# DAX 静态加密
Amazon DynamoDB Accelerator (DAX) 静态加密通过防止对基础存储进行未经授权的访问来帮助保护您的数据,提供了额外的一层数据保护。组织政策、行业或政府法规以及合规性需求可能要求使用静态加密来保护您的数据。可以使用加密增强部署在云中的应用程序数据安全。
利用静态加密,可使用 256 位高级加密标准(也称为 AES-256 加密)对 DAX 保存在磁盘上的数据进行加密。在将主节点中的更改传播至只读副本时,DAX 将数据写入磁盘。
DAX 静态加密自动与 AWS Key Management Service (AWS KMS) 集成,以管理用于加密您的集群的单一服务默认密钥。如果创建加密 DAX 集群时服务默认密钥不可用,AWS KMS 将为您创建一个新 AWS 托管密钥。此密钥将用于未来创建的加密集群。AWS KMS 将安全、高度可用的硬件和软件结合起来,以提供可针对云扩展的密钥管理系统。
加密数据后,DAX 将以透明方式处理数据的解密,这对性能产生的影响最小。您无需修改应用程序即可使用加密。
**注意**
DAX 不会为每个 DAX 操作调用 AWS KMS。DAX 仅在集群启动时使用此密钥。即使撤销了访问权限,DAX 在集群关闭前仍可访问数据。不支持客户指定的 AWS KMS 密钥。
DAX 静态加密对以下集群节点类型可用。
| 系列 | 节点类型 |
| --- | --- |
| 内存优化型(R4、R5 和 R7) | dax.r4.large dax.r4.xlarge dax.r4.2xlarge dax.r4.4xlarge dax.r4.8xlarge dax.r4.16xlarge dax.r5.large dax.r5.xlarge dax.r5.2xlarge dax.r5.4xlarge dax.r5.8xlarge dax.r5.12xlarge dax.r5.16xlarge dax.r5.24xlarge dax.r7i.large dax.r7i.xlarge dax.r7i.2xlarge dax.r7i.4xlarge dax.r7i.8xlarge dax.r7i.12xlarge dax.r7i.16xlarge dax.r7i.24xlarge |
| 通用型 (T2) | dax.t2.small dax.t2.medium |
| 通用型 (T3) | dax.t3.small dax.t3.medium |
**重要**
`dax.r3.*` 节点类型不支持 DAX 静态加密。
创建集群之后,无法启用或禁用静态加密。如果在创建集群时未启用静态加密,则必须重新创建集群才能启用静态加密。
提供的 DAX 静态加密不需要额外成本(收取 AWS KMS 加密密钥使用费)。有关定价的信息,请参阅 [Amazon DynamoDB 定价](https://aws.amazon.com/dynamodb/pricing)。
## 使用 AWS 管理控制台启用静态加密
执行以下步骤,使用控制台对表启用 DAX 静态加密。
**启用静态 DAX 加密**
1. 登录 AWS 管理控制台,打开 DynamoDB 控制台:[https://console.aws.amazon.com/dynamodb/](https://console.aws.amazon.com/dynamodb/)。
1. 在控制台左侧的导航窗格中的 **DAX** 下,选择**集群**。
1. 选择**创建集群**。
1. 对于**集群名称**,输入集群的短名称。为集群中的所有节点选择**节点类型**,对于集群大小,使用 **3** 节点。
1. 在**加密**中,确保选中**启用加密**。
![\[控制台中的显示启用加密设置的集群设置的屏幕截图。\]](http://docs.aws.amazon.com/zh_cn/amazondynamodb/latest/developerguide/images/dax_encrypt.PNG)
1. 选择 IAM 角色、子网组、安全组和集群设置之后,选择**启动集群**。
要确认集群是否已加密,请查看**集群**窗格下的集群详细信息。加密应该为**已启用**。