投稿日: Nov 26, 2019
Amazon DynamoDB はフルマネージド型の非リレーショナルデータベースで、どのような規模においても信頼性の高いパフォーマンスを発揮します。AWS マネージド CMK の使用を選択しない限り、DynamoDB はデフォルトで AWS が所有するお客様のマスターキー (CMK) で保管中のお客様のすべてのデータを暗号化します。今後は、ユーザー管理の CMK を使用することもできます。すなわち、お客様はご自分の DynamoDB データの暗号化の方法とセキュリティ管理の方法を全面的に管理できることになります。
ユーザー管理の CMKを使用する場合、ユーザーの暗号化キーを DynamoDB に提供し、それらのキーを複数の AWS のサービス上で使用します。今後はユーザーが暗号化キーを作成、使用、更新、および破棄することで、機密性の高いアプリケーションを保護し、組織のポリシーを順守し、コンプライアンスおよび規制に関する要件を満たし、AWS の外部の暗号化キーの追加的な安全上のコピーを維持することに役立てることができます。また、AWS CloudTrail を使用して、キーの作成、使用、および削除に関する詳細な監査情報をモニタリングすることもできます。
DynamoDB では、データの暗号化と復号が透過的に処理されます。また、期待通りの数ミリ秒単位のレイテンシーも維持されます。すべての DynamoDB 暗号化キーオプションは、256 ビットの Advanced Encryption Standard (AES-256) を使用してデータを暗号化します。これは、基盤となるストレージへの不正アクセスからデータを保護するのに役立ちます。ユーザーのコードまたはアプリケーションを変更して、暗号化キーを使用および更新する必要はありません。
ユーザー管理の CMS を使用すれば、AWS マネジメントコンソールでのワンクリック、シンプルな API コール、AWS コマンドラインインターフェイス (CLI) を使用して、ご自身のデータを暗号化することができます。AWS 所有の CMK を使用することで、保管中の暗号化されたデータに追加的な料金は発生しません。AWS Key Management Service と AWS CloudTrail の料金は、ユーザー管理の CMK および AWS が管理する CMK の利用には適用されません。
この機能のリージョンにおける利用可能性に関して詳細に知りたいときは、DynamoDB の保管時の暗号化を参照してください。保管時の暗号化、および暗号化されたテーブルの管理方法の詳細については、暗号化されたテーブルの管理を参照するか、AWS データベースブログに関する本日のお知らせをよくお読みください。