保管時の DynamoDB の暗号化

Amazon DynamoDB に保存されるすべてのユーザーデータは、保管時に完全に暗号化されます。DynamoDB の保管時の暗号化は、AWS Key Management Service (AWS KMS) に保存された暗号化キーを使用して保管時にすべてのデータを暗号化することにより、拡張したセキュリティを提供しています。この機能は、機密データの保護における負担と複雑な作業を減らすのに役立ちます。保管時に暗号化することで、セキュリティを重視したアプリケーションを構築して、暗号化のコンプライアンスと規制の厳格な要件を満たすことができます。

DynamoDB の保管時の暗号化は、そのプライマリキー、ローカルおよびグローバルセカンダリインデックス、ストリーム、グローバルテーブル、バックアップ、DynamoDB Accelerator (DAX) クラスター (データが堅牢なメディアに保存される場合) を含む、暗号化されたテーブルでデータを保護することにより、追加のデータ保護レイヤーを提供します。組織のポリシー、業界や政府の規制、またはコンプライアンス要件によって、アプリケーションのデータセキュリティを高めるために保管時の暗号化の使用が求められることがよくあります。

保管時の暗号化には、テーブルの暗号化に使用される暗号化キーを管理するための AWS KMS が統合されます。詳細については、AWS Key Management Service Developer Guide の「AWS Key Management Service の概念」を参照してください。

新しいテーブルを作成するとき、以下のいずれかのカスタマーマスターキー (CMK) を選択してテーブルを暗号化できます。

• AWS 所有の CMK – デフォルトの暗号化タイプ。キーは DynamoDB により所有されます (追加料金なし)。

• AWS 管理の CMK – キーはアカウントに保存され、AWS KMS によって管理されます (AWS KMS 料金が適用されます)。

• カスタマー管理の CMK – キーはアカウントに保存され、ユーザーによって作成、所有、管理されます。ユーザーには CMK に対するフルコントロールの権限があります (AWS KMS の料金が適用されます)。

暗号化されたテーブルにアクセスすると、DynamoDB はテーブルデータを透過的に復号化します。いつでも、AWS 所有の CMK、AWS 管理の CMK、カスタマー管理の CMK を切り替えることができます。暗号化されたテーブルを使用または管理するために、コードやアプリケーションを変更する必要はありません。DynamoDB では引き続き、期待される 1 桁ミリ秒のレイテンシーが提供され続け、すべての DynamoDB クエリは暗号化されたデータでシームレスに機能します。

新しいテーブルを作成する際に暗号化キーを指定したり、AWS マネジメントコンソール、AWS Command Line Interface (AWS CLI)、Amazon DynamoDB API を使用して既存のテーブルで暗号化キーを切り替えたりすることができます。この方法については、「DynamoDB の暗号化テーブルの管理」を参照してください。

AWS 所有の CMK を使用した保管時の暗号化に追加の料金はかかりません。ただし、AWS KMS 料金は AWS 管理の CMK、およびカスタマー管理の CMK に適用されます。料金の詳細については、「AWS KMS 料金」を参照してください。

DynamoDB の保管時の暗号化は、AWS 中国 (北京)、AWS 中国 (寧夏)、AWS GovCloud (米国) のリージョンを含むすべての AWS リージョンで利用できます。カスタマー管理の CMK での保管時の暗号化サポートは、アジアパシフィック (大阪ローカル) リージョンを除くすべての AWS リージョンで利用できます。詳細については、「保存時の暗号化: その仕組み」および「保管時の DynamoDB 暗号化の使用に関する注意事項」を参照してください。