静态 DynamoDB 加密 - Amazon DynamoDB
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

静态 DynamoDB 加密

Amazon DynamoDB 中存储的所有用户数据在静态状态下进行完全加密。DynamoDB 静态加密使用存储在 Amazon Key Management Service (Amazon KMS) 中的加密密钥,对所有静态数据加密,增强安全性。此功能减少保护敏感数据时涉及的操作负担和复杂性。利用静态加密,可以构建符合严格加密合规性和法规要求的安全敏感型应用程序。

如果数据存储在耐用介质中,DynamoDB 静态加密可提供额外的数据保护,始终保护加密表中的数据 — 包括主键、本地和全局二级索引、流、全局表、备份和 DynamoDB Accelerator (DAX) 集群。组织政策、行业或政府法规以及合规性需求通常要求使用静态加密增强数据安全性。

静态加密与集成, Amazon KMS 用于管理用于加密表的加密密钥。有关密钥类型和状态的更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的 Amazon Key Management Service 概念

创建新表时,您可以选择以下 Amazon KMS key 类型之一来加密您的表。您可以随时在这些密钥类型之间切换。

  • Amazon 拥有的密钥 — 默认加密类型。此密钥归 DynamoDB 拥有(不另外收费)。

  • Amazon 托管式密钥 — 密钥存储在您的账户中,由管理 Amazon KMS (Amazon KMS 收费)。

  • 客户管理的密钥 - 此密钥存储在您的账户中,由您创建、拥有和管理。您可以完全控制 KMS 密钥(Amazon KMS 收费)。

有关密钥类型的更多信息,请参阅客户密钥和 Amazon 密钥

注意

  • 创建启用静态加密的新 DAX 集群时,将使用 Amazon 托管式密钥 加密集群中的静态数据。

  • 如果表具有排序键,则标记范围边界的一些排序键将以明文形式存储在表元数据中。

访问加密表时,DynamoDB 会以透明方式解密表数据。无需更改任何代码或应用程序即可使用或管理加密表。DynamoDB 继续提供与预期的单位数毫秒延迟,所有 DynamoDB 查询可以无缝处理加密数据。

您可以在创建新表时指定加密密钥,也可以使用 Amazon Web Services Management Console、 Amazon Command Line Interface (Amazon CLI) 或 Amazon DynamoDB API 在现有表上切换加密密钥。要了解如何操作,请参阅 管理 DynamoDB 中的加密表

使用进行静态加密不收取额外费用。 Amazon 拥有的密钥 但是,客户管理的密钥需要支付 Amazon 托管式密钥 和 Amazon KMS 费用。有关定价的更多信息,请参阅 Amazon KMS 定价

DynamoDB 静态加密适用于 Amazon 所有区域,包括 Amazon 中国(北京) Amazon 和中国(宁夏)区域以及 Amazon GovCloud (美国)区域。有关更多信息,请参见 静态加密:工作原理DynamoDB 静态加密使用注意事项