DynamoDB 静态加密

DynamoDB 静态加密

存储在 Amazon DynamoDB 中的全部用户数据彻底处于静态加密之中。DynamoDB 静态加密使用 AWS Key Management Service (AWS KMS) 中存储的加密密钥来加密您的全部静态数据，提供了加强的安全性。此功能能够帮助减小在保护敏感数据时涉及的操做负担和复杂性。经过静态加密，您能够构建符合严格的加密合规性和法规要求的安全敏感型应用程序。

DynamoDB 静态加密经过在加密表中保护数据来提供额外的一层数据保护，包括其主键、本地和全局二级索引、流、全局表、备份和 DynamoDB Accelerator (DAX) 集群（只要数据存储在持久性的媒体中）。组织政策、行业或政府法规以及合规性需求一般要求使用静态加密来提升应用程序的数据安全性。

静态加密与 AWS KMS 集成，以管理用于加密您的表的加密密钥。有关更多信息，请参阅 AWS Key Management Service 概念。

建立新表时，能够选择如下客户主密钥 (CMK) 之一加密您的表：

• AWS 拥有的 CMK – 默认加密类型。此密钥归 DynamoDB 拥有（不另外收费）。

• AWS 托管的 CMK – 此密钥存储在您的帐户中，由 AWS KMS 管理（收取 AWS KMS 费用）。

当您访问加密表时，DynamoDB 会以透明方式解密表数据。您能够在任何给定时间在 AWS 拥有的 CMK 和 AWS 托管的 CMK 之间切换。您没必要更改任何代码或应用程序便可使用或管理加密的表。DynamoDB 持续交付您但愿的相同个位数毫秒级延迟，而且全部 DynamoDB 查询都在加密数据上无缝执行。

静态加密：工做原理

Amazon DynamoDB 静态加密使用 256 位高级加密标准 (AES-256) 加密您的数据，经过防止对基础存储进行未经受权的访问来帮助保护您的数据。

静态加密与 AWS Key Management Service (AWS KMS) 集成，以管理用于加密您的表的加密密钥。

在现有表上建立新表或切换加密密钥时，能够选择如下客户主密钥 (CMK) 之一：

• AWS 拥有的 CMK – 默认加密类型。此密钥归 DynamoDB 拥有（不另外收费）。

• AWS 托管的 CMK – 此密钥存储在您的帐户中，由 AWS KMS 管理（收取 AWS KMS 费用）。

AWS 托管的 CMK 提供了如下附加功能：

• 您能够查看 CMK 及其密钥策略。（您没法更改密钥策略。）

• 您可使用 AWS CloudTrail 检查针对 AWS KMS 的 DynamoDB API 调用，从而审核 DynamoDB 表的加密和解密。

AWS 托管的 CMK

静态加密自动与 AWS KMS集成，以管理用于加密表的适用于 DynamoDB (aws/dynamodb) 的 AWS 托管 CMK。若是在您建立加密的 DynamoDB 表时，AWS 托管 CMK 不存在，则 AWS KMS 会自动为您建立一个新密钥。此密钥将用于将来建立的加密表。AWS KMS 将安全、高度可用的硬件和软件结合起来，以提供可针对云扩展的密钥管理系统。

注意

除非对存储在您的 AWS KMS 帐户中的 AWS 托管 CMK 有访问权限，不然 Amazon DynamoDB 没法读取您的表数据。DynamoDB 使用信封加密和密钥层次结构来加密数据。您的 AWS KMS 加密密钥用于加密该密钥层次结构的根密钥。有关更多信息，请参阅 AWS Key Management Service Developer Guide 中的信封加密。

DynamoDB 不会为每个 DynamoDB 操做调用 AWS KMS。对于具备活动流量的每一个客户端链接，将每 5 分钟刷新一次密钥。