DynamoDB 靜態加密

DynamoDB 靜態加密

存儲在 Amazon DynamoDB 中的全部用戶數據徹底處於靜態加密之中。DynamoDB 靜態加密使用 AWS Key Management Service (AWS KMS) 中存儲的加密密鑰來加密您的全部靜態數據，提供了加強的安全性。此功能能夠幫助減小在保護敏感數據時涉及的操做負擔和複雜性。經過靜態加密，您能夠構建符合嚴格的加密合規性和法規要求的安全敏感型應用程序。

DynamoDB 靜態加密經過在加密表中保護數據來提供額外的一層數據保護，包括其主鍵、本地和全局二級索引、流、全局表、備份和 DynamoDB Accelerator (DAX) 集羣（只要數據存儲在持久性的媒體中）。組織政策、行業或政府法規以及合規性需求一般要求使用靜態加密來提升應用程序的數據安全性。

靜態加密與 AWS KMS 集成，以管理用於加密您的表的加密密鑰。有關更多信息，請參閱 AWS Key Management Service 概念。

建立新表時，能夠選擇如下客戶主密鑰 (CMK) 之一加密您的表：

• AWS 擁有的 CMK – 默認加密類型。此密鑰歸 DynamoDB 擁有（不另外收費）。

• AWS 託管的 CMK – 此密鑰存儲在您的帳戶中，由 AWS KMS 管理（收取 AWS KMS 費用）。

當您訪問加密表時，DynamoDB 會以透明方式解密表數據。您能夠在任何給定時間在 AWS 擁有的 CMK 和 AWS 託管的 CMK 之間切換。您沒必要更改任何代碼或應用程序便可使用或管理加密的表。DynamoDB 持續交付您但願的相同個位數毫秒級延遲，而且全部 DynamoDB 查詢都在加密數據上無縫執行。

靜態加密：工做原理

Amazon DynamoDB 靜態加密使用 256 位高級加密標準 (AES-256) 加密您的數據，經過防止對基礎存儲進行未經受權的訪問來幫助保護您的數據。

靜態加密與 AWS Key Management Service (AWS KMS) 集成，以管理用於加密您的表的加密密鑰。

在現有表上建立新表或切換加密密鑰時，能夠選擇如下客戶主密鑰 (CMK) 之一：

• AWS 擁有的 CMK – 默認加密類型。此密鑰歸 DynamoDB 擁有（不另外收費）。

• AWS 託管的 CMK – 此密鑰存儲在您的帳戶中，由 AWS KMS 管理（收取 AWS KMS 費用）。

AWS 託管的 CMK 提供瞭如下附加功能：

• 您能夠查看 CMK 及其密鑰策略。（您沒法更改密鑰策略。）

• 您可使用 AWS CloudTrail 檢查針對 AWS KMS 的 DynamoDB API 調用，從而審覈 DynamoDB 表的加密和解密。

AWS 託管的 CMK

靜態加密自動與 AWS KMS集成，以管理用於加密表的適用於 DynamoDB (aws/dynamodb) 的 AWS 託管 CMK。若是在您建立加密的 DynamoDB 表時，AWS 託管 CMK 不存在，則 AWS KMS 會自動爲您建立一個新密鑰。此密鑰將用於將來建立的加密表。AWS KMS 將安全、高度可用的硬件和軟件結合起來，以提供可針對雲擴展的密鑰管理系統。

注意

除非對存儲在您的 AWS KMS 帳戶中的 AWS 託管 CMK 有訪問權限，不然 Amazon DynamoDB 沒法讀取您的表數據。DynamoDB 使用信封加密和密鑰層次結構來加密數據。您的 AWS KMS 加密密鑰用於加密該密鑰層次結構的根密鑰。有關更多信息，請參閱 AWS Key Management Service Developer Guide 中的信封加密。

DynamoDB 不會爲每個 DynamoDB 操做調用 AWS KMS。對於具備活動流量的每一個客戶端鏈接，將每 5 分鐘刷新一次密鑰。