DynamoDB 静态加密 - Amazon DynamoDB

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

DynamoDB 静态加密

存储在 Amazon DynamoDB 中的所有用户数据都在静态状态下进行完全加密。DynamoDB 静态加密通过使用存储在AWS Key Management Service(AWS KMS)。此功能可以帮助减少在保护敏感数据时涉及的操作负担和复杂性。通过静态加密,您可以构建符合严格加密合规性和法规要求的安全敏感型应用程序。

DynamoDB 静态加密通过保护加密表中的数据 — 包括数据存储在持久介质中时的主键、本地和全局二级索引、流、全局表、备份和 DynamoDB 加速器 (DAX) 群集,从而提供额外的数据保护层。组织政策、行业或政府法规以及合规性通常要求使用静态加密来提高您的应用程序的数据安全性。

静态加密与AWS KMS来管理用于加密您的表的加密钥。有关更多信息,请参阅 。AWS Key Management Service概念中的AWS Key Management Service开发人员指南

在创建新表时,您可以选择以下客户主密钥 (CMK) 之一来加密您的表:

  • AWS拥有的 CMK — 默认加密类型。此密钥归 DynamoDB 拥有(不另外收费)。

  • AWS托管 CMK — 密钥存储在您的账户中,由AWS KMS(AWS KMS将收取费用)。

  • 客户托管 CMK — 此密钥存储在您的账户中,由您创建、拥有和管理。您对 CMK 拥有完全控制权(AWS KMS将收取费用)。

注意

在创建启用静态加密的新 DAX 群集时,AWS托管 CMK 将用于加密集群中的静态数据。

当您访问加密表时,DynamoDB 会以透明方式解密表数据。您可以在AWS拥有的 CMK,AWS托管 CMK 和客户管理的 CMK 在任何给定时间。您无需更改任何代码或应用程序即可使用或管理加密表。DynamoDB 继续提供与您预期相同的单位数毫秒延迟,并且所有 DynamoDB 查询都可以无缝地处理加密的数据。

您可以在创建新表时指定加密密钥或在现有表上切换加密密钥,方法是使用AWS Management Console、AWS Command Line Interface(AWS CLI) 或 Amazon DynamoDB API。要了解如何操作,请参阅管理 DynamoDB 中的加密表

静态加密,使用AWS拥有 CMK 不另外收取费用。然而,AWS KMS将收取费用于AWS托管 CMK 和客户托管 CMK。有关定价的更多信息,请参阅 AWS KMS 定价

DynamoDB 静态加密在所有AWS区域,包括AWS中国(北京)和AWS中国(宁夏)区域和AWSGovCloud (US) 区域。有关更多信息,请参阅 静态加密:如何使用DynamoDB 静态加密使用说明