新功能 – DynamoDB 轻松加密

在 2017 年的 AWS re:Invent 大会上，Werner 鼓励听众“尽情舞蹈，就像没人观看一样；轻松加密，就像每个人都会做的那样”：

AWS 团队一直热切希望不断提供新功能，帮助您更轻松地保护敏感数据，实现合规性目标。例如，2017 年我们推出了 SQS 和 EFS 轻松加密功能、适用于 S3 的更多加密选项，以及 Kinesis Data Streams 服务器端加密。

今天，我们的数据保护选项再添新成员：Amazon DynamoDB 轻松加密功能隆重推出。您只需在创建新表时启用加密功能，DynamoDB 便可为您执行剩下的操作。您的数据 (表、本地二级索引和全局二级索引) 将使用 AES-256 和服务默认的 AWS Key Management Service (KMS) 密钥加密。加密不会增加存储开销，而且是完全透明的；您可以像以前一样插入、查询、扫描和删除项目。团队人员启用加密功能后，在加密的 DynamoDB 表上运行多个不同的工作负载时发现延迟时间没有任何变化。

创建加密表
您可以利用 AWS 管理控制台、API (CreateTable) 或 CLI (create-table) 创建加密表。我要使用控制台！我像平时一样输入名称并设置主要密钥：

继续操作前，我取消选中 Use default settings (使用默认设置) 复选框，向下滚动至 Encryption (加密) 部分，然后选中 Enable encryption (启用加密)。然后，点击创建后，我的表就会以加密的形式创建：

表的加密设置一目了然：

当合规性团队让我展示 DynamoDB 如何使用密钥加密数据时，我可以创建一个 AWS CloudTrail 路径、插入项目，然后扫描表，查看 AWS KMS API 调用。以下为从路径中提取的一段代码：

{
  "eventTime": "2018-01-24T00:06:34Z",
  "eventSource": "kms.amazonaws.com",
  "eventName": "Decrypt",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "dynamodb.amazonaws.com",
  "userAgent": "dynamodb.amazonaws.com",
  "requestParameters": {
    "encryptionContext": {
      "aws:dynamodb:tableName": "reg-users",
      "aws:dynamodb:subscriberId": "1234567890"
    }
  },
  "responseElements": null,
  "requestID": "7072def1-009a-11e8-9ab9-4504c26bd391",
  "eventID": "3698678a-d04e-48c7-96f2-3d734c5c7903",
  "readOnly": true,
  "resources": [
    {
      "ARN": "arn:aws:kms:us-west-2:1234567890:key/e7bd721d-37f3-4acd-bec5-4d08c765f9f5",
      "accountId": "1234567890",
      "type": "AWS::KMS::Key"
    }
  ]
}

现已推出
该功能现已在以下区域推出：美国东部 (弗吉尼亚北部)、美国东部 (俄亥俄)、美国西部 (俄勒冈) 和欧洲 (爱尔兰)，您可以立即开始使用。

加密是免费的，您只需要为 DynamoDB 代表您进行的 AWS KMS 调用付费。

— Jeff；