本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon 中的静态加密 QLDB
重要
终止支持通知:现有客户可以在2025年7月31日终止支持QLDB之前使用亚马逊。有关更多详细信息,请参阅将亚马逊QLDB账本迁移到亚马逊 Aurora Postgr SQL
默认情况下,存储在 Amazon QLDB 中的所有数据都经过完全静态加密。QLDB静态加密通过使用 AWS Key Management Service (AWS KMS) 中的加密密钥对所有静态账本数据进行加密,从而增强安全性。此功能减少保护敏感数据时涉及的操作负担和复杂性。利用静态加密,可以构建符合严格加密合规性和法规要求的安全敏感型应用程序。
静态加密与集成, AWS KMS 用于管理用于保护QLDB账本的加密密钥。有关的更多信息 AWS KMS,请参阅《AWS Key Management Service 开发人员指南》中的AWS Key Management Service 概念。
在中QLDB,您可以 AWS KMS key 为每个账本资源指定类型。在创建新账本或更新现有账本时,您可以选择以下KMS密钥类型之一来保护您的账本数据:
-
AWS 拥有的密钥 – 默认加密类型。钥匙归所有QLDB(不收取额外费用)。
-
客户托管的密钥 - 此密钥存储在您的 AWS 账户 中,由您创建、拥有和托管。您可以完全控制钥匙(AWS KMS 收费)。
注意
亚马逊QLDB于 2021 年 7 月 22 AWS KMS keys 日推出了对客户管理的支持。默认情况下,在发布之前创建的所有账本都 AWS 拥有的密钥 受到保护,但目前不符合使用客户托管密钥进行静态加密的资格。
您可以在QLDB控制台上查看账本的创建时间。
当您访问账本时,会透明地QLDB解密数据。您可以随时在客户管理的密钥 AWS 拥有的密钥 和客户管理的密钥之间切换。无需更改任何代码或应用程序即可使用或管理加密表。
您可以在创建新账本时指定加密密钥,也可以使用 AWS Management Console、或 AWS Command Line Interface (AWS CLI) 更改现有账本上的加密密钥。QLDB API有关更多信息,请参阅 在 Amazon 中使用客户托管的密钥 QLDB。
注意
默认情况下,Amazon QLDB 会自动启用静态加密 AWS 拥有的密钥 ,无需额外付费。但是,使用客户管理的密钥需要 AWS KMS 付费。有关定价的信息,请参阅 AWS Key Management Service 定价
QLDB所有可用 AWS 区域 的地方QLDB都提供静态加密。
