本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立金鑰存放區
在建立分支金鑰或使用AWS KMS 階層式 keyring 之前,您必須建立金鑰存放區,這是管理和保護分支金鑰的 Amazon DynamoDB 資料表。
重要
請勿刪除持續分支金鑰的 DynamoDB 資料表。如果您刪除此資料表,您將無法解密使用階層式 keyring 加密的任何資料。
請遵循 Amazon DynamoDB 開發人員指南中的建立資料表程序,使用下列分割區索引鍵和排序索引鍵所需的字串值。
| 分割區索引鍵 | 排序索引鍵 | |
|---|---|---|
| 基本資料表 | branch-key-id |
type |
邏輯金鑰存放區名稱
命名做為金鑰存放區的 DynamoDB 資料表時,請務必仔細考慮您在設定金鑰存放區動作時指定的邏輯金鑰存放區名稱。邏輯金鑰存放區名稱可做為您金鑰存放區的識別符,而且在第一個使用者最初定義之後,就無法變更。您必須一律在金鑰存放區動作中指定相同的邏輯金鑰存放區名稱。
DynamoDB 資料表名稱和邏輯金鑰存放區名稱之間必須有one-to-one的映射。邏輯金鑰存放區名稱以密碼編譯方式繫結至存放在資料表中的所有資料,以簡化 DynamoDB 還原操作。雖然邏輯金鑰存放區名稱可以與您的 DynamoDB 資料表名稱不同,但我們強烈建議將您的 DynamoDB 資料表名稱指定為邏輯金鑰存放區名稱。如果您的資料表名稱在從備份還原 DynamoDB 資料表之後變更,則邏輯金鑰存放區名稱可以映射到新的 DynamoDB 資料表名稱,以確保階層式 keyring 仍可存取您的金鑰存放區。
請勿在邏輯金鑰存放區名稱中包含機密或敏感資訊。邏輯金鑰存放區名稱會以純文字形式顯示在 AWS KMS CloudTrail 事件中,做為 tablename。
