创建密钥库 - AWS 数据库加密 SDK

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建密钥库

创建分支密钥或使用分AWS KMS 层密钥环之前,必须先创建密钥存储,即管理和保护分支密钥的 Amazon DynamoDB 表。

重要

请勿删除保留分支密钥的 DynamoDB 表。如果删除此表,则将无法解密使用分层密钥环加密的任何数据。

按照 Amazon DynamoDB 开发者指南中的创建表过程进行操作,使用以下必需的字符串值作为分区键和排序键。

分区键 排序键
基表 branch-key-id type

逻辑密钥库名称

在命名用作密钥存储的 DynamoDB 表时,请务必仔细考虑配置密钥存储操作时要指定的逻辑密钥存储名称。逻辑密钥库名称充当密钥库的标识符,在第一个用户最初定义后无法更改。在密钥存储操作中,必须始终指定相同的逻辑密钥存储名称。

DynamoDB 表名称和逻辑密钥存储名称之间必须存在 one-to-one映射。为简化 DynamoDB 还原操作,逻辑密钥存储名称以加密方式绑定到表中存储的所有数据。虽然逻辑密钥存储名称可能与您的 DynamoDB 表名称不同,但我们强烈建议将您的 DynamoDB 表名称指定为逻辑密钥存储名称。如果从备份中恢复 DynamoDB 表后您的表名称发生变化,则可以将逻辑密钥存储名称映射到新的 DynamoDB 表名称,以确保分层密钥环仍然可以访问您的密钥存储。

请勿在逻辑密钥存储库名称中包含机密或敏感信息。在 AWS KMS CloudTrail 事件中,逻辑密钥存储库名称以纯文本形式显示为。tablename