Amazon DynamoDB
开发人员指南 (API 版本 2012-08-10)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

静态加密:工作方式

Amazon DynamoDB 静态加密 通过保护您的数据免受未经授权的访问,为基础存储提供额外一层数据保护。组织政策、行业或政府法规以及合规性需求可能要求使用静态加密来保护您的数据。您可以使用加密来增强部署在云中的应用程序的数据安全。

利用 静态加密,您可以为所有 DynamoDB 数据启用静态加密:在 DynamoDB 表、本地二级索引和全局二级索引中保留的数据。静态加密使用 256 位 AES 加密 (也称为 AES-256 加密) 来加密您的数据。它在表级别工作,不仅加密基表,还会加密其索引。

静态加密自动与 AWS Key Management Service (AWS KMS) 集成,以管理用于加密您的表的单一服务默认密钥。如果在您创建加密的 DynamoDB 表时,服务默认密钥不存在,则 AWS KMS 会自动为您创建一个新密钥。此密钥将用于未来创建的加密表。AWS KMS 将安全、高度可用的硬件和软件结合起来,以提供可针对云扩展的密钥管理系统。

注意

除非对存储在您的 AWS KMS 账户中的服务默认密钥有访问权限,否则 Amazon DynamoDB 无法读取您的表数据。DynamoDB 使用信封加密和密钥层次结构来加密数据。您的 AWS KMS 加密密钥用于加密该密钥层次结构的根密钥。有关更多信息,请参阅信封加密如何与支持的 AWS 服务配合使用

使用用于加密该表的相同 AWS KMS 单一服务默认密钥,可以对以下内容进行加密:

  • DynamoDB 基表

  • 本地二级索引

  • 全局二级索引

在加密数据后,DynamoDB 将以透明方式处理数据的解密,并且对性能产生的影响最小。您无需修改应用程序即可使用加密。

注意

DynamoDB 不会为每个 DynamoDB 操作调用 KMS。对于具有活动流量的每个客户端连接,将每 5 分钟刷新一次密钥。