静态 DynamoDB 加密 - Amazon DynamoDB

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

静态 DynamoDB 加密

Amazon DynamoDB 中存储的所有用户数据在静态状态下进行完全加密。DynamoDB 静态加密使用存储在 AWS Key Management Service (AWS KMS) 中的加密密钥,对所有静态数据加密,增强安全性。此功能减少保护敏感数据时涉及的操作负担和复杂性。利用静态加密,可以构建符合严格加密合规性和法规要求的安全敏感型应用程序。

如果数据存储在耐用介质中,DynamoDB 静态加密可提供额外的数据保护,始终保护加密表中的数据 — 包括主键、本地和全局二级索引、流、全局表、备份和 DynamoDB Accelerator (DAX) 集群。组织政策、行业或政府法规以及合规性需求通常要求使用静态加密增强数据安全性。

静态加密与集成, AWS KMS 用于管理用于加密表的加密密钥。有关密钥类型和状态的更多信息,请参阅《AWS Key Management Service 开发人员指南》中的 AWS Key Management Service 概念

创建新表时,您可以选择以下 AWS KMS key 类型之一来加密您的表。您可以随时在这些密钥类型之间切换。

  • AWS 拥有的密钥 — 默认加密类型。此密钥归 DynamoDB 拥有(不另外收费)。

  • AWS 托管式密钥 — 密钥存储在您的账户中,由管理 AWS KMS (AWS KMS 收费)。

  • 客户管理的密钥 - 此密钥存储在您的账户中,由您创建、拥有和管理。您可以完全控制 KMS 密钥(AWS KMS 收费)。

有关密钥类型的更多信息,请参阅客户密钥和 AWS 密钥

注意
  • 创建启用静态加密的新 DAX 集群时,将使用 AWS 托管式密钥 加密集群中的静态数据。

  • 如果表具有排序键,则标记范围边界的一些排序键将以明文形式存储在表元数据中。

访问加密表时,DynamoDB 会以透明方式解密表数据。无需更改任何代码或应用程序即可使用或管理加密表。DynamoDB 继续提供与预期的单位数毫秒延迟,所有 DynamoDB 查询可以无缝处理加密数据。

您可以在创建新表时指定加密密钥,也可以使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 或 Amazon DynamoDB API 在现有表上切换加密密钥。要了解如何操作,请参阅 管理 DynamoDB 中的加密表

使用进行静态加密不收取额外费用。 AWS 拥有的密钥 但是,客户管理的密钥需要支付 AWS 托管式密钥 和 AWS KMS 费用。有关定价的更多信息,请参阅 AWS KMS 定价

DynamoDB 静态加密适用于 AWS 所有区域,包括 AWS 中国(北京) AWS 和中国(宁夏)区域以及 AWS GovCloud (美国)区域。有关更多信息,请参见 静态加密:工作原理DynamoDB 静态加密使用注意事项