選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

在 DynamoDB 中管理加密資料表

PDF
RSS
焦點模式
在 DynamoDB 中管理加密資料表 - Amazon DynamoDB
指定新資料表的加密金鑰更新加密金鑰

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

您可以使用 AWS Management Console 或 AWS Command Line Interface (AWS CLI) 在新資料表上指定加密金鑰,並更新 Amazon DynamoDB 中現有資料表上的加密金鑰。

指定新資料表的加密金鑰

請依照這些步驟,使用 Amazon DynamoDB 主控台或 AWS CLI在新資料表上指定加密金鑰。

建立加密資料表 (主控台)

  1. 登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/dynamodb/ 開啟 DynamoDB 主控台。

  2. 在主控台左側的導覽窗格中,選擇 Tables (資料表)。

  3. 選擇 Create Table (建立資料表)。針對資料表名稱,輸入 Music。針對主索引鍵,輸入 Artist,對於排序索引鍵,輸入 SongTitle,兩者都做為字串。

  4. Settings (設定) 中,確認選取 Customize settings (自訂設定)。

    注意

    如果選取使用預設設定,資料表會靜態加密, AWS 擁有的金鑰 無需額外費用。

  5. 靜態加密下,選擇加密類型 - AWS 擁有的金鑰 AWS 受管金鑰、 或客戶受管金鑰。

    • 由 Amazon DynamoDB. 擁有 AWS 的金鑰,由 DynamoDB 特別擁有和管理。使用此金鑰不會向您收取額外費用。

    • AWS 受管金鑰。金鑰別名:aws/dynamodb。金鑰會儲存在您的帳戶中,並由 AWS Key Management Service (AWS KMS) 管理。需 AWS KMS 付費。

    • 儲存在您的帳戶中,且由您擁有和管理。客戶受管金鑰。金鑰會儲存在您的帳戶中,並由 AWS Key Management Service (AWS KMS) 管理。 AWS KMS 需收取費用。

      注意

      如果您選擇擁有和管理自己的金鑰,請確保已正確設定 KMS 金鑰政策。如需詳細資訊及範例,請參閱客戶受管金鑰的金鑰政策

  6. 選擇 Create table (建立資料表) 以建立加密資料表。若要確認加密類型,選取 Overview (概觀) 標籤中的資料表詳細資訊並檢閱 Additional details (其他詳細資訊) 區段。

建立加密資料表 (AWS CLI)

使用 AWS CLI 建立具有 Amazon DynamoDB 之預設 AWS 擁有的金鑰、 AWS 受管金鑰或客戶受管金鑰的資料表。

使用預設建立加密資料表 AWS 擁有的金鑰

  • 建立加密的 Music 資料表,如下所示。

    aws dynamodb create-table \
  --table-name Music \
  --attribute-definitions \
      AttributeName=Artist,AttributeType=S \
      AttributeName=SongTitle,AttributeType=S \
  --key-schema \
      AttributeName=Artist,KeyType=HASH \
      AttributeName=SongTitle,KeyType=RANGE \
  --provisioned-throughput \
      ReadCapacityUnits=10,WriteCapacityUnits=5
    注意

    此資料表現在使用 DynamoDB 服務帳戶中的預設值 AWS 擁有的金鑰 進行加密。

使用 AWS 受管金鑰 適用於 DynamoDB 的 建立加密資料表

  • 建立加密的 Music 資料表,如下所示。

    aws dynamodb create-table \
  --table-name Music \
  --attribute-definitions \
      AttributeName=Artist,AttributeType=S \
      AttributeName=SongTitle,AttributeType=S \
  --key-schema \
      AttributeName=Artist,KeyType=HASH \
      AttributeName=SongTitle,KeyType=RANGE \
  --provisioned-throughput \
      ReadCapacityUnits=10,WriteCapacityUnits=5 \
  --sse-specification Enabled=true,SSEType=KMS

    資料表描述的 SSEDescription 狀態會設為 ENABLED,而 SSEType 設為 KMS

    "SSEDescription": {
  "SSEType": "KMS",
  "Status": "ENABLED",
  "KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234",
}
使用 DynamoDB 由客戶受管金鑰建立加密資料表

  • 建立加密的 Music 資料表,如下所示。

    aws dynamodb create-table \
  --table-name Music \
  --attribute-definitions \
      AttributeName=Artist,AttributeType=S \
      AttributeName=SongTitle,AttributeType=S \
  --key-schema \
      AttributeName=Artist,KeyType=HASH \
      AttributeName=SongTitle,KeyType=RANGE \
  --provisioned-throughput \
      ReadCapacityUnits=10,WriteCapacityUnits=5 \
  --sse-specification Enabled=true,SSEType=KMS,KMSMasterKeyId=abcd1234-abcd-1234-a123-ab1234a1b234

    資料表描述的 SSEDescription 狀態會設為 ENABLED,而 SSEType 設為 KMS

    "SSEDescription": {
  "SSEType": "KMS",
  "Status": "ENABLED",
  "KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234",
}

更新加密金鑰

您也可以使用 DynamoDB 主控台或 AWS CLI ,隨時更新 AWS 擁有的金鑰 AWS 受管金鑰和客戶受管金鑰之間現有資料表的加密金鑰。

更新加密金鑰 (主控台)

  1. 登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/dynamodb/ 開啟 DynamoDB 主控台。

  2. 在主控台左側的導覽窗格中,選擇 Tables (資料表)。

  3. 選擇您要更新的資料表。

  4. 選取 Actions (動作) 下拉式清單,然後選取 Update settings (更新設定) 選項。

  5. 轉至 Additional settings (其他設定) 索引標籤。

  6. Encryption (加密) 下,選擇 Manage encryption (管理加密)。

  7. 選擇加密類型:

    • 由 Amazon DynamoDB 擁有。 AWS KMS 金鑰由 DynamoDB 擁有和管理。使用此金鑰不會向您收取額外費用。

    • AWS 受管金鑰別名:aws/dynamodb。金鑰會儲存在您的帳戶中,並由 管理 AWS Key Management Service。 (AWS KMS)。 AWS KMS 需付費。

    • 儲存在您的帳戶中,且由您擁有和管理。金鑰會儲存在您的帳戶中,並由 管理 AWS Key Management Service。 (AWS KMS)。 AWS KMS 需付費。

      注意

      如果您選擇擁有和管理自己的金鑰,請確保已正確設定 KMS 金鑰政策。如需詳細資訊,請參閱客戶受管金鑰的金鑰政策

    然後,選擇 Save (儲存) 以更新加密資料表。若要確認加密類型,檢查 Overview (概觀) 索引標籤下的資料表詳細資訊。

更新加密金鑰 (AWS CLI)

下列範例顯示如何使用 AWS CLI更新加密資料表。

使用預設更新加密資料表 AWS 擁有的金鑰

  • 更新加密的 Music 資料表,如下列範例所示。

    aws dynamodb update-table \
  --table-name Music \
  --sse-specification Enabled=false
    注意

    此資料表現在使用 DynamoDB 服務帳戶中的預設值 AWS 擁有的金鑰 進行加密。

使用 AWS 受管金鑰 適用於 DynamoDB 的 更新加密的資料表

  • 更新加密的 Music 資料表,如下列範例所示。

    aws dynamodb update-table \
  --table-name Music \
  --sse-specification Enabled=true

    資料表描述的 SSEDescription 狀態會設為 ENABLED,而 SSEType 設為 KMS

    "SSEDescription": {
  "SSEType": "KMS",
  "Status": "ENABLED",
  "KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234",
}
使用 DynamoDB 由客戶受管金鑰更新加密資料表

  • 更新加密的 Music 資料表,如下列範例所示。

    aws dynamodb update-table \
  --table-name Music \
  --sse-specification Enabled=true,SSEType=KMS,KMSMasterKeyId=abcd1234-abcd-1234-a123-ab1234a1b234

    資料表描述的 SSEDescription 狀態會設為 ENABLED,而 SSEType 設為 KMS

    "SSEDescription": {
  "SSEType": "KMS",
  "Status": "ENABLED",
  "KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234",
}

在本頁面

Related resources

Amazon DynamoDB API 參考
Cheat Sheet
Amazon DynamoDB 搭配 AWS SDK 使用

Related resources

Amazon DynamoDB API 參考
Cheat Sheet
Amazon DynamoDB 搭配 AWS SDK 使用
隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。