Amazon DynamoDB 如何使用 AWS KMS

Amazon DynamoDB 是一种完全托管的 NoSQL 数据库服务。DynamoDB 与 AWS Key Management Service (AWS KMS) 集成以支持静态加密服务器端加密功能。

利用静态加密，DynamoDB 可以透明方式对 DynamoDB 表中的所有客户数据进行加密，包括其主键及本地和全局二级索引，只要该表已保存到磁盘。（如果表具有排序键，则标记范围边界的一些排序键将以明文形式存储在表元数据中。） 当您访问表时，DynamoDB 会以透明方式解密表数据。您无需更改应用程序即可使用或管理加密表。

此外，在将 DynamoDB 流、全局表和备份保存到持久性媒体时，静态加密可以保护这些对象。有关本主题中表的语句也适用于这些对象。

将对所有 DynamoDB 表进行加密。没有为新表或现有表启用或禁用加密的选项。默认情况下，所有表都在 DynamoDB 服务账户中的 AWS 拥有的密钥 下加密。但是，您可以选择一个选项来为您账户中的 DynamoDB 在客户托管密钥或 AWS 托管式密钥 下对部分或全部表进行加密。

有关 Amazon DynamoDB 对 KMS 密钥的支持的详细信息，请参阅《Amazon DynamoDB 开发人员指南》中的静态 DynamoDB 加密。