詳細は、DynamoDB での暗号化テーブルの管理を参照してください。
を使用した保管時の暗号化 AWS 所有のキー は、追加料金なしで提供されます。ただし、 AWS マネージドキー およびカスタマーマネージドキーには AWS KMS 料金が適用されます。料金の詳細については、「AWS KMS の料金
DynamoDB の保管時の暗号化は、 AWS 中国 (北京) AWS および AWS 中国 (寧夏) リージョンと AWS GovCloud (米国) リージョンを含むすべての リージョンで使用できます。詳細については、「保存時の暗号化: 仕組み」および「DynamoDB の保管時の暗号化の使用に関する注意事項」を参照してください。