Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia DynamoDB a riposo: come funziona
La crittografia a riposo di Amazon DynamoDB crittografa i dati utilizzando l'Advanced Encryption Standard a 256 bit AES (-256), che aiuta a proteggere i dati dall'accesso non autorizzato allo storage sottostante.
Encryption at rest si integra con AWS Key Management Service (AWS KMS) per la gestione delle chiavi di crittografia utilizzate per crittografare le tabelle.
Nota
A maggio 2022, AWS KMS ha modificato il programma di rotazione Chiavi gestite da AWS da ogni tre anni (circa 1.095 giorni) a ogni anno (circa 365 giorni).
Chiavi gestite da AWS I nuovi vengono ruotati automaticamente un anno dopo la creazione e successivamente all'incirca ogni anno.
Chiavi gestite da AWS Le versioni esistenti vengono ruotate automaticamente un anno dopo la loro rotazione più recente e successivamente ogni anno.
Chiavi di proprietà di AWS
Chiavi di proprietà di AWS non sono memorizzati nel tuo AWS account. Fanno parte di una raccolta di KMS chiavi che AWS possiede e gestisce per l'utilizzo in più AWS account. AWS i servizi possono essere utilizzati Chiavi di proprietà di AWS per proteggere i dati. Chiavi di proprietà di AWS utilizzati da DynamoDB vengono ruotati ogni anno (circa 365 giorni).
Non è possibile visualizzarne, gestirne Chiavi di proprietà di AWS, utilizzarne o controllarne l'utilizzo. Tuttavia, non è necessario effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati.
Non ti viene addebitato un canone mensile o un canone di utilizzo per l'utilizzo di Chiavi di proprietà di AWS e non vengono conteggiati nelle AWS KMS quote relative al tuo account.
Chiavi gestite da AWS
Chiavi gestite da AWS sono KMS chiavi del tuo account che vengono create, gestite e utilizzate per tuo conto da un AWS servizio integrato con. AWS KMS Puoi visualizzare le Chiavi gestite da AWS nel tuo account, visualizzare le relative policy delle chiavi e verificare il loro utilizzo nei registri AWS CloudTrail . Tuttavia, non puoi gestire queste KMS chiavi o modificarne le autorizzazioni.
Encryption at rest si integra automaticamente con AWS KMS la gestione dei file Chiavi gestite da AWS for DynamoDB aws/dynamodb
() utilizzati per crittografare le tabelle. Se Chiave gestita da AWS non esiste un quando crei la tabella DynamoDB crittografata AWS KMS , crea automaticamente una nuova chiave per te. Questa chiave viene utilizzata con le tabelle crittografate che verranno create in futuro. AWS KMS combina hardware e software sicuri e ad alta disponibilità per fornire un sistema di gestione delle chiavi scalabile per il cloud.
Per ulteriori informazioni sulla gestione delle autorizzazioni di Chiave gestita da AWS, vedere Authorizing use of the Chiave gestita da AWSAWS Key Management Service nella Developer Guide.
Chiavi gestite dal cliente
Le chiavi gestite dal cliente sono KMS chiavi del tuo AWS account che crei, possiedi e gestisci. Hai il pieno controllo su queste KMS chiavi, inclusa la definizione e la gestione delle relative politiche, IAM politiche e concessioni chiave, l'attivazione e la disabilitazione, la rotazione del materiale crittografico, l'aggiunta di tag, la creazione di alias che vi fanno riferimento e la pianificazione per l'eliminazione. Per ulteriori informazioni relative alla gestione delle autorizzazioni di una chiave gestita dal cliente, consulta l'argomento relativo alla policy delle chiavi gestite dal cliente.
Quando specifichi una chiave gestita dal cliente come chiave di crittografia a livello di tabella, la tabella DynamoDB, gli indici secondari locale e globale e i flussi vengono crittografati con la stessa chiave gestita dal cliente. I backup on demand vengono crittografati con la chiave di crittografia a livello di tabella specificata al momento della creazione del backup. L'aggiornamento della chiave di crittografia a livello di tabella non modifica la chiave di crittografia associata con i backup on demand esistenti.
L'impostazione dello stato della chiave gestita dal cliente su disabilitata o la pianificazione per l'eliminazione impedisce a tutti gli utenti e al servizio DynamoDB di criptare o decriptare i dati e di eseguire operazioni di lettura e scrittura sulla tabella. DynamoDB deve poter accedere alla chiave di crittografia per assicurarsi di poter continuare ad accedere alla tabella e prevenire la perdita di dati.
Se disabiliti la chiave gestita dal cliente o ne pianifichi l'eliminazione, lo stato della tabella diventa Inaccessible (Inaccessibile). Per essere certi che sia possibile continuare a lavorare con la tabella, è necessario fornire a DynamoDB l'accesso alla chiave di crittografia specificata entro sette giorni. Non appena il servizio rileva che la chiave di crittografia non è accessibile, DynamoDB invia una notifica e-mail come avviso.
Nota
-
Se la chiave gestita dal cliente rimane inaccessibile al servizio DynamoDB per più di sette giorni, la tabella viene archiviata e non è più possibile accedervi. DynamoDB crea un backup on demand della tabella che viene addebitato. È possibile utilizzare il backup on demand per ripristinare i dati in una nuova tabella. Per avviare il ripristino, è necessario abilitare l'ultima chiave gestita dal cliente sulla tabella e DynamoDB deve potervi accedere.
-
Se non è possibile accedere alla chiave gestita dal cliente utilizzata per criptare una replica della tabella globale, DynamoDB rimuoverà questa replica dal gruppo di replica. La replica non verrà eliminata e sarà interrotta da e verso questa regione 20 ore dopo aver rilevato che la chiave gestita dal cliente non è accessibile.
Per ulteriori informazioni, copri come attivare ed eliminare le chiavi.
Note sull'utilizzo Chiavi gestite da AWS
Amazon DynamoDB non può leggere i dati della tabella a meno che non abbia accesso alla chiave memorizzata KMS nel tuo account. AWS KMS DynamoDB utilizza la crittografia envelope e la gerarchia delle chiavi per criptare i dati. La tua chiave di AWS KMS crittografia viene utilizzata per crittografare la chiave principale di questa gerarchia di chiavi. Per ulteriori informazioni, consulta Crittografia envelope nella Guida per gli sviluppatori di AWS Key Management Service .
Puoi utilizzare AWS CloudTrail Amazon CloudWatch Logs per tenere traccia delle richieste a cui DynamoDB invia AWS KMS per tuo conto. Per ulteriori informazioni, consulta Monitoraggio dell'interazione di DynamoDB con AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .
DynamoDB non AWS KMS richiede ogni operazione DynamoDB. La chiave viene aggiornata una volta ogni 5 minuti per chiamante con traffico attivo.
Assicurati di aver configurato le connessioni SDK per riutilizzare. In caso contrario, si verificheranno delle latenze dovute alla necessità di ristabilire nuove voci della AWS KMS cache per ogni operazione DynamoDB. Inoltre, potreste dover affrontare costi più elevati. AWS KMS CloudTrail Ad esempio, per eseguire questa operazione utilizzando Node.jsSDK, è possibile creare un nuovo HTTPS agente con keepAlive
attivato. Per ulteriori informazioni, consulta Configurazione keepAlive in Node.js nella Guida per gli AWS SDK for JavaScript sviluppatori.