Criptografia em repouso do DynamoDB
Todos os dados de usuário armazenados no Amazon DynamoDB são totalmente criptografados em repouso. A criptografia em repouso do DynamoDB fornece segurança aprimorada ao criptografar seus dados em repouso usando chaves de criptografia armazenadas no AWS Key Management Service (AWS KMS)
A criptografia em repouso do DynamoDB fornece uma camada adicional de proteção de dados sempre protegendo seus dados seguros uma tabela criptografada, incluindo a chave primária, os índices secundários local e global, os fluxos, as tabelas globais, os backups e os clusters do DynamoDB Accelerator (DAX) sempre que os dados são armazenados em mídia durável. Políticas organizacionais, regulamentações setoriais ou governamentais e exigências de conformidade geralmente demandam o uso de criptografia em repouso para aumentar a segurança de dados de seus aplicativos. Para obter mais informações sobre criptografia para aplicações de banco de dados, consulte AWS Database Encryption SDK.
A criptografia em repouso integra-se com o AWS KMS para o gerenciamento da chave de criptografia usada para criptografar suas tabelas. Para obter mais informações sobre os principais tipos e estados, consulte AWS Key Management Service concepts no Guia do desenvolvedor do AWS Key Management Service.
Ao criar uma nova tabela, você pode escolher um dos seguintes tipo de AWS KMS key para criptografar a tabela: É possível alternar entre esses tipos de chave a qualquer momento.
-
Chave pertencente à AWS: tipo de criptografia padrão. A chave pertence ao DynamoDB (sem custo adicional).
-
Chave gerenciada pela AWS: a chave é armazenada na sua conta e é gerenciada pelo AWS KMS (cobranças do AWS KMS são aplicáveis).
-
Chave gerenciada pelo cliente: a chave é armazenada na sua conta e é você que a cria, detém e gerencia. Você tem controle total sobre a chave do KMS (cobranças do AWS KMS são aplicáveis).
Para obter mais informações sobre os tipos de chave, consulte Customer keys and AWS keys.
nota
Na criação de um novo cluster do DAX com criptografia em repouso habilitada, uma Chave gerenciada pela AWS será usada para criptografar dados em repouso no cluster.
Se sua tabela tem uma chave de classificação, algumas dessas chaves que marcam os limites de intervalo são armazenadas em textos simples nos metadados da tabela.
Quando você acessa uma tabela criptografada, o DynamoDB descriptografa os dados da tabela de forma transparente. Você não precisa alterar seu código nem suas aplicações para usar ou gerenciar tabelas criptografadas. O DynamoDB continua a entregar a mesma latência em milissegundos de dígito único que você espera, e todas as consultas do DynamoDB funcionam perfeitamente em seus dados criptografados.
É possível especificar uma chave de criptografia quando você cria uma tabela ou alterna as chaves de criptografia em uma tabela existente usando o AWS Management Console, a AWS Command Line Interface (AWS CLI) ou a API do Amazon DynamoDB. Para saber como, consulte Gerenciar tabelas criptografadas no DynamoDB.
A criptografia em repouso usando a Chave pertencente à AWS é oferecida sem custo adicional. No entanto, as cobranças do AWS KMS se aplicam a uma Chave gerenciada pela AWS e a uma chave gerenciada pelo cliente. Para obter mais informações sobre a definição de preço, consulte Preços do AWS KMS
A criptografia em repouso do DynamoDB está disponível em todas as regiões da AWS, incluindo as regiões AWS China (Pequim), AWS China (Ningxia) e AWS GovCloud (EUA). Para ter mais informações, consulte Criptografia em repouso: como funciona e Notas de uso da criptografia em repouso do DynamoDB.
