保管時の DynamoDB 暗号化の使用に関する注意事項 - Amazon DynamoDB

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

保管時の DynamoDB 暗号化の使用に関する注意事項

Amazon DynamoDB で保管時の暗号化を使用する場合は、以下の点を考慮してください。

すべてのテーブルデータの暗号化

保管時のサーバー側の暗号化は、すべての DynamoDB テーブルデータで有効になり、無効にできません。テーブル内の項目のサブセットのみを暗号化することはできません。DynamoDB では、AWS が所有するカスタマーマスターキー (CMK) を使用し、これまで暗号化されなかった既存のテーブルがすべて暗号化されました。

保管時の暗号化は、永続的ストレージメディアの静的 (保管時に) のデータのみを暗号化します。転送中のデータあるいは使用中のデータでデータの安全性が考慮される場合には、追加の対策を実行する必要がある場合があります。

  • 送信中のデータ:送信中、DynamoDB 内のすべてのデータが暗号化されます (DAX 内のデータを除く)。デフォルトでは、DynamoDB との通信において、Secure Sockets Layer (SSL)/Transport Layer Security (TLS) 暗号化を使用してネットワークトラフィックを保護する HTTPS プロトコルが使用されます。

  • 使用中のデータ: DynamoDB にデータを送信する前に保護するには、クライアント側の暗号化を使用します。詳細は、Amazon DynamoDB の暗号化クライアント 開発者ガイドの「クライアント側とサーバー側の暗号化」を参照してください。

暗号化されたテーブルを持つストリームを使用できます。DynamoDB ストリームは、テーブルレベルの暗号化キーを使用して、常に暗号化されます。詳細については、「DynamoDB ストリーム を使用したテーブルアクティビティのキャプチャ」を参照してください。

DynamoDB バックアップが暗号化され、バックアップから復元されたテーブルでも暗号化が有効になります。バックアップデータの暗号化に、AWS 所有の CMK、AWS 管理の CMK、またはカスタマー管理の CMK を使用できます。詳細については、「DynamoDB のオンデマンドバックアップおよび復元」を参照してください。

ローカルセカンダリインデックスおよびグローバルセカンダリインデックスは、ベーステーブルと同じキーを使用して暗号化されます。

グローバルテーブルは、AWS 所有の CMK、または AWS 管理の CMK を使用して暗号化できます。

暗号化タイプ

AWS マネジメントコンソール で、AWS 管理の CMK、またはカスタマー管理の CMK を使用してデータを暗号化すると、暗号化タイプが KMS になります。AWS 所有の CMK を使用すると、暗号化タイプは DEFAULT になります。Amazon DynamoDB API で、AWS 管理の CMK、またはカスタマー管理の CMK を使用すると、暗号化タイプが KMS になります。暗号化タイプがない場合、AWS が所有する CMK を使用してデータが暗号化されます。いつでも、AWS 所有の CMK、AWS 管理の CMK、カスタマー管理の CMK を切り替えることができます。暗号化キーを切り替えるには、コンソール、AWS Command Line Interface (AWS CLI)、または Amazon DynamoDB API を使用することができます。

カスタマー管理の CMK を使用する場合、次の制限に注意してください。

  • カスタマー管理の CMK を使用して、グローバルテーブルを暗号化することはできません。詳細については、「グローバルテーブル: DynamoDB を使用した複数リージョンレプリケーション」を参照してください。

  • DynamoDB Accelerator (DAX) クラスターで、カスタマー管理の CMK を使用することはできません。詳細については、「保管時の DAX の暗号化」を参照してください。

  • カスタマー管理の CMK を使用して、トランザクションを使用するテーブルを暗号化できます。ただし、トランザクションの伝達中は、データは AWS 所有の CMK を使用して暗号化されます。保管時のデータは、引き続きカスタマー管理の CMK を使用して暗号化されます。

  • カスタマー管理の CMK を使用して、Contributor Insights を使用するテーブルを暗号化できます。ただし、Amazon CloudWatch に送信されるデータは、AWS 所有の CMK を使用して暗号化されます。

  • カスタマー管理の CMK を無効化したり、削除をスケジュールすると、DynamoDB ストリーム 内のすべてのデータは 24 時間保持されます。作成後 24 時間を超えた未取得のアクティビティデータはすべて、トリミングの対象となります。

  • カスタマー管理の CMK を無効化したり、削除をスケジュールすると、有効期限 (TTL) の削除は 30 分間続きます。これらの TTL の削除は引き続き DynamoDB ストリーム に出力され、標準のトリミングまたは保持間隔が適用されます。