登录控制台
Amazon DynamoDB
开发人员指南 (API 版本 2012-08-10)
AWS 文档 » Amazon DynamoDB » 开发人员指南 » Amazon DynamoDB 静态加密 » 管理加密的表
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

管理加密的表

本部分介绍如何使用 Amazon DynamoDB 控制台和 AWS Command Line Interface (AWS CLI) 管理加密的表。

创建加密表(控制台)

执行以下步骤,使用 Amazon DynamoDB 控制台创建加密表。

  1. 登录 AWS 管理控制台 并通过以下网址打开 DynamoDB 控制台:https://console.amazonaws.cn/dynamodb/

  2. 在控制台左侧的导航窗格中,选择 Tables (表)

  3. 选择 Create Table (创建表)。对于 Table name (表名称),输入 Music。对于主键,使用 Artist;对于排序键,使用 SongTitle,两者均为字符串。在 Table settings (表设置) 中,确保未选择 (使用默认设置)

    控制台中表设置的屏幕截图,显示“Use default settings (使用默认设置)”复选框。

    注意

    如果选择使用默认设置,则将使用 AWS 拥有的客户主密钥 (CMK) 对表进行静态加密,不另行收费。

  4. Encryption at rest (静态加密) 下,选择加密类型:

    控制台中显示加密类型复选框的加密设置的屏幕截图。

    • 默认 – AWS 拥有的 CMK。密钥归 DynamoDB 拥有(不另外收费)。

    • KMS – AWS 托管 CMK。密钥存储在您的账户中,由 AWS KMS 管理(收取 AWS KMS 费用)。

    然后,选择 (创建) 来创建加密表。要确认加密类型,请检查 Overview (概述) 选项卡下的表详细信息。

创建加密表 (AWS CLI)

执行以下步骤,使用 AWS CLI 通过默认的 AWS 拥有的 CMK 创建加密表。

  • 创建加密的 Music 表: 

    aws dynamodb create-table \
  --table-name Music \
  --attribute-definitions \
      AttributeName=Artist,AttributeType=S \
      AttributeName=SongTitle,AttributeType=S \
  --key-schema \
      AttributeName=Artist,KeyType=HASH \
      AttributeName=SongTitle,KeyType=RANGE \
  --provisioned-throughput \
      ReadCapacityUnits=10,WriteCapacityUnits=5

    注意

    此表现在使用 DynamoDB 服务账户中默认的 AWS 拥有的 CMK 进行加密。

执行以下步骤,使用 AWS CLI 通过适用于 DynamoDB (aws/dynamodb) 的 AWS 托管 CMK 创建加密表。

  • 创建加密的 Music 表: 

    aws dynamodb create-table \
  --table-name Music \
  --attribute-definitions \
      AttributeName=Artist,AttributeType=S \
      AttributeName=SongTitle,AttributeType=S \
  --key-schema \
      AttributeName=Artist,KeyType=HASH \
      AttributeName=SongTitle,KeyType=RANGE \
  --provisioned-throughput \
      ReadCapacityUnits=10,WriteCapacityUnits=5 \
  --sse-specification Enabled=true,SSEType=KMS

    表说明的 SSEDescription 状态设置为 ENABLED,并且 SSETypeKMS

     "SSEDescription": {
  "SSEType": "KMS",
  "Status": "ENABLED",
  "KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234"
  },
}

更新加密密钥(控制台)

按照以下步骤将加密表从 AWS 拥有的 CMK 更新为 AWS 托管的 CMK,或者反过来。

  1. 登录 AWS 管理控制台 并通过以下网址打开 DynamoDB 控制台:https://console.amazonaws.cn/dynamodb/

  2. 在控制台左侧的导航窗格中,选择 Tables (表)

  3. 选择您要更新的表,然后选择概览选项卡。选择管理数据链接。

    控制台中的显示默认加密的表设置的屏幕截图。

  4. 选择加密类型:

    控制台中显示加密类型复选框的加密设置的屏幕截图。

    • 默认 – AWS 拥有的 CMK。密钥归 DynamoDB 拥有(不另外收费)。

    • KMS – AWS 托管 CMK。密钥存储在您的账户中,由 AWS KMS 管理(收取 AWS KMS 费用)。

    然后,选择保存来更新加密的表。要确认加密类型,请检查 Overview (概述) 选项卡下的表详细信息。

更新加密密钥 (AWS CLI)

执行以下步骤,使用 AWS CLI 通过默认的 AWS 拥有的 CMK 更新加密的表。

  • 更新加密的 Music 表: 

    aws dynamodb update-table \
  --table-name Music \
  --sse-specification Enabled=false

    注意

    此表现在使用 DynamoDB 服务账户中默认的 AWS 拥有的 CMK 进行加密。

执行以下步骤,使用 AWS CLI 通过适用于 DynamoDB (aws/dynamodb) 的 AWS 托管 CMK 更新加密的表。

  • 更新加密的 Music 表: 

    aws dynamodb update-table \
  --table-name Music \
  --sse-specification Enabled=true

    表说明的 SSEDescription 状态设置为 ENABLED,并且 SSETypeKMS

     "SSEDescription": {
  "SSEType": "KMS",
  "Status": "ENABLED",
  "KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234"
  },
}