Amazon DynamoDB
开发人员指南 (API 版本 2012-08-10)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

管理加密的表

本部分介绍如何使用 Amazon DynamoDB 控制台和 AWS Command Line Interface (AWS CLI) 管理加密的表。

创建加密表(控制台)

执行以下步骤,使用 Amazon DynamoDB 控制台创建加密表。

  1. 登录 AWS 管理控制台 并通过以下网址打开 DynamoDB 控制台:https://console.amazonaws.cn/dynamodb/

  2. 在控制台左侧的导航窗格中,选择 Tables (表)

  3. 选择 Create Table (创建表)。对于 Table name (表名称),输入 Music。对于主键,使用 Artist;对于排序键,使用 SongTitle,两者均为字符串。在 Table settings (表设置) 中,确保未选择 (使用默认设置)

    
            控制台中表设置的屏幕截图,显示“Use default settings (使用默认设置)”复选框。

    注意

    如果选择使用默认设置,则将使用 AWS 拥有的客户主密钥 (CMK) 对表进行静态加密,不另行收费。

  4. Encryption at rest (静态加密) 下,选择加密类型:

    
            控制台中显示加密类型复选框的加密设置的屏幕截图。
    • 默认 – AWS 拥有的 CMK。密钥归 DynamoDB 拥有(不另外收费)。

    • KMS – AWS 托管 CMK。密钥存储在您的账户中,由 AWS KMS 管理(收取 AWS KMS 费用)。

    然后,选择 (创建) 来创建加密表。要确认加密类型,请检查 Overview (概述) 选项卡下的表详细信息。

创建加密表 (AWS CLI)

执行以下步骤,使用 AWS CLI 通过默认的 AWS 拥有的 CMK 创建加密表。

  • 创建加密的 Music 表:

    aws dynamodb create-table \ --table-name Music \ --attribute-definitions \ AttributeName=Artist,AttributeType=S \ AttributeName=SongTitle,AttributeType=S \ --key-schema \ AttributeName=Artist,KeyType=HASH \ AttributeName=SongTitle,KeyType=RANGE \ --provisioned-throughput \ ReadCapacityUnits=10,WriteCapacityUnits=5

    注意

    此表现在使用 DynamoDB 服务账户中默认的 AWS 拥有的 CMK 进行加密。

执行以下步骤,使用 AWS CLI 通过适用于 DynamoDB (aws/dynamodb) 的 AWS 托管 CMK 创建加密表。

  • 创建加密的 Music 表:

    aws dynamodb create-table \ --table-name Music \ --attribute-definitions \ AttributeName=Artist,AttributeType=S \ AttributeName=SongTitle,AttributeType=S \ --key-schema \ AttributeName=Artist,KeyType=HASH \ AttributeName=SongTitle,KeyType=RANGE \ --provisioned-throughput \ ReadCapacityUnits=10,WriteCapacityUnits=5 \ --sse-specification Enabled=true,SSEType=KMS

    表说明的 SSEDescription 状态设置为 ENABLED,并且 SSETypeKMS

    "SSEDescription": { "SSEType": "KMS", "Status": "ENABLED", "KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234" }, }

更新加密密钥(控制台)

按照以下步骤将加密表从 AWS 拥有的 CMK 更新为 AWS 托管的 CMK,或者反过来。

  1. 登录 AWS 管理控制台 并通过以下网址打开 DynamoDB 控制台:https://console.amazonaws.cn/dynamodb/

  2. 在控制台左侧的导航窗格中,选择 Tables (表)

  3. 选择您要更新的表,然后选择概览选项卡。选择管理数据链接。

    
            控制台中的显示默认加密的表设置的屏幕截图。
  4. 选择加密类型:

    
            控制台中显示加密类型复选框的加密设置的屏幕截图。
    • 默认 – AWS 拥有的 CMK。密钥归 DynamoDB 拥有(不另外收费)。

    • KMS – AWS 托管 CMK。密钥存储在您的账户中,由 AWS KMS 管理(收取 AWS KMS 费用)。

    然后,选择保存来更新加密的表。要确认加密类型,请检查 Overview (概述) 选项卡下的表详细信息。

更新加密密钥 (AWS CLI)

执行以下步骤,使用 AWS CLI 通过默认的 AWS 拥有的 CMK 更新加密的表。

  • 更新加密的 Music 表:

    aws dynamodb update-table \ --table-name Music \ --sse-specification Enabled=false

    注意

    此表现在使用 DynamoDB 服务账户中默认的 AWS 拥有的 CMK 进行加密。

执行以下步骤,使用 AWS CLI 通过适用于 DynamoDB (aws/dynamodb) 的 AWS 托管 CMK 更新加密的表。

  • 更新加密的 Music 表:

    aws dynamodb update-table \ --table-name Music \ --sse-specification Enabled=true

    表说明的 SSEDescription 状态设置为 ENABLED,并且 SSETypeKMS

    "SSEDescription": { "SSEType": "KMS", "Status": "ENABLED", "KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234" }, }