发布于: Nov 26, 2019
Amazon DynamoDB 是一种完全托管的非关系数据库,可在任何规模提供可靠的性能。DynamoDB 默认情况下会使用 AWS 拥有的客户主密钥 (CMK) 加密所有静态数据,除非您选择使用 AWS 托管的 CMK。从今天开始,您还可以使用客户管理的 CMK,这意味着您可以完全控制如何加密 DynamoDB 数据和管理其安全性。
使用客户管理的 CMK 时,您在 DynamoDB 中使用自己的加密密钥,并在多个 AWS 服务中使用这些密钥。现在,您可以创建、使用、轮换和销毁加密密钥,以帮助保护敏感应用程序、遵守组织的政策、满足合规性和法规要求以及在 AWS 之外维护加密密钥的额外安全副本。您还可以使用 AWS CloudTrail 监视有关密钥创建、使用和删除的详细审计信息。
DynamoDB 透明地处理数据的加密和解密,并继续提供您所期望的个位数毫秒延迟。所有 DynamoDB 加密密钥选项均使用 256 位高级加密标准 (AES-256) 对数据进行加密,这有助于保护您的数据,避免对底层存储未经授权的访问。您不必修改代码或应用程序即可使用和更新加密密钥。
在 AWS 管理控制台中单击几下或通过简单的 API 调用或 AWS 命令行界面 (CLI),您便可以使用客户管理的 CMK 来加密数据。使用 AWS 拥有的 CMK 加密静态数据不收取额外费用。AWS Key Management Service 和 AWS CloudTrail 费用适用于使用客户托管的 CMK 和 AWS 托管的 CMK 的情况。
要了解有关此功能的区域可用性的更多信息,请参阅 DynamoDB 静态加密。有关静态加密以及如何管理加密表的更多信息,请参阅管理加密表,或在 AWS 数据库博客上了解有关今天的公告的更多信息。