Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Cifrado de DynamoDB en reposo: funcionamiento

PDF
RSS
Modo de enfoque
Cifrado de DynamoDB en reposo: funcionamiento - Amazon DynamoDB
Claves propiedad de AWSClaves administradas por AWSClaves administradas por el clienteNotas sobre el uso de las Claves administradas por AWS

El cifrado en reposo de Amazon DynamoDB cifra sus datos mediante cifrado estándar avanzado de 256 bits (AES-256), que ayuda a proteger sus datos del acceso no autorizado al almacenamiento subyacente.

El cifrado en reposo se integra con AWS Key Management Service (AWS KMS) para administrar las claves de cifrado que se utilizan para cifrar las tablas.

nota

En mayo de 2022, AWS KMS ha cambiado la programación de rotación para Claves administradas por AWS de cada tres años (aproximadamente 1095 días) hasta cada año (aproximadamente 365 días).

Las nuevas Claves administradas por AWS rotan automáticamente un año después de su creación y, aproximadamente, cada año a partir de entonces.

Las Claves administradas por AWS existentes rotan automáticamente un año después de su rotación más reciente y cada año a partir de entonces.

Claves propiedad de AWS

Las Claves propiedad de AWS no están almacenadas en su cuenta de AWS. Forman parte de una recopilación de claves KMS que AWS posee y administra para su uso en múltiples cuentas de AWS. Los servicios de AWS pueden usar las Claves propiedad de AWS para proteger los datos. Las Claves propiedad de AWS que usa DynamoDB se rotan cada año (aproximadamente 365 días).

No puede ver, administrar o usar las Claves propiedad de AWS, ni auditar su uso. Sin embargo, no es necesario que realice ninguna acción ni que cambie programas para proteger las claves que cifran sus datos.

No se le cobra ninguna tarifa mensual ni tarifa de uso de las Claves propiedad de AWS y no se incluyen en los límites de AWS KMS de su cuenta.

Claves administradas por AWS

Las Claves administradas por AWS son claves KMS de la cuenta que se crean, administran y utilizan en su nombre por un servicio de AWS integrado con AWS KMS. Puede ver las Claves administradas por AWS en su cuenta, ver sus políticas de claves y auditar su uso en los registros de AWS CloudTrail. Sin embargo, no puede administrar estas claves KMS ni modificar sus permisos.

El cifrado en reposo se integra automáticamente con AWS KMS para administrar las Claves administradas por AWS para DynamoDB (aws/dynamodb) que se utilizan para cifrar las tablas. Si no existe una Clave administrada de AWS al crear la tabla de DynamoDB cifrada, AWS KMS crea automáticamente una nueva clave. Esta clave se utilizará con las tablas cifradas que se creen en el futuro. AWS KMS combina hardware y software seguros de alta disponibilidad para ofrecer un sistema de administración de claves adaptado a la nube.

Para obtener más información acerca de la administración de permisos de las Clave administrada de AWS, consulte Autorización del uso de Clave administrada de AWS en la Guía para desarrolladores de AWS Key Management Service.

Claves administradas por el cliente

Las claves administradas por el cliente son claves KMS en su cuenta de AWS, que usted ha creado, posee y administra. Usted tiene un control total sobre estas claves KMS, incluyendo el establecimiento y mantenimiento de sus políticas de claves, políticas de IAM y concesiones, la habilitación y desactivación de las mismas, la rotación de su material criptográfico, la adición de etiquetas, la creación de alias que hacen referencia a ellas y la programación para su eliminación. Para obtener más información acerca de cómo administrar permisos de una clave administrada por el cliente, consulte la Política de claves administrada por el cliente.

Cuando se especifica una clave administrada por el cliente como clave de cifrado a nivel de tabla, la tabla de DynamoDB, los índices secundarios locales y globales y las transmisiones se cifran con la misma clave administrada por el cliente. Las copias de seguridad en diferido se cifran con la clave de cifrado de nivel de tabla que se especifica en el momento en que se crea la copia de seguridad. La actualización de la clave de cifrado de nivel de tabla no cambia la clave de cifrado asociada a las copias de seguridad en diferido existentes.

Configurar el estado de la clave administrada por el cliente como desactivado o programarlo para su eliminación impide que todos los usuarios y el servicio DynamoDB puedan cifrar o descifrar datos y realizar operaciones de lectura y escritura en la tabla. DynamoDB debe tener acceso a la clave de cifrado para asegurarse de que pueda seguir accediendo a la tabla y evitar la pérdida de datos.

Si desactiva la clave administrada por el cliente o la programa para que se elimine, el estado de la tabla se convierte en Inaccesible. Para asegurarse de que puede continuar trabajando con la tabla, debe darle a DynamoDB acceso a la clave de cifrado especificada en un plazo de siete días. Tan pronto como el servicio detecte que la clave de cifrado es inaccesible, DynamoDB le envía una notificación por correo electrónico para avisarle.

nota

  • Si su clave administrada por el cliente permanece inaccesible para el servicio de DynamoDB durante más de siete días, la tabla se archiva y ya no podrá acceder a ella. DynamoDB crea una copia de seguridad en diferido de la tabla y se le emite una factura por ella. Puede utilizar esta copia de seguridad en diferido para restaurar los datos en una nueva tabla. Para iniciar la restauración, la última clave administrada por el cliente en la tabla debe estar habilitada y DynamoDB debe tener acceso a ella.

  • Si la clave administrada por el cliente que se utilizó para cifrar una réplica de tabla global es inaccesible, DynamoDB quitará esta réplica del grupo de replicación. La réplica no se eliminará y la replicación se detendrá desde y hacia esta región, 20 horas después de detectar que la clave administrada por el cliente es inaccesible.

Para obtener más información, consulte Habilitar claves y Eliminar claves.

Notas sobre el uso de las Claves administradas por AWS

Amazon DynamoDB no puede leer los datos de la tabla a menos que tenga acceso a la clave KMS almacenada en su cuenta de AWS KMS. DynamoDB utiliza el cifrado de envoltura y la jerarquía de claves para cifrar los datos. Sus clave de cifrado AWS KMS se utiliza para cifrar la clave raíz de esta jerarquía de claves. Para obtener más información, consulte Cifrado de sobre en la Guía para desarrolladores de AWS Key Management Service.

DynamoDB no llama a AWS KMS por cada operación de DynamoDB. La clave se actualiza una vez cada 5 minutos por intermediario con tráfico activo.

Asegúrese de haber configurado el SDK para que reutilice las conexiones. De lo contrario, experimentará latencias de DynamoDB al tener que restablecer nuevas entradas de caché de AWS KMS por cada operación de DynamoDB. Además, es posible que tenga que enfrentarse a costes de AWS KMS y CloudTrail más altos. Por ejemplo, para hacer esto usando el SDK Node.js, puede crear un nuevo agente HTTPS con keepAlive activado. Para obtener más información, consulte Configuración de keepAlive en Node.js en la Guía para desarrolladores de AWS SDK for JavaScript.

En esta página

Related resources

Referencia de la API de Amazon DynamoDB
Hoja de referencia
Uso de Amazon DynamoDB con un AWS SKD

Related resources

Referencia de la API de Amazon DynamoDB
Hoja de referencia
Uso de Amazon DynamoDB con un AWS SKD
PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.