本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# DAX 靜態加密
<a name="DAXEncryptionAtRest"></a>

Amazon DynamoDB Accelerator (DAX) 靜態加密可協助保護您的資料免於發生未經授權的基礎儲存存取，為資料提供另一層保護。組織政策、行業或政府法規，以及合規要求可能需要使用靜態加密來保護您的資料。您可以使用加密來提高部署在雲端中的應用程式資料安全性。

使用靜態加密時，磁碟上的 DAX 所維持的資料使用 256 位元進階加密標準 (也稱為 AES-256 加密) 來加密。DAX 將資料寫入磁碟，做為自主節點到僅供讀取複本的變更環節之一。

DAX 靜態加密會自動與 AWS Key Management Service (AWS KMS) 整合，以管理用於加密叢集的單一服務預設金鑰。如果在建立加密的 DAX 叢集時，服務預設金鑰不存在， AWS KMS 會自動為您建立新的 AWS 受管金鑰。此金鑰會與未來建立的加密叢集搭配使用。 AWS KMS 結合安全、高可用性的硬體和軟體，以提供針對雲端擴展的金鑰管理系統。

在資料加密後，DAX 可以透明的方式處理您的資料解密，同時盡量降低對效能的影響。您不需要修改應用程式即可使用加密。

**注意**  
DAX 不會 AWS KMS 針對每個 DAX 操作呼叫 。DAX 只會在叢集啟動時使用金鑰。即使撤銷了存取，​DAX 仍會繼續存取資料，直到叢集關閉。不支援客戶指定的 AWS KMS 金鑰。

DAX 靜態加密可用於下列叢集節點類型。


| 系列 | Node type | 
| --- | --- | 
| 記憶體最佳化 (R4、R5 及 R7) |  dax.r4.large dax.r4.xlarge dax.r4.2xlarge dax.r4.4xlarge dax.r4.8xlarge dax.r4.16xlarge dax.r5.large dax.r5.xlarge dax.r5.2xlarge dax.r5.4xlarge dax.r5.8xlarge dax.r5.12xlarge dax.r5.16xlarge dax.r5.24xlarge dax.r7i.large dax.r7i.xlarge dax.r7i.2xlarge dax.r7i.4xlarge dax.r7i.8xlarge dax.r7i.12xlarge dax.r7i.16xlarge dax.r7i.24xlarge  | 
| 一般用途 (T2) |  dax.t2.small dax.t2.medium  | 
| 一般用途 (T3) |  dax.t3.small dax.t3.medium  | 

**重要**  
DAX 靜態加密不支援 `dax.r3.*` 節點類型。

您可以在建立叢集後啟用或停用靜態加密。若在建立時未啟用靜態加密，您必須重新建立叢集以啟用靜態加密。

DAX 靜態加密無需額外費用 （需支付AWS KMS 加密金鑰使用費）。如需定價資訊，請參閱 [Amazon DynamoDB 定價](https://aws.amazon.com/dynamodb/pricing)。

## 使用 啟用靜態加密 AWS 管理主控台
<a name="dax.encryption.tutorial-console"></a>

請遵循下列步驟，使用主控台在資料表上啟用 DAX 靜態加密。

**啟用 DAX 靜態加密**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/dynamodb/](https://console.aws.amazon.com/dynamodb/) 開啟 DynamoDB 主控台。

1.  在主控台左側的導覽窗格中，選擇 **DAX** 下的 **Clusters (叢集)**。

1.  選擇 **Create Cluster** (建立叢集)。

1. 針對 **Cluster name (叢集名稱)** 輸入您叢集的短名稱。為叢集中的所有節點選擇 **Node type (節點類型)**，而對於叢集大小，請使用 **3** 節點。

1. 在 **Encryption (加密)** 中，請確認已選擇 **Enable Encryption (啟用加密)**。  
![\[主控台中叢集設定的截圖顯示啟用加密設定。\]](http://docs.aws.amazon.com/zh_tw/amazondynamodb/latest/developerguide/images/dax_encrypt.PNG)

1. 在選擇 IAM 角色、子網路群組、安全群組、以及叢集設定後，請選擇 **Launch cluster (啟動叢集)**。

若要確認叢集是否加密，檢查 **Clusters (叢集)** 窗格下的叢集詳細資訊。加密應 **ENABLED (啟用)**。