在 DynamoDB 中管理加密資料表 - Amazon DynamoDB
指定新資料表的加密金鑰更新加密金鑰

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 DynamoDB 中管理加密資料表

您可以使用 AWS Management Console 或 AWS Command Line Interface (AWS CLI) 在新表格上指定加密金鑰,並更新 Amazon DynamoDB 中現有表格上的加密金鑰。

指定新資料表的加密金鑰

請依照這些步驟,使用 Amazon DynamoDB 主控台或 AWS CLI在新資料表上指定加密金鑰。

建立加密資料表 (主控台)

  1. 登入 AWS Management Console 並開啟 DynamoDB 支援主控台,網址為 https://console.aws.amazon.com/dynamodb/。

  2. 在主控台左側的導覽窗格中,選擇 Tables (資料表)。

  3. 選擇 Create Table (建立資料表)。針對資料表名稱,輸入 Music。針對主索引鍵,輸入 Artist,對於排序索引鍵,輸入 SongTitle,兩者都做為字串。

  4. Settings (設定) 中,確認選取 Customize settings (自訂設定)。

    注意

    如果選取 [使用預設設定],則會在靜態時加密資料表,且不需額外付費。 AWS 擁有的金鑰

  5. 在「靜態加密」下,選擇加密類型- AWS 擁有的金鑰 AWS 受管金鑰、或客戶管理的金鑰。

    • 由 Amazon DynamoDB 擁有。 AWS 擁有的金鑰,專門由 DynamoDB 擁有和管理。使用此金鑰不會向您收取額外費用。

    • AWS 受管理的金鑰。金鑰別名:aws/dynamodb。密鑰存儲在您的帳戶中,由 AWS Key Management Service (AWS KMS)管理。 AWS KMS 費用適用。

    • 儲存在您的帳戶中,且由您擁有和管理。客戶受管金鑰。密鑰存儲在您的帳戶中,由 AWS Key Management Service (AWS KMS)管理。 AWS KMS 費用適用。

      注意

      如果您選擇擁有和管理自己的金鑰,請確保已正確設定 KMS 金鑰政策。如需詳細資訊及範例,請參閱客戶受管金鑰的金鑰政策

  6. 選擇 Create table (建立資料表) 以建立加密資料表。若要確認加密類型,選取 Overview (概觀) 標籤中的資料表詳細資訊並檢閱 Additional details (其他詳細資訊) 區段。

建立加密資料表 (AWS CLI)

使用建 AWS CLI 立具有 Amazon DynamoDB 的預設 AWS 擁有的金鑰金鑰 AWS 受管金鑰、或客戶受管金鑰的表格。

使用預設值建立加密資料表 AWS 擁有的金鑰

  • 建立加密的 Music 資料表,如下所示。

    aws dynamodb create-table \
  --table-name Music \
  --attribute-definitions \
      AttributeName=Artist,AttributeType=S \
      AttributeName=SongTitle,AttributeType=S \
  --key-schema \
      AttributeName=Artist,KeyType=HASH \
      AttributeName=SongTitle,KeyType=RANGE \
  --provisioned-throughput \
      ReadCapacityUnits=10,WriteCapacityUnits=5
    注意

    此表格現在已使用 DynamoDB 服務帳戶 AWS 擁有的金鑰 中的預設值加密。

若要使用適用 AWS 受管金鑰 於 DynamoDB 建立加密資料表

  • 建立加密的 Music 資料表,如下所示。

    aws dynamodb create-table \
  --table-name Music \
  --attribute-definitions \
      AttributeName=Artist,AttributeType=S \
      AttributeName=SongTitle,AttributeType=S \
  --key-schema \
      AttributeName=Artist,KeyType=HASH \
      AttributeName=SongTitle,KeyType=RANGE \
  --provisioned-throughput \
      ReadCapacityUnits=10,WriteCapacityUnits=5 \
  --sse-specification Enabled=true,SSEType=KMS

    資料表描述的 SSEDescription 狀態會設為 ENABLED,而 SSEType 設為 KMS

    "SSEDescription": {
  "SSEType": "KMS",
  "Status": "ENABLED",
  "KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234",
}
使用 DynamoDB 由客戶受管金鑰建立加密資料表

  • 建立加密的 Music 資料表,如下所示。

    aws dynamodb create-table \
  --table-name Music \
  --attribute-definitions \
      AttributeName=Artist,AttributeType=S \
      AttributeName=SongTitle,AttributeType=S \
  --key-schema \
      AttributeName=Artist,KeyType=HASH \
      AttributeName=SongTitle,KeyType=RANGE \
  --provisioned-throughput \
      ReadCapacityUnits=10,WriteCapacityUnits=5 \
  --sse-specification Enabled=true,SSEType=KMS,KMSMasterKeyId=abcd1234-abcd-1234-a123-ab1234a1b234

    資料表描述的 SSEDescription 狀態會設為 ENABLED,而 SSEType 設為 KMS

    "SSEDescription": {
  "SSEType": "KMS",
  "Status": "ENABLED",
  "KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234",
}

更新加密金鑰

您也可以使用 DynamoDB 主控台或隨時更新 AWS 擁有的金鑰、 AWS 受管金鑰和客戶受管金鑰之間現有資料表的加密金鑰。 AWS CLI

更新加密金鑰 (主控台)

  1. 登入 AWS Management Console 並開啟 DynamoDB 支援主控台,網址為 https://console.aws.amazon.com/dynamodb/。

  2. 在主控台左側的導覽窗格中,選擇 Tables (資料表)。

  3. 選擇您要更新的資料表。

  4. 選取 Actions (動作) 下拉式清單,然後選取 Update settings (更新設定) 選項。

  5. 轉至 Additional settings (其他設定) 索引標籤。

  6. Encryption (加密) 下,選擇 Manage encryption (管理加密)。

  7. 選擇加密類型:

    • 由 Amazon DynamoDB 擁有。 AWS KMS 金鑰由 DynamoDB 擁有及管理。使用此金鑰不會向您收取額外費用。

    • AWS 託管密鑰密鑰別名:aws/dynamodb。密鑰存儲在您的帳戶中,由 AWS Key Management Service. (AWS KMS)。 AWS KMS 費用適用。

    • 儲存在您的帳戶中,且由您擁有和管理。密鑰存儲在您的帳戶中,由 AWS Key Management Service. (AWS KMS)。 AWS KMS 費用適用。

      注意

      如果您選擇擁有和管理自己的金鑰,請確保已正確設定 KMS 金鑰政策。如需詳細資訊,請參閱客戶受管金鑰的金鑰政策

    然後,選擇 Save (儲存) 以更新加密資料表。若要確認加密類型,檢查 Overview (概觀) 索引標籤下的資料表詳細資訊。

更新加密金鑰 (AWS CLI)

下列範例顯示如何使用 AWS CLI更新加密資料表。

使用預設值更新加密資料表的步驟 AWS 擁有的金鑰

  • 更新加密的 Music 資料表,如下列範例所示。

    aws dynamodb update-table \
  --table-name Music \
  --sse-specification Enabled=false
    注意

    此表格現在已使用 DynamoDB 服務帳戶 AWS 擁有的金鑰 中的預設值加密。

若要使用適用 AWS 受管金鑰 於 DynamoDB 的加密資料表更新

  • 更新加密的 Music 資料表,如下列範例所示。

    aws dynamodb update-table \
  --table-name Music \
  --sse-specification Enabled=true

    資料表描述的 SSEDescription 狀態會設為 ENABLED,而 SSEType 設為 KMS

    "SSEDescription": {
  "SSEType": "KMS",
  "Status": "ENABLED",
  "KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234",
}
使用 DynamoDB 由客戶受管金鑰更新加密資料表

  • 更新加密的 Music 資料表,如下列範例所示。

    aws dynamodb update-table \
  --table-name Music \
  --sse-specification Enabled=true,SSEType=KMS,KMSMasterKeyId=abcd1234-abcd-1234-a123-ab1234a1b234

    資料表描述的 SSEDescription 狀態會設為 ENABLED,而 SSEType 設為 KMS

    "SSEDescription": {
  "SSEType": "KMS",
  "Status": "ENABLED",
  "KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234",
}