Criptografia em repouso do DAX - Amazon DynamoDB

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia em repouso do DAX

A criptografia em repouso do Amazon DynamoDB Accelerator (DAX) fornece uma camada adicional de proteção de dados, ajudando a proteger os dados contra acesso não autorizado ao armazenamento subjacente. O uso de criptografia em repouso para proteção de dados pode ser requerida por políticas organizacionais, regulamentações setoriais ou governamentais e exigências de conformidade. Você pode usar criptografia para aumentar a segurança dos dados dos aplicativos que são implantados na nuvem.

Com a criptografia em repouso, os dados persistentes do DAX em disco são criptografados usando Advanced Encryption Standard de 256 bits, também conhecida como AES-256. O DAX grava dados ao disco como parte das alterações de propagação do nó primário para as réplicas de leitura.

A criptografia em repouso do DAX integra-se automaticamente ao AWS Key Management Service (AWS KMS) para gerenciar a chave única de serviço padrão usada para criptografar seus clusters. Se uma chave de serviço padrão não existir quando você criar seu cluster do DAX criptografado, o AWS KMS criará automaticamente uma nova chave gerenciada pela AWS para você. Essa chave é usada com clusters criptografados que são criados no futuro. O AWS KMS integra hardware e software seguros e altamente disponíveis para oferecer um sistema de gerenciamento de chaves escalonado para a nuvem.

Assim que seus dados são criptografadas, o DAX lida de forma transparente com a descriptografia dos dados com um impacto mínimo sobre a performance. Você não precisa modificar seus aplicativos para usar a criptografia.

nota

O DAX não chama o AWS KMS para cada operação própria. O DAX usa a chave somente ao iniciar o cluster. Mesmo que o acesso seja revogado, o DAX ainda poderá acessar os dados até que o cluster seja desativado. As chaves AWS KMS especificadas pelo cliente não são aceitas.

A criptografia em repouso do DAX está disponível para os seguintes tipos de nó de cluster:

Família Tipo de nó

Otimizado para memória (R4 e R5)

dax.r4.large

dax.r4.xlarge

dax.r4.2xlarge

dax.r4.4xlarge

dax.r4.8xlarge

dax.r4.16xlarge

dax.r5.large

dax.r5.xlarge

dax.r5.2xlarge

dax.r5.4xlarge

dax.r5.8xlarge

dax.r5.12xlarge

dax.r5.16xlarge

dax.r5.24xlarge

Uso geral (T2)

dax.t2.small

dax.t2.medium

Uso geral (T3)

dax.t3.small

dax.t3.medium

Importante

A criptografia em repouso do DAX não é compatível com tipos de nós dax.r3.*.

Não é possível ativar ou desativar a criptografia em repouso após a criação e um cluster. Você deve recriar o cluster para ativar a criptografia em repouso caso não tenha sido ativada na criação.

A criptografia em repouso do DAX é fornecida sem custo adicional (cobranças de uso da chave de criptografia AWS KMS se aplicam). Para obter informações sobre preços, consulte Preços do Amazon DynamoDB.

Habilitar a criptografia em repouso usando o AWS Management Console

Siga estas etapas para habilitar a criptografia em repouso do DAX em uma tabela usando o console.

Para habilitar a criptografia em repouso do DAX
  1. Faça login no AWS Management Console e abra o console do DynamoDB em https://console.aws.amazon.com/dynamodb/.

  2. No painel de navegação no lado esquerdo do console, em DAX, selecione Clusters.

  3. Selecione Create cluster (Criar cluster).

  4. Em Cluster name (Nome do cluster), insira um nome curto para o seu cluster. Selecione o node type (tipo de nó) para todos os nós no cluster e, para o tamanho do cluster, use 3 nós.

  5. Em Encryption (Criptografia), selecione Enable encryption (Habilitar criptografia).

    
                        Captura de tela de configurações de cluster no console mostrando a configuração de criptografia ativada.
  6. Após selecionar a função do IAM, o grupo de sub-rede, os grupos de segurança e as configurações do cluster, selecione Launch cluster (Iniciar cluster).

Para confirmar se o cluster está criptografado, verifique os detalhes dele no painel Clusters. O status da criptografia deve ser ENABLED (ATIVADA).