DAX 傳輸中加密 - Amazon DynamoDB

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

DAX 傳輸中加密

Amazon DynamoDB Accelerator (DAX) 支援在應用程式與 DAX 叢集之間傳輸資料時進行加密,讓您能夠在具有嚴格加密要求的應用程式中使用 DAX。

無論您是否選擇傳輸中加密,應用程式與 DAX 叢集之間的流量都會保留在 Amazon VPC 中。此流量會路由至彈性網路介面,其中包含 VPC 中附加至叢集節點的私有 IP。您可以將 VPC 作為信任界限使用,透過標準工具 (例如安全群組、搭配網路 ACL 的子網路分隔和 VPC 流程追蹤) 掌控資料的安全性。DAX 傳輸中加密會新增至此機密性基準,確保應用程式與叢集之間的所有請求和回應都經由 Transport Layer Security (TLS) 加密,並透過驗證叢集 x509 憑證,對叢集的連線進行身份驗證。如果您在建立 DAX 叢集時選擇 encryption at rest (靜態加密),也可以加密 DAX 寫入磁碟的資料。

您可以輕鬆透過 DAX 使用傳輸中加密功能。僅需在建立新叢集時選取此選項,並在應用程式中使用任何 DAX 用戶端的最新版本。使用傳輸中加密的叢集不支援未加密的流量,因此不會設錯應用程式並略過加密。DAX 用戶端在建立連線時會使用叢集的 x509 憑證來驗證叢集的身分,以此確保 DAX 請求會前往預期的目的地。所有建立 DAX 叢集的方法都支援傳輸中加密功能:AWS Management Console、AWS CLI、所有開發套件和 AWS CloudFormation。

無法在現有 DAX 叢集上啟用傳輸中加密功能。若要在現有 DAX 應用程式中啟用傳輸中加密功能,請建立已啟用傳輸中加密功能的新叢集、將應用程式的流量轉移至該叢集,然後刪除舊叢集。