本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
DynamoDB 靜態加密
儲存在 Amazon DynamoDB 中的所有使用者資料都會完全靜態加密。DynamoDB 靜態加密使用存放在 AWS Key Management Service (AWS KMS)
每當資料存放到耐用的媒體時,DynamoDB 靜態加密就會透過保護加密資料表中的資料:包括其主索引鍵、本機及全域次要索引、串流、全域資料表、備份和 DynamoDB Accelerator (DAX) 叢集,來提供另一層資料保護。組織政策、行業或政府法規,以及合規要求可能會經常需要使用靜態加密來增加應用程式的資料安全性。如需有關資料庫應用程式加密的詳細資訊,請參閱資AWS 料庫加密 SDK。
靜態加密與 AWS KMS 整合,用於管理用於加密表格的加密金鑰。如需有關金鑰類型和狀態的詳細資訊,請參閱AWS Key Management Service 開發人員指南中的AWS Key Management Service 概念。
建立新資料表時,您可以選擇下列其中一種 AWS KMS key 類型來加密資料表。您可以隨時在這些金鑰類型之間切換。
-
AWS 擁有的金鑰 — 預設加密類型。此金鑰是由 DynamoDB 所擁有 (不需額外費用)。
-
AWS 受管金鑰 — 密鑰存儲在您的帳戶中,由管理 AWS KMS (AWS KMS 收費)。
-
客戶受管金鑰 – 金鑰會存放在您的帳戶中,並且由您建立、擁有且管理。您可以完全控制 KMS 金鑰 (AWS KMS 需付費)。
如需金鑰類型的詳細資訊,請參閱客戶金鑰和 AWS 金鑰。
注意
建立啟用靜態加密的新 DAX 叢集時, AWS 受管金鑰 會用來加密叢集中的靜態資料。
如果您的資料表有排序索引鍵,則某些標示範圍界限的排序索引鍵將會以純文字的格式存放在資料表中繼資料中。
當您存取加密的資料表,DynamoDB 會以透明方式解密資料表資料。您不必變更任何代碼或應用程式來使用或管理加密的資料表。DynamoDB 會繼續提供您預期的個位數毫秒的相同延遲,且所有 DynamoDB 查詢會在加密資料上順暢地運作。
您可以在建立新表格時指定加密金鑰,或使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 或 Amazon DynamoDB API 在現有表格上切換加密金鑰。如要瞭解如何作業,請參閱在 DynamoDB 中管理加密資料表。
使用的 AWS 擁有的金鑰 靜態加密不收取額外費用。但是,客戶管理的金鑰需要支付 AWS 受管金鑰 和 AWS KMS 費用。如需定價的詳細資訊,請參閱 AWS KMS 定價
DynamoDB 靜態加密適用於所有 AWS 區域,包括中 AWS 國 (北京) 和 AWS 中國 (寧夏) 區域以及 AWS GovCloud (美國) 區域。如需詳細資訊,請參閱 靜態加密:如何運作 及 DynamoDB 靜態加密使用須知。
