发布于: Nov 6, 2020
使用 Amazon DynamoDB 全局表,您可以向大规模扩展的全局性应用程序赋予对 DynamoDB 表的本地访问权限,从而实现快速读写。您在 DynamoDB 中的所有数据都默认使用 AWS Key Management Service (KMS) 加密。即日起,您可以为全局表选择一个客户托管密钥,如此您就能完全控制使用全局表复制的 DynamoDB 数据加密所使用的密钥。客户托管密钥还附带完整的 AWS CloudTrail 监控,所以您能够在每次密钥被使用或访问时进行查看。
如果您选择使用 KMS 中的客户托管客户主密钥 (CMK) 来保护 DynamoDB 全局表中的数据,则全局表的每个区域副本都需要一个区域内客户托管密钥。使用 AWS 拥有的 CMK 加密静态数据不收取额外费用。AWS Key Management Service 和 AWS CloudTrail 费用适用于使用客户托管的 CMK 和 AWS 托管的 CMK 的情况。
您可以在支持全局表的所有 AWS 区域使用客户托管 CMK,包括:美国东部(俄亥俄)、美国东部(弗吉尼亚北部)、美国西部(加利福尼亚北部)、美国西部(俄勒冈)、亚太地区(孟买)、亚太地区(东京)、亚太地区(首尔)、亚太地区(新加坡)、亚太地区(悉尼)、加拿大(中部)、中国(北京)、中国(宁夏)、欧洲(法兰克福)、欧洲(爱尔兰)、欧洲(伦敦)、欧洲(米兰)、欧洲(巴黎)、欧洲(斯德哥尔摩)、南美洲(圣保罗)、AWS GovCloud(美国东部)和 AWS GovCloud(美国西部)。有关静态加密以及如何管理加密表的更多信息,请参阅 DynamoDB 开发人员指南中的管理 DynamoDB 中的加密表。