Cifrado en reposo en DynamoDB - Amazon DynamoDB

Cifrado en reposo en DynamoDB

Todos los datos de usuario almacenados en Amazon DynamoDB están completamente cifrados en reposo. El cifrado en reposo de DynamoDB proporciona mayor seguridad, porque cifra todos sus datos en reposo mediante las claves de cifrado almacenadas en AWS Key Management Service (AWS KMS). Esta funcionalidad ayuda a reducir la carga y la complejidad operativas que conlleva la protección de información confidencial. Con el cifrado en reposo, puede crear aplicaciones sensibles a la seguridad que necesitan cumplimiento estricto de cifrado y requisitos normativos.

El cifrado en reposo de DynamoDB proporciona una capa adicional de seguridad de los datos, porque los protege en una tabla cifrada que incluye su clave principal, los índices secundarios locales y globales, las transmisiones, las tablas globales, las copias de seguridad y los clústeres de DynamoDB Accelerator (DAX) siempre que los datos se almacenen en un soporte duradero. Las políticas de la organización, las normativas industriales o gubernamentales y los requisitos de conformidad suelen requerir el uso del cifrado en reposo para aumentar la seguridad de los datos de las aplicaciones. Para obtener más información sobre el cifrado de aplicaciones de bases de datos, consulte AWS Database Encryption SDK.

El cifrado en reposo se integra con AWS KMS para administrar las claves de cifrado que se utilizan para cifrar las tablas. Para obtener más información sobre los tipos y estados de las claves, consulte los conceptos de AWS Key Management Service en la Guía para desarrolladores de AWS Key Management Service.

Al crear una tabla nueva, puede elegir uno de los siguientes tipos de AWS KMS key para cifrarla. Puede cambiar entre estos tipos de claves en cualquier momento.

  • Clave propiedad de AWS: tipo de cifrado predeterminado. La clave es propiedad de DynamoDB (sin cargo adicional).

  • Clave administrada de AWS: la clave se almacena en la cuenta y la administra AWS KMS (se aplican los cargos de AWS KMS).

  • Customer managed key (Clave administrada por el cliente): la clave se almacena en la cuenta y usted la crea, posee y administra. Usted controla plenamente la clave KMS (se aplican los cargos de AWS KMS).

Para obtener más información sobre estos tipos de claves, consulte Customer keys and AWS keys.

nota
  • Al crear un nuevo clúster DAX con el cifrado en reposo habilitado, se utilizará una Clave administrada de AWS para cifrar datos en reposo en el clúster.

  • Si la tabla tiene una clave de clasificación, algunas de las claves de ordenación que marcan los límites del rango se almacenan en texto no cifrado en los metadatos de la tabla.

Cuando accede a una tabla cifrada, DynamoDB descifra los datos de la tabla de forma transparente. No es necesario que cambie sus aplicaciones o código para utilizar o administrar tablas cifradas. DynamoDB continúa proporcionando la misma latencia en milisegundos de un solo dígito que cabe esperar de nosotros y todas las consultas de DynamoDB funcionan sin inconvenientes con los datos cifrados.

Puede especificar una clave de cifrado al crear una tabla o cambiar las claves de cifrado en una tabla existente con la AWS Management Console, la AWS Command Line Interface (AWS CLI) o la API de Amazon DynamoDB. Para saber cómo hacerlo, consulte Administración de tablas de cifrado en DynamoDB.

El cifrado en reposo mediante la Clave propiedad de AWS se ofrece sin cargo adicional. Sin embargo, se aplicarán cargos de AWS KMS por una Clave administrada de AWS y por una clave administrada por el cliente. Para obtener más información acerca de los precios, consulte Precios de AWS KMS.

El cifrado en reposo de DynamoDB está disponible en todas las regiones de AWSRegions, incluidas las regiones AWS China (Pekín) y AWS China (Ningxia), así como la región AWS GovCloud (EE. UU.). Para obtener más información, consulte Cifrado de DynamoDB en reposo: funcionamiento y Notas de uso del cifrado en reposo de DynamoDB.