DynamoDB 静态加密使用说明 - Amazon DynamoDB
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

DynamoDB 静态加密使用说明

在 Amazon DynamoDB 中使用静态加密时,请注意以下事项。

所有表数据都已加密

所有 DynamoDB 表数据上都启用了服务器端静态加密,无法禁用。您不能仅加密表中的一部分项目。DynamoDB 已使用 AWS 拥有的客户主密钥 (CMK) 加密以前未加密的所有现有表。

静态加密仅加密在持久性存储介质上处于静态 (静态) 状态时的数据。如果数据安全性对于传输中的数据或正在使用的数据很重要,您可能需要采取额外的措施:

  • 传输中的数据:中的所有数据在传输过程中均加密(DynamoDB 中的数据除外)。DAX默认情况下,与 DynamoDB 的通信使用 HTTPS 协议,该协议使用安全套接字层 (SSL)/传输层安全性 (TLS) 加密保护网络流量。

  • 使用中的数据:在使用客户端加密将数据发送到 DynamoDB 之前,保护您的数据。有关更多信息,请参阅 https://docs.amazonaws.cn/dynamodb-encryption-client/latest/devguide/client-server-side.html 开发人员指南 中的Amazon DynamoDB 加密客户端客户端加密和服务器端加密

您可以对加密表使用流。DynamoDB 流始终使用表级加密密钥进行加密。有关更多信息,请参阅流的更改数据捕获DynamoDB

DynamoDB 备份将加密,从备份还原的表也启用了加密。您可以使用 AWS 拥有的 CMK、AWS 托管 CMK 或客户托管 CMK 来加密备份数据。有关更多信息,请参阅DynamoDB 的按需备份和还原

本地二级索引和全局二级索引使用与基表相同的键进行加密。

加密类型

在 AWS 管理控制台 上,当您使用 AWS 托管 CMK 或客户托管 CMK 加密数据时,加密类型为 KMS。当您使用 AWS 拥有的 CMK 时,加密类型为 DEFAULT。在 Amazon DynamoDB API 中,当您使用 AWS 托管 CMK 或客户托管 CMK 时,加密类型为 KMS。如果没有加密类型,您的数据将使用 AWS 拥有的 CMK 进行加密。您可以在任何给定时间在 AWS 拥有的 CMK、AWS 托管 CMK 和客户托管 CMK 之间切换。您可以使用控制台、AWS Command Line Interface (AWS CLI) 或 Amazon DynamoDB API 切换加密密钥。

使用客户托管 CMKs 时,请注意以下限制:

  • 您无法将客户托管 CMK 与 DynamoDB Accelerator (DAX) 集群结合使用。有关更多信息,请参阅DAX 静态加密

  • 您可以使用客户托管 CMK 来加密使用事务的表。但是,在事务传播期间,将使用 AWS 拥有的 CMK 对数据进行加密。静态数据仍使用您的客户托管 CMK 进行加密。

  • 您可以使用客户托管 CMK 来加密使用 Contributor Insights 的表。但是,传输到 Amazon CloudWatch 的数据将使用 AWS 拥有的 CMK 进行加密。

  • 如果您禁用客户托管的 CMK 或计划将其删除,则 DynamoDB 流 中的所有数据仍存在 24 小时的生命周期。当任何未检索的活动数据在 24 小时之前时,都符合修剪的条件。

  • 如果您禁用客户托管 CMK 或计划将其删除,生存时间 (TTL) 删除将继续 30 分钟。这些 TTL 删除将继续发送到 DynamoDB 流,并受标准修剪/保留间隔的约束。