本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 搭配 CMKs 使用加密的資料來源
<a name="encrypted-data-cmk"></a>

本主題包含有關設定 App Studio 並將其連線至使用[AWS KMS 客戶受管金鑰 (CMK)](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) 加密的資料來源的資訊。

**Contents**
+ [使用加密的受管資料儲存資料表](#encrypted-data-cmk-managed-data)
+ [使用加密的 DynamoDB 資料表](#encrypted-data-cmk-ddb)

## 使用加密的受管資料儲存資料表
<a name="encrypted-data-cmk-managed-data"></a>

使用下列程序來加密 App Studio 應用程式中受管儲存實體使用的 DynamoDB 資料表。如需受管資料實體的詳細資訊，請參閱 [AWS App Studio 中的受管資料實體](managed-data-entities.md)。

**使用加密的受管資料儲存資料表**

1. 如有必要，請在 App Studio 的應用程式中建立受管資料實體。如需詳細資訊，請參閱[使用 App Studio 受管資料來源建立實體](data-entities-create.md#data-entities-create-managed-data-source)。

1. 透過執行下列步驟，將具有使用 CMK 加密和解密資料表資料許可的政策陳述式新增至 IAM `AppStudioManagedStorageDDBAccess` 角色：

   1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
**重要**  
您必須使用與建立 App Studio 執行個體相同的帳戶。

   1. 在 IAM 主控台的導覽窗格中，選擇**角色**。

   1. 選擇 `AppStudioManagedStorageDDBAccess`。

   1. 在**許可政策**中，選擇**新增許可**，然後選擇**建立內嵌政策**。

   1. 選擇 **JSON** 並以下列政策取代內容，並取代以下內容：
      + 將 *111122223333* 取代為用於設定 App Studio 執行個體的帳戶的 AWS 帳號，在 App Studio 執行個體的帳戶設定中列為帳戶 **AWS ID**。
      + 將 *CMK\$1id* 取代為 CMK ID。若要尋找，請參閱[尋找金鑰 ID 和金鑰 ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)。

1. 透過執行下列步驟，加密 App Studio 受管資料實體所使用的 DynamoDB 資料表：

   1. 在 https：//[https://console.aws.amazon.com/dynamodbv2/](https://console.aws.amazon.com/dynamodbv2/) 開啟 Amazon DynamoDB 主控台。

   1. 選擇您要加密的資料表。您可以在 App Studio 中對應實體的**連線**索引標籤中找到資料表名稱。

   1. 選擇**其他設定**。

   1. 在**加密**中，選擇**管理加密**。

   1. 選擇**存放在您的帳戶，由您擁有和管理，**然後選取您的 CMK。

1. 透過重新發佈您的應用程式，並確保讀取和寫入資料在測試和生產環境中都正常運作，以及在另一個實體中使用此資料表來測試您的變更。
**注意**  
根據預設，任何新增的受管資料實體都會使用 DynamoDB 受管金鑰，而且必須依照先前步驟，使用 CMK 更新為 。

## 使用加密的 DynamoDB 資料表
<a name="encrypted-data-cmk-ddb"></a>

使用下列程序來設定要在 App Studio 應用程式中使用的加密 DynamoDB 資料表。

**使用加密的 DynamoDB 資料表**

1. 請依照 中的指示[步驟 1：建立和設定 DynamoDB 資源](connectors-dynamodb.md#connectors-dynamodb-create-resources)進行下列變更：

   1. 設定要加密的資料表。如需詳細資訊，請參閱《*Amazon DynamoDB 開發人員指南*》中的[指定新資料表的加密金鑰](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/encryption.tutorial.html#encryption.tutorial-creating)。

1. 遵循 中的指示[步驟 2：使用適當的 DynamoDB 許可建立 IAM 政策和角色](connectors-dynamodb.md#connectors-dynamodb-iam)，然後使用 新增政策陳述式以更新新角色的許可政策，允許它透過執行下列步驟，使用 CMK 加密和解密資料表資料：

   1. 如有必要，請在 IAM 主控台中導覽至您的角色。

   1. 在**許可政策**中，選擇**新增許可**，然後選擇**建立內嵌政策**。

   1. 選擇 **JSON** 並以下列政策取代內容，並取代以下內容：
      + 將 *team\$1account\$1id* 取代為您的 App Studio 團隊 ID，可在您的帳戶設定中找到。
      + 將 *CMK\$1id* 取代為 CMK ID。若要尋找，請參閱[尋找金鑰 ID 和金鑰 ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)。

1. 遵循 [建立 DynamoDB 連接器](connectors-dynamodb.md#connectors-dynamodb-create-connector)和 中的指示，使用您先前建立的角色來建立連接器。

1. 透過發佈使用 DynamoDB 連接器和資料表的應用程式來測試組態，以進行測試或生產。確保讀取和寫入資料有效，並且使用此資料表建立另一個實體也有效。
**注意**  
建立任何新的 DynamoDB 資料表時，您必須依照上述步驟，將它們設定為使用 CMK 加密。