Amazon DynamoDB が AWS KMS を使用する方法

Amazon DynamoDB は、完全マネージド型のスケーラブルな NoSQL データベースサービスです。DynamoDB は AWS Key Management Service (AWS KMS) と統合され、サーバー側の暗号化機能である保管時の暗号化をサポートします。

保存時の暗号化, を使用すると、DynamoDB は、テーブルがディスクに永続化されるたびに、プライマリキー、ローカルセカンダリインデックスおよびグローバル セカンダリインデックス, など、DynamoDB テーブル内のすべての顧客データを透過的に暗号化します。(テーブルにソートキーが存在する場合、範囲の境界線を示すソートキーの一部が、プレーンテキスト形式でテーブルメタデータに保存されます。) テーブルにアクセスすると、DynamoDB はテーブルのデータを透過的に復号化します。暗号化されたテーブルの使用あるいは管理のためにアプリケーションを変更する必要はありません。

保管時の暗号化では、これらのオブジェクトが耐久性のあるメディアに保存されるたびに、 DynamoDB Streams、グローバルテーブル、および バックアップ も保護されます。このトピックではテーブルを取り上げていますが、その内容はこれらのオブジェクトにも当てはまります。

すべての DynamoDB テーブルが暗号化されます。新規のテーブルでも既存のテーブルでも、暗号化を有効または無効にするオプションはありません。デフォルトでは、すべてのテーブルは DynamoDB サービスアカウントの AWS 所有のキー で暗号化されます。ただし、テーブルの一部またはすべてを暗号化するオプションを、カスタマーマネージドキーまたはアカウントの DynamoDB の AWS マネージドキー から選択できます。

Amazon DynamoDB による KMS キーのサポートの詳細については、『Amazon DynamoDB 開発者ガイド』の「保管時の DynamoDB の暗号化」を参照してください。