DAX 静态加密。 - Amazon DynamoDB
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

DAX 静态加密。

Amazon DynamoDB Accelerator (DAX) 静态加密通过防止对基础存储进行未经授权的访问来帮助保护您的数据,提供了额外的一层数据保护。组织政策、行业或政府法规以及合规性需求可能要求使用静态加密来保护您的数据。可以使用加密增强部署在云中的应用程序数据安全。

利用静态加密,可使用 256 位高级加密标准(也称为 AES-256 加密)对 DAX 保存在磁盘上的数据进行加密。在将主节点中的更改传播至只读副本时,DAX 将数据写入磁盘。

DAX 静态加密自动与 Amazon Key Management Service (Amazon KMS) 集成,以管理用于加密您的集群的单一服务默认密钥。如果创建加密 DAX 集群时服务默认密钥不可用,Amazon KMS 将为您创建一个新 Amazon 托管密钥。此密钥将用于未来创建的加密集群。Amazon KMS 将安全、高度可用的硬件和软件结合起来,以提供可针对云扩展的密钥管理系统。

加密数据后,DAX 将以透明方式处理数据的解密,这对性能产生的影响最小。您无需修改应用程序即可使用加密。

注意

DAX 不会为每个 DAX 操作调用 Amazon KMS。DAX 仅在集群启动时使用此密钥。即使撤销了访问权限,DAX 在集群关闭前仍可访问数据。不支持客户指定的 Amazon KMS 密钥。

DAX 静态加密对以下集群节点类型可用。

Family 节点类型

内存优化型(R4 和 R5)

dax.r4.large

dax.r4.xlarge

dax.r4.2xlarge

dax.r4.4xlarge

dax.r4.8xlarge

dax.r4.16xlarge

dax.r5.large

dax.r5.xlarge

dax.r5.2xlarge

dax.r5.4xlarge

dax.r5.8xlarge

dax.r5.12xlarge

dax.r5.16xlarge

dax.r5.24xlarge

通用型 (T2)

dax.t2.small

dax.t2.medium

通用型 (T3)

dax.t3.small

dax.t3.medium

重要

dax.r3.* 节点类型不支持 DAX 静态加密。

创建集群之后,无法启用或禁用静态加密。如果在创建集群时未启用静态加密,则必须重新创建集群才能启用静态加密。

提供的 DAX 静态加密不需要额外成本(收取 Amazon KMS 加密密钥使用费)。有关定价的完整信息,请参见 Amazon DynamoDB 定价

使用 Amazon Web Services Management Console 启用静态加密

执行以下步骤,使用控制台对表启用 DAX 静态加密。

启用静态 DAX 加密

  1. 登录 Amazon Web Services Management Console,打开 DynamoDB 控制台:https://console.aws.amazon.com/dynamodb/

  2. 在控制台左侧的导航窗格中的 DAX 下,选择集群

  3. 选择创建集群

  4. 对于集群名称,输入集群的短名称。为集群中的所有节点选择节点类型,对于集群大小,使用 3 节点。

  5. 加密中,确保选中启用加密

    
                        控制台中的显示启用加密设置的集群设置的屏幕截图。
  6. 选择 IAM 角色、子网组、安全组和集群设置之后,选择启动集群

要确认集群是否已加密,请查看集群窗格下的集群详细信息。加密应该为已启用