发布于: Dec 13, 2019
Amazon DynamoDB 是一个完全托管的非关系数据库,可以提供任何规模的可靠性能。默认情况下,DynamoDB 使用 亚马逊云科技拥有的客户主密钥 (CMK) 对所有数据进行静态加密,除非您选择使用 亚马逊云科技管理的 CMK。从今天开始,您还可以使用客户管理的 CMK,这意味着您可以完全控制如何加密和管理 DynamoDB 数据的安全性。
当您使用客户管理的 CMK 时,您将自己的加密密钥带到 DynamoDB,并在多个 亚马逊云科技服务中使用这些密钥。现在,您可以创建、使用、轮换和销毁加密密钥,以帮助保护敏感应用程序,遵守组织的策略,满足合规性和法规要求,并在 亚马逊云科技 之外维护加密密钥的额外安全副本。您还可以使用 Amazon CloudTrail 监控有关密钥创建、使用和删除的详细审计信息。
DynamoDB 以透明方式处理数据的加密和解密并继续作业,以提供您所期待的不超过 10 毫秒的延迟。所有 DynamoDB 加密密钥选项都使用 256 位高级加密标准 (AES-256) 来帮助保护您的数据,防止未经授权访问底层存储。您无需修改代码或应用程序即可使用和更新加密密钥。
只需在 亚马逊云科技管理控制台中单击、进行简单的 API 调用或借助 Amazon 命令行界面 (CLI),即可使用客户管理的 CMK 加密您的数据。使用 亚马逊云科技拥有的 CMK 进行数据的静态加密不收取额外费用。使用客户管理的 CMK 和 亚马逊云科技管理的 CMK 收取 Amazon Key Management Service 和 Amazon CloudTrail 费用。
由光环新网运营的 亚马逊云科技中国(北京)区域和由西云数据运营的 亚马逊云科技中国(宁夏)区域的客户现已可以使用客户管理的 CMK 加密数据。要了解有关静态加密以及如何管理加密表的详细信息,请参阅管理加密表。