本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 建立金鑰存放區 在[建立分支金鑰](create-branch-keys.md)或使用[AWS KMS 階層式 keyring](use-hierarchical-keyring.md) 之前,您必須建立金鑰存放區,這是管理和保護分支金鑰的 Amazon DynamoDB 資料表。 **重要** 請勿刪除保留分支金鑰的 DynamoDB 資料表。如果您刪除此資料表,您將無法解密使用階層式 keyring 加密的任何資料。 遵循 *Amazon DynamoDB 開發人員指南*中的[建立資料表](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/getting-started-step-1.html)程序,使用分割區索引鍵和排序索引鍵的下列必要字串值。 | | 分割區索引鍵 | 排序索引鍵 | | --- | --- | --- | | 基礎資料表 | branch-key-id | type | **邏輯金鑰存放區名稱** 命名做為金鑰存放區的 DynamoDB 資料表時,請務必仔細考慮您將在[設定](keystore-actions.md#config-keystore-actions)*金鑰存放區動作時指定的邏輯金鑰存放區名稱*。邏輯金鑰存放區名稱可做為金鑰存放區的識別符,在第一個使用者最初定義後就無法變更。您必須一律在金鑰存放區[動作中指定相同的邏輯金鑰存放區](keystore-actions.md)名稱。 DynamoDB 資料表名稱和邏輯金鑰存放區名稱之間必須有one-to-one的映射。邏輯金鑰存放區名稱以密碼編譯方式繫結至存放在資料表中的所有資料,以簡化 DynamoDB 還原操作。雖然邏輯金鑰存放區名稱可以與您的 DynamoDB 資料表名稱不同,但強烈建議將您的 DynamoDB 資料表名稱指定為邏輯金鑰存放區名稱。如果您的資料表名稱在[從備份還原 DynamoDB 資料表](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Restore.Tutorial.html)之後變更,則邏輯金鑰存放區名稱可以映射到新的 DynamoDB 資料表名稱,以確保階層式 keyring 仍然可以存取您的金鑰存放區。 請勿在邏輯金鑰存放區名稱中包含機密或敏感資訊。邏輯金鑰存放區名稱會以純文字的 AWS KMS CloudTrail 事件顯示為 `tablename`。 **後續步驟** 1. [設定金鑰存放區動作](keystore-actions.md) 1. [建立作用中分支金鑰](create-branch-keys.md) 1. [建立 AWS KMS 階層 keyring](use-hierarchical-keyring.md)