DynamoDB 静态加密 - Amazon DynamoDB
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

DynamoDB 静态加密

存储在 Amazon DynamoDB 中的所有用户数据完全处于静态加密之中。DynamoDB 静态加密使用 AWS Key Management Service (AWS KMS) 中存储的加密密钥来加密您的所有静态数据,提供了增强的安全性。此功能可以帮助减少在保护敏感数据时涉及的操作负担和复杂性。通过静态加密,您可以构建符合严格的加密合规性和法规要求的安全敏感型应用程序。

DynamoDB 静态加密通过在加密表中保护数据来提供额外的一层数据保护,包括其主键、本地和全局二级索引、流、全局表、备份和 DynamoDB Accelerator (DAX) 集群(只要数据存储在持久性的媒体中)。组织政策、行业或政府法规以及合规性需求通常要求使用静态加密来提高应用程序的数据安全性。

静态加密与 AWS KMS 集成,以管理用于加密您的表的加密密钥。有关更多信息,请参阅 AWS Key Management Service Developer Guide 中的 AWS Key Management Service 概念

创建新表时,可以选择以下客户主密钥 (CMK) 之一加密您的表:

  • AWS 拥有的 CMK – 默认加密类型。此密钥归 DynamoDB 拥有(不另外收费)。

  • AWS 托管的 CMK – 此密钥存储在您的账户中,由 AWS KMS 管理(收取 AWS KMS 费用)。

  • 客户托管 CMK – 此密钥存储在您的账户中,由您创建、拥有和管理。您对 CMK 具有完全控制权(收取 AWS KMS 费用)。

当您访问加密表时,DynamoDB 会以透明方式解密表数据。您可以在任何给定时间在 AWS 拥有的 CMK、AWS 托管 CMK 和客户托管 CMK 之间切换。您不必更改任何代码或应用程序即可使用或管理加密的表。DynamoDB 持续交付您希望的相同个位数毫秒级延迟,并且所有 DynamoDB 查询都在加密数据上无缝执行。

您可以在创建新表时指定加密密钥,也可以使用 AWS 管理控制台、AWS Command Line Interface (AWS CLI) 或 Amazon DynamoDB API 在现有表上切换加密密钥。要了解如何操作,请参阅管理 DynamoDB 中的加密表

使用 AWS 拥有的 CMK 执行静态加密不另行收取费用。但是,AWS KMS 费用适用于 AWS 托管 CMK 和客户托管 CMK。有关定价的更多信息,请参阅 AWS KMS 定价

DynamoDB 静态加密在所有 AWS 区域中都可用,包括 AWS 中国(北京)和 AWS 中国(宁夏)区域以及 AWS GovCloud(美国)区域。除亚太(大阪本地)区域外,所有 AWS 区域都提供对客户托管 CMK 的静态加密支持。有关更多信息,请参阅 静态加密:工作原理DynamoDB 静态加密使用说明