Amazon DynamoDB
开发人员指南 (API 版本 2012-08-10)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

静态加密使用说明

在 Amazon DynamoDB 中使用静态加密时,请注意以下事项。

  • 所有 DynamoDB 表数据上都启用了服务器端静态加密,无法禁用。您无法加密表中项目的子集。

  • DynamoDB 使用由 AWS 所拥有的客户主密钥 (CMK) 加密了所有之前未加密的现有表。

  • 在 AWS 管理控制台上,当您使用 AWS 托管 CMK 加密数据时,加密类型为 KMS。当您使用 AWS 拥有的 CMK 时,加密类型为 DEFAULT。在 Amazon DynamoDB API 中,当您使用 AWS 托管 CMK 时,加密类型为 KMS。当缺少加密类型时,将使用 AWS 拥有的 CMK 对数据加密。

  • 您可以在任何给定时间在默认加密密钥、AWS 拥有的 CMK 和 AWS 托管的 CMK 之间切换。您可以使用控制台、AWS Command Line Interface (AWS CLI) 或 Amazon DynamoDB API 切换加密密钥。

  • 静态加密功能只加密持久性存储介质上处于静态的数据。如果对于正在传输的数据或正在使用的数据而言,数据安全性很重要,则需要执行额外措施:

    • 传输中的数据:DynamoDB 中的所有数据都在传输中加密(DAX 中的数据除外)。默认情况下,与 DynamoDB 的通信将使用 HTTPS 协议,该协议使用安全套接字层 (SSL)/传输层安全性 (TLS) 加密来保护网络流量。

    • 正在使用的数据:在将数据发送到 DynamoDB 之前,使用客户端加密来保护您的数据。有关更多信息,请参阅Amazon DynamoDB 加密客户端 开发人员指南中的客户端和服务器端加密

  • 您可以对加密表使用流。静态加密会加密 DynamoDB 流中的数据。有关更多信息,请参阅使用 DynamoDB 流 捕获表活动

  • 您可以对加密表使用全局表。静态加密会加密全局表中的数据。有关更多信息,请参阅DynamoDB 全局表

  • 您可以对加密表使用备份和还原功能。您的备份已加密,从此备份还原的表也已启用加密。有关更多信息,请参阅DynamoDB 的按需备份和还原

  • 您可以对 DynamoDB Accelerator (DAX) 集群启用静态加密。有关更多信息,请参阅 DAX 静态加密