本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 创建密钥库 在[创建分支密钥](create-branch-keys.md)或使用分[AWS KMS 层密钥环](use-hierarchical-keyring.md)之前,必须先创建密钥存储,即管理和保护分支密钥的 Amazon DynamoDB 表。 **重要** 请勿删除保留分支密钥的 DynamoDB 表。如果删除此表,则将无法解密使用分层密钥环加密的任何数据。 按照 *Amazon DynamoDB 开发者*指南中的[创建表](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/getting-started-step-1.html)过程进行操作,使用以下必需的字符串值作为分区键和排序键。 | | 分区键 | 排序键 | | --- | --- | --- | | 基表 | branch-key-id | type | **逻辑密钥库名称** 在命名用作密钥存储的 DynamoDB 表时,请务必仔细考虑*在[配置密钥存储操作时](keystore-actions.md#config-keystore-actions)要指定的逻辑密钥存储*名称。逻辑密钥库名称充当密钥库的标识符,在第一个用户最初定义后无法更改。在密钥存储[操作中,必须始终指定相同的逻辑密钥存储](keystore-actions.md)名称。 DynamoDB 表名称和逻辑密钥存储名称之间必须存在 one-to-one映射。为简化 DynamoDB 还原操作,逻辑密钥存储名称以加密方式绑定到表中存储的所有数据。虽然逻辑密钥存储名称可能与您的 DynamoDB 表名称不同,但我们强烈建议将您的 DynamoDB 表名称指定为逻辑密钥存储名称。如果[从备份中恢复 DynamoDB 表后您的表](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Restore.Tutorial.html)名称发生变化,则可以将逻辑密钥存储名称映射到新的 DynamoDB 表名称,以确保分层密钥环仍然可以访问您的密钥存储。 请勿在逻辑密钥存储库名称中包含机密或敏感信息。在 AWS KMS CloudTrail 事件中,逻辑密钥存储库名称以纯文本形式显示为。`tablename` **后续步骤** 1. [配置密钥存储操作](keystore-actions.md) 1. [创建有效的分支密钥](create-branch-keys.md) 1. [创建 AWS KMS 分层密钥环](use-hierarchical-keyring.md)