Amazon DynamoDB
开发人员指南 (API 版本 2012-08-10)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Amazon DynamoDB 静态加密

Amazon DynamoDB 提供完全托管的静态加密。DynamoDB 静态加密通过使用存储在 AWS Key Management Service (AWS KMS) 中的加密密钥来对所有静态数据加密,提供了增强的安全性。此功能可以帮助减少在保护敏感数据时涉及的操作负担和复杂性。通过静态加密,您可以构建符合严格的加密合规性和法规要求的安全敏感型应用程序。

DynamoDB 静态加密通过在加密表中保护数据来提供额外的一层数据保护,包括其主键、本地和全局二级索引、流、全局表、备份和 DynamoDB Accelerator (DAX) 集群(只要数据存储在持久性的媒体中)。组织政策、行业或政府法规以及合规性需求通常要求使用静态加密来提高应用程序的数据安全性。

静态加密与 AWS KMS 集成,以管理用于加密您的表的加密密钥。

创建新表时,可以选择以下客户主密钥 (CMK) 之一加密您的表:

  • AWS 拥有的 CMK – 默认加密类型。此密钥归 DynamoDB 拥有(不另外收费)。

  • AWS 托管的 CMK – 此密钥存储在您的账户中,由 AWS KMS 管理(收取 AWS KMS 费用)。

当您访问加密表时,DynamoDB 会以透明方式解密表数据。您可以在任何给定时间在 AWS 拥有的 CMK 和 AWS 托管的 CMK 之间切换。您不必更改任何代码或应用程序即可使用或管理加密的表。DynamoDB 持续交付您希望的相同个位数毫秒级延迟,并且所有 DynamoDB 查询都在加密数据上无缝执行。

有关更多信息,请参阅静态加密:工作原理静态加密使用说明

要了解如何使用 AWS 管理控制台、AWS Command Line Interface (AWS CLI) 或 Amazon DynamoDB API 在现有表上创建加密表或切换加密密钥,请参阅管理加密的表

注意

静态加密已在所有 AWS 商业区域和 AWS GovCloud(美国)正式发布,但目前在以下 AWS 区域不受支持:

  • 中国(北京)

  • 中国 (宁夏)

使用由 AWS 拥有的 CMK 执行静态加密不收取任何附加费用。但是,AWS KMS 对于 AWS 托管 CMK 收费。有关定价的更多信息,请参阅 Amazon DynamoDB 定价