DynamoDB の保管時の暗号化の使用に関する注意事項 - Amazon DynamoDB

DynamoDB の保管時の暗号化の使用に関する注意事項

Amazon DynamoDB で保管時の暗号化を使用する場合は、以下の点を考慮してください。

すべてのテーブルデータの暗号化

保管時のサーバー側の暗号化は、すべての DynamoDB テーブルデータで有効になり、無効にできません。テーブル内の項目のサブセットのみを暗号化することはできません。DynamoDB では、AWS が所有するカスタマーマスターキー (CMK) を使用し、これまで暗号化されなかった既存のテーブルがすべて暗号化されます。

保管時の暗号化は、永続的ストレージメディアの静的 (保管時) のデータのみを暗号化します。転送中のデータあるいは使用中のデータでデータの安全性が考慮される場合には、追加の対策を実行する必要がある場合があります。

  • 送信中のデータ: 送信中、DynamoDB 内のすべてのデータが暗号化されます (DAX 内のデータを除く)。デフォルトでは、DynamoDB との通信において、Secure Sockets Layer (SSL)/Transport Layer Security (TLS) 暗号化を使用してネットワークトラフィックを保護する HTTPS プロトコルが使用されます。

  • 使用中のデータ: DynamoDB 送信する前のデータを保護するには、クライアント側の暗号化を使用します。詳細については、Amazon DynamoDB 暗号化クライアント開発者ガイドの「クライアント側とサーバー側の暗号化

暗号化されたテーブルでストリーミングを使用できます。DynamoDB Streams は、テーブルレベルの暗号化キーを使用して常に暗号化されます。詳細については、「DynamoDB Streams の変更データキャプチャ」を参照してください。

DynamoDB バックアップが暗号化され、バックアップから復元されたテーブルでも暗号化が有効になります。Backup データの暗号化に、AWS 所有の CMK、AWS マネージド CMK、またはカスタマーマネージド CMK を使用できます。詳細については、「」を参照してくださいDynamoDB のオンデマンドバックアップおよび復元

ローカルセカンダリインデックスおよびグローバルセカンダリインデックスは、ベーステーブルと同じキーを使用して暗号化されます。

暗号化タイプ

AWS Management Console では、AWS マネージド CMK、またはカスタマー管理の CMK を使用してデータを暗号化すると、暗号化タイプは KMS になります。AWS 所有の CMK を使用すると、暗号化タイプは DEFAULT になります。Amazon DynamoDB API では、AWS マネージド CMK、またはカスタマーマネージド CMK を使用すると暗号化タイプは KMS になります。暗号化タイプがない場合、データは AWS 所有の CMK を使用して暗号化されます。AWS 所有の CMK、AWS マネージド CMK、カスタマーマネージド CMK はいつでも切り替えることができます。コンソール、AWS Command Line Interface (AWS CLI)、または Amazon DynamoDB API を使用して、暗号化キーを切り替えることができます。

カスタマーマネージド CMK を使用する場合、次の制限に注意してください。

  • DynamoDB Accelerator (DAX) クラスターではカスタマーマネージド CMK を使用できません。詳細については、「」を参照してください保管時の DAX 暗号化

  • カスタマーマネージド CMK を使用して、トランザクションを使用するテーブルを暗号化できます。ただし、トランザクションの伝達の堅牢性を確保するために、トランザクションリクエストのコピーはサービスによって一時的に保存され、AWS 所有の CMK を使用して暗号化されます。テーブルとセカンダリインデックスのコミット済みデータは、カスタマーマネージド CMK を使用して常に保管時に暗号化されます。

  • カスタマーマネージド CMK を使用して、Contributor Insights を使用するテーブルを暗号化できます。ただし、Amazon CloudWatch に送信されるデータは、AWS 所有の CMK を使用して暗号化されます。

  • カスタマーマネージド CMK を無効化した場合、または削除をスケジュールした場合、DynamoDB Streams 内のデータは 24 時間保持されます。作成後 24 時間を超えた未取得のアクティビティデータはすべて、トリミングの対象となります。

  • カスタマーマネージド CMK を無効化した場合、または削除をスケジュールした場合、有効期限 (TTL) は 30 分間続きます。これらの TTL 削除は引き続き DynamoDB Streams に出力され、標準のトリミングまたは保持間隔が適用されます。