Cifrado en reposo de DAX
El cifrado de Amazon DynamoDB Accelerator (DAX) en reposo proporciona una capa adicional de protección de datos al ayudarle a proteger los datos del acceso no autorizado al almacenamiento subyacente. Las políticas de la organización, las normativas industriales o gubernamentales y los requisitos de conformidad pueden requerir el uso del cifrado en reposo para proteger los datos. Puede utilizar el cifrado para aumentar la seguridad de datos de las aplicaciones implementadas en la nube.
Con el cifrado en reposo, los datos mantenidos por DAX en disco se cifran utilizando el estándar de cifrado avanzado de 256 bits, también conocido como cifrado AES-256. DAX escribe datos en disco como parte de la propagación de cambios desde el nodo principal a las réplicas de lectura.
El cifrado en reposo de DAX se integra de forma automática con AWS Key Management Service (AWS KMS) para administrar la única clave de servicio predeterminada que se utiliza para cifrar los clústeres. Si no existe una clave de servicio predeterminada al crear el clúster de DAX cifrado, AWS KMS le crea automáticamente una nueva clave administrada por AWS. Esta clave se utilizará con los clústeres cifrados que se creen en el futuro. AWS KMS combina hardware y software seguros de alta disponibilidad para ofrecer un sistema de administración de claves adaptado a la nube.
Una vez cifrados los datos, DAX se encarga del descifrado de los datos de forma transparente con un impacto mínimo en el rendimiento. No es necesario modificar las aplicaciones para utilizar el cifrado.
nota
DAX no llama a AWS KMS para cada operación de DAX. DAX solo utiliza la clave durante el lanzamiento del clúster. Incluso si se revoca el acceso, DAX puede seguir accediendo a los datos hasta que se cierra el clúster. Las claves de AWS KMS especificadas por el cliente no se admiten.
El cifrado en reposo de DAX está disponible para los siguientes tipos de nodo de clúster.
| Familia | Tipo de nodo |
|---|---|
Optimizada para memoria (R4 y R5) |
dax.r4.large dax.r4.xlarge dax.r4.2xlarge dax.r4.4xlarge dax.r4.8xlarge dax.r4.16xlarge dax.r5.large dax.r5.xlarge dax.r5.2xlarge dax.r5.4xlarge dax.r5.8xlarge dax.r5.12xlarge dax.r5.16xlarge dax.r5.24xlarge |
Propósito general (T2) |
dax.t2.small dax.t2.medium |
Propósito general (T3) |
dax.t3.small dax.t3.medium |
importante
El cifrado en reposo de DAX no se admite para tipos de nodo dax.r3.*.
No puede habilitar o deshabilitar el cifrado en reposo después de haber creado un clúster. Debe volver a crear el clúster para habilitar el cifrado en reposo si no se habilitó durante la creación.
El cifrado en reposo de DAX se ofrece sin coste adicional (se aplican cargos por el uso de claves de cifrado de AWS KMS). Para obtener más información sobre los precios, consulte Precios de Amazon DynamoDB
Habilitación del cifrado en reposo mediante la AWS Management Console
Siga estos pasos para habilitar el cifrado en reposo de DAX en una tabla mediante la consola.
Para habilitar el cifrado en reposo de DAX
Inicie sesión en la AWS Management Console y abra la consola de DynamoDB en https://console.aws.amazon.com/dynamodb/
. -
En el panel de navegación en el lado izquierdo de la consola, en DAX, elija Clusters (Clústeres).
-
Elija Create cluster.
-
En Cluster name (Nombre del clúster), escriba un nombre abreviado para su clúster. Elija el node type (tipo de nodo) de todos los nodos del clúster y para el tamaño del clúster, utilice
3nodos. -
En Encryption (Cifrado), asegúrese de que Enable encryption (Habilitar el cifrado) esté seleccionado.
-
Después de elegir el rol de IAM, grupo de subred, grupos de seguridad y configuración de clúster, elija Launch cluster (Lanzar clúster).
Para confirmar que el clúster está cifrado, compruebe los datos del clúster en el panel Clusters (Clústeres). El cifrado debe estar ENABLED (HABILITADO).
