本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Amazon 中靜態加密 QLDB
重要
支援終止通知:現有客戶將可以使用 Amazon,QLDB直到 07/31/2025 的支援結束為止。如需詳細資訊,請參閱將 Amazon QLDB Ledger 遷移至 Amazon Aurora Postgre。SQL
根據預設,存放在 Amazon 中的所有資料QLDB都會完全靜態加密。QLDB 靜態加密透過使用 AWS Key Management Service () 中的加密金鑰加密所有靜態分類帳資料,提供增強的安全性AWS KMS。此功能協助降低了保護敏感資料所涉及的操作負擔和複雜性。透過靜態加密,您可以建置安全敏感的分類帳應用程式,以符合嚴格的加密合規性和法規要求。
靜態加密與 整合 AWS KMS ,用於管理用來保護QLDB分類帳的加密金鑰。如需 的詳細資訊 AWS KMS,請參閱 AWS Key Management Service 開發人員指南 中的AWS Key Management Service 概念。
在 中QLDB,您可以 AWS KMS key 指定每個分類帳資源的 類型。當您建立新的分類帳或更新現有的分類帳時,您可以選擇下列其中一種KMS金鑰類型來保護您的分類帳資料:
-
AWS 擁有的金鑰 – 預設加密類型。金鑰由 擁有 QLDB(不收取額外費用)。
-
客戶受管金鑰 – 金鑰會儲存在 中, AWS 帳戶 並由您建立、擁有和管理。您可以完全控制金鑰 (需AWS KMS 付費)。
注意
Amazon AWS KMS keys 已於 2021 年 7 月 22 日QLDB推出對客戶受管的支援。根據 AWS 擁有的金鑰 預設,在啟動之前建立的任何分類帳都會受到保護,但目前不符合使用客戶受管金鑰進行靜態加密的資格。
您可以在QLDB主控台上檢視分類帳的建立時間。
當您存取分類帳時, 會以透明方式QLDB解密資料。您可以隨時在 AWS 擁有的金鑰 和客戶受管金鑰之間切換。您不需要變更任何程式碼或應用程式,即可使用或管理加密資料。
您可以在建立新分類帳時指定加密金鑰,或使用 AWS Management Console、 QLDBAPI或 AWS Command Line Interface () 在現有分類帳上變更加密金鑰AWS CLI。如需詳細資訊,請參閱在 Amazon 中使用客戶受管金鑰 QLDB。
注意
根據預設,Amazon QLDB會自動使用 啟用靜態加密 AWS 擁有的金鑰 ,無需額外付費。不過,使用客戶受管金鑰會 AWS KMS 收取費用。如需定價的詳細資訊,請參閱 AWS Key Management Service 定價。
QLDB 靜態加密可在所有 QLDB 可用 AWS 區域 的地方使用。
