DAX 传输加密
Amazon DynamoDB Accelerator (DAX) 支持加密应用程序和 DAX 集群之间传输的数据,使您能够在具有严格加密要求的应用程序中使用 DAX。
无论是否选择传输过程加密,应用程序和 DAX 集群之间的流量都将保留在 Amazon VPC 中。此流量将路由到在 VPC 中具有私有 IP,连接到集群节点的弹性网络接口。将 VPC 作为信任边界,可以使用标准工具(如安全组、使用 Network ACL 进行子网分段和 VPC 流跟踪)来加强控制数据的安全性。DAX 传输加密增加此基准级别的机密性,确保应用程序和集群之间的所有请求和响应都通过传输级别安全性 (TLS) 加密,并且可以通过验证集群 x509 证书验证与集群的连接。如果创建 DAX 集群时选择静态加密,还可以加密 DAX 写入磁盘的数据。
使用 DAX 传输加密非常简单。只需在创建新集群时选择此选项,然后在应用程序中使用任何 DAX 客户端。使用传输加密的集群不支持未加密的流量,因此不会错误配置应用程序和绕过加密。DAX 客户端将在建立连接时使用集群的 x509 证书对验证集群身份,确保 DAX 请求发送到预期的位置。所有创建 DAX集群的方法都支持传输加密:AWS Management Console、AWS CLI、所有 SDK 和 AWS CloudFormation。
无法在现有 DAX 集群启用传输加密。要在现有 DAX 应用程序中使用传输加密,请创建启用传输加密的新集群,将应用程序的流量转移到该集群,然后删除旧集群。