Gerenciar tabelas criptografadas no DynamoDB - Amazon DynamoDB
Especificar a chave de criptografia para uma nova tabelaAtualizar uma chave de criptografia

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciar tabelas criptografadas no DynamoDB

Você pode usar o AWS Management Console ou o AWS Command Line Interface (AWS CLI) para especificar a chave de criptografia em novas tabelas e atualizar as chaves de criptografia em tabelas existentes no Amazon DynamoDB.

Especificar a chave de criptografia para uma nova tabela

Siga estas etapas para especificar a chave de criptografia em uma nova tabela usando o console do Amazon DynamoDB ou a AWS CLI.

Criar uma tabela criptografada (console)

  1. Faça login AWS Management Console e abra o console do DynamoDB em https://console.aws.amazon.com/dynamodb/.

  2. No painel de navegação, no lado esquerdo do console, selecione Tables (Tabelas).

  3. Selecione Create Table (Criar tabela). Para o Table name (Nome da tabela), insira Music. Para a chave primária, insira Artist. Para a chave de classificação, insira SongTitle, os dois como strings.

  4. Em Settings (Configurações), verifique se Customize Settings (Personalizar configurações) está selecionado.

    nota

    Se a opção Usar configurações padrão for selecionada, as tabelas serão criptografadas em repouso com o Chave pertencente à AWS , sem custo adicional.

  5. Em Criptografia em repouso, escolha um tipo de criptografia - Chave pertencente à AWS, Chave gerenciada pela AWS, ou chave gerenciada pelo cliente.

    • De propriedade do Amazon DynamoDB. AWS chave própria, especificamente de propriedade e gerenciada pelo DynamoDB. Não há custo adicional para usar essa chave.

    • AWS chave gerenciada. Alias da chave: aws/dynamodb. A chave é armazenada na sua conta e é gerenciada por AWS Key Management Service (AWS KMS). AWS KMS cobranças se aplicam.

    • Stored in your account, and owned and managed by you. (Armazenada em sua conta, de sua propriedade e gerenciada por você.) Chave gerenciada pelo cliente A chave é armazenada na sua conta e é gerenciada por AWS Key Management Service (AWS KMS). AWS KMS cobranças se aplicam.

      nota

      Se você optar por ser o proprietário e gerenciar sua própria chave, certifique-se de que a Política de chaves do KMS está definida corretamente. Para obter mais informações, consulte Política de chaves para uma chave gerenciada pelo cliente.

  6. Selecione Create (Criar) para criar a tabela criptografada. Para confirmar o tipo de criptografia, selecione os detalhes da tabela na guia Overview (Visão geral) e revise a seção Additional details (Detalhes adicionais).

Criar uma tabela criptografada (AWS CLI)

Use o AWS CLI para criar uma tabela com a chave padrão Chave pertencente à AWS Chave gerenciada pela AWS, a ou uma chave gerenciada pelo cliente para o Amazon DynamoDB.

Para criar uma tabela criptografada com o padrão Chave pertencente à AWS

  • Crie a tabela Music criptografada da seguinte forma:

    aws dynamodb create-table \
  --table-name Music \
  --attribute-definitions \
      AttributeName=Artist,AttributeType=S \
      AttributeName=SongTitle,AttributeType=S \
  --key-schema \
      AttributeName=Artist,KeyType=HASH \
      AttributeName=SongTitle,KeyType=RANGE \
  --provisioned-throughput \
      ReadCapacityUnits=10,WriteCapacityUnits=5
    nota

    Essa tabela agora é criptografada usando o padrão Chave pertencente à AWS na conta de serviço do DynamoDB.

Para criar uma tabela criptografada com o Chave gerenciada pela AWS for DynamoDB

  • Crie a tabela Music criptografada da seguinte forma:

    aws dynamodb create-table \
  --table-name Music \
  --attribute-definitions \
      AttributeName=Artist,AttributeType=S \
      AttributeName=SongTitle,AttributeType=S \
  --key-schema \
      AttributeName=Artist,KeyType=HASH \
      AttributeName=SongTitle,KeyType=RANGE \
  --provisioned-throughput \
      ReadCapacityUnits=10,WriteCapacityUnits=5 \
  --sse-specification Enabled=true,SSEType=KMS

    O status SSEDescription da descrição da tabela é definido como ENABLED, e o SSEType é KMS: 

    "SSEDescription": {
  "SSEType": "KMS",
  "Status": "ENABLED",
  "KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234",
}
Para criar uma tabela criptografada com uma chave gerenciada pelo cliente para o DynamoDB

  • Crie a tabela Music criptografada da seguinte forma:

    aws dynamodb create-table \
  --table-name Music \
  --attribute-definitions \
      AttributeName=Artist,AttributeType=S \
      AttributeName=SongTitle,AttributeType=S \
  --key-schema \
      AttributeName=Artist,KeyType=HASH \
      AttributeName=SongTitle,KeyType=RANGE \
  --provisioned-throughput \
      ReadCapacityUnits=10,WriteCapacityUnits=5 \
  --sse-specification Enabled=true,SSEType=KMS,KMSMasterKeyId=abcd1234-abcd-1234-a123-ab1234a1b234

    O status SSEDescription da descrição da tabela é definido como ENABLED, e o SSEType é KMS:

    "SSEDescription": {
  "SSEType": "KMS",
  "Status": "ENABLED",
  "KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234",
}

Atualizar uma chave de criptografia

Você também pode usar o console do DynamoDB ou AWS CLI o para atualizar as chaves de criptografia de uma tabela existente entre Chave pertencente à AWS uma chave gerenciada pelo cliente e Chave gerenciada pela AWS, a qualquer momento.

Atualizar uma chave de criptografia (console)

  1. Faça login AWS Management Console e abra o console do DynamoDB em https://console.aws.amazon.com/dynamodb/.

  2. No painel de navegação, no lado esquerdo do console, selecione Tables (Tabelas).

  3. Escolha a tabela que você deseja atualizar.

  4. Selecione Actions (Ações) e depois selecione a opção Update settings (Atualizar configurações).

  5. Vá para a guia Additional settings (Configurações adicionais).

  6. Em Encryption (Criptografia), escolha Manage encryption (Gerenciar criptografia).

  7. Escolha um tipo de criptografia:

    • Propriedade do Amazon DynamoDB. A AWS KMS chave pertence e é gerenciada pelo DynamoDB. Não há custo adicional para usar essa chave.

    • AWS chave gerenciada Apelido da chave:aws/dynamodb. A chave é armazenada em sua conta e é gerenciada por AWS Key Management Service. (AWS KMS). AWS KMS cobranças se aplicam.

    • Stored in your account, and owned and managed by you. (Armazenada em sua conta, de sua propriedade e gerenciada por você.) A chave é armazenada em sua conta e é gerenciada por AWS Key Management Service. (AWS KMS). AWS KMS cobranças se aplicam.

      nota

      Se você optar por ser o proprietário e gerenciar sua própria chave, certifique-se de que a Política de chaves do KMS está definida corretamente. Para obter mais informações, consulte Política de chaves para uma chave gerenciada pelo cliente.

    Depois escolha Save (Salvar) para atualizar a tabela criptografada. Para confirmar o tipo de criptografia, verifique os detalhes da tabela na guia Overview (Visão geral).

Atualizar uma chave de criptografia (AWS CLI)

Os exemplos a seguir mostram como atualizar uma tabela de criptografia usando a AWS CLI.

Para atualizar uma tabela criptografada com o padrão Chave pertencente à AWS

  • Atualize a tabela Music, como o exemplo a seguir.

    aws dynamodb update-table \
  --table-name Music \
  --sse-specification Enabled=false
    nota

    Essa tabela agora é criptografada usando o padrão Chave pertencente à AWS na conta de serviço do DynamoDB.

Para atualizar uma tabela criptografada com o Chave gerenciada pela AWS for DynamoDB

  • Atualize a tabela Music, como o exemplo a seguir.

    aws dynamodb update-table \
  --table-name Music \
  --sse-specification Enabled=true

    O status SSEDescription da descrição da tabela é definido como ENABLED, e o SSEType é KMS:

    "SSEDescription": {
  "SSEType": "KMS",
  "Status": "ENABLED",
  "KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234",
}
Para atualizar uma tabela criptografada com uma chave gerenciada pelo cliente para o DynamoDB

  • Atualize a tabela Music, como o exemplo a seguir.

    aws dynamodb update-table \
  --table-name Music \
  --sse-specification Enabled=true,SSEType=KMS,KMSMasterKeyId=abcd1234-abcd-1234-a123-ab1234a1b234

    O status SSEDescription da descrição da tabela é definido como ENABLED, e o SSEType é KMS: 

    "SSEDescription": {
  "SSEType": "KMS",
  "Status": "ENABLED",
  "KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234",
}