Amazon DynamoDB
开发人员指南 (API 版本 2012-08-10)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

DAX 静态加密

Amazon DynamoDB Accelerator (DAX) 静态加密通过防止对基础存储进行未经授权的访问来帮助保护您的数据,提供了额外的一层数据保护。组织政策、行业或政府法规以及合规性需求可能要求使用静态加密来保护您的数据。您可以使用加密来增强部署在云中的应用程序的数据安全。

利用静态加密,可使用 256 位高级加密标准(也称为 AES-256 加密)对 DAX 保存在磁盘上的数据进行加密。在将主节点中的更改传播至只读副本时,DAX 将数据写入磁盘。

DAX 静态加密自动与 AWS Key Management Service (AWS KMS) 集成,以管理用于加密您的集群的单一服务默认密钥。如果服务默认密钥在您创建加密的 DAX 集群时不存在,则 AWS KMS 将自动为您创建一个新密钥。此密钥将用于未来创建的加密集群。AWS KMS 将安全、高度可用的硬件和软件结合起来,以提供可针对云扩展的密钥管理系统。

加密数据后,DAX 将以透明方式处理数据的解密,这对性能产生的影响最小。您无需修改应用程序即可使用加密。

注意

DAX 不会为每个 DAX 操作调用 AWS KMS。DAX 仅在集群启动时使用此密钥。即使撤销了访问权限,DAX 在集群关闭前仍可访问数据。不支持客户指定的 AWS KMS 密钥。

DAX 静态加密对以下集群节点类型可用:

系列 节点类型

内存优化型 (R4)

dax.r4.large

dax.r4.xlarge

dax.r4.2xlarge

dax.r4.4xlarge

dax.r4.8xlarge

dax.r4.16xlarge

通用型 (T2)

dax.t2.small

dax.t2.medium

重要

dax.r3.* 节点类型不支持 DAX 静态加密。

创建集群之后,无法启用或禁用静态加密。如果在创建集群时未启用静态加密,则必须重新创建集群才能启用静态加密。

提供的 DAX 静态加密不需要额外成本(收取 AWS KMS 加密密钥使用费)。有关定价的信息,请参阅 Amazon DynamoDB 定价

启用静态加密 (控制台)

执行以下步骤,使用控制台对表启用 DAX 静态加密。

  1. 登录 AWS 管理控制台 并通过以下网址打开 DynamoDB 控制台:https://console.amazonaws.cn/dynamodb/

  2. 在控制台左侧的导航窗格中的 DAX 下,选择 Clusters(集群)

  3. 选择 Create cluster。对于 Cluster name (集群名称),输入集群的短名称。为集群中的所有节点选择 node type (节点类型),对于集群大小,使用 3 节点。在 Encryption (加密)中,确保选中Enable encryption (启用加密)

    
            控制台中的显示启用加密设置的集群设置的屏幕截图。
  4. 选择 IAM 角色、子网组、安全组和集群设置之后,选择 Launch cluster (启动集群)

要确认集群是否已加密,请查看 Clusters (集群) 窗格下的集群详细信息。加密应该为 ENABLED (已启用)