アマゾンDynamoDBのは、 完全に管理されたのNoSQLデータベースサービススケーラブルなタイプです。統合をサポートするAWSキー管理サービス(AWS KMS)とDynamoDBの静的な暗号化のサーバー側の暗号化を。
使用して、静的な暗号化、すべての顧客のためのDynamoDBの透明性のある方法は、DynamoDBのデータテーブルは、その主キーとローカルおよびグローバル含めて、暗号化されても、二次インデックステーブルをディスクに保存されるたびに、。(表は、メタデータに保存されている範囲の境界クリアテキストキーテーブルのいくつかの並べ替えのマーキング、ソート・キーを持っている場合。)あなたがテーブルにアクセスしている場合は、DynamoDBのは、透過的にデータテーブルを復号化します。あなたは、暗号化テーブルを使用するか、または管理するためのアプリケーションを変更する必要はありません。
また、中 DynamoDBの流れ、グローバルテーブル、およびバックアップ永続メディアへの保存、静的な暗号化は、これらのオブジェクトを保護します。このトピックテーブルの声明はまた、これらのオブジェクトに適用されます。
すべてのDynamoDBのテーブルは暗号化されます。新規または既存のテーブルのテーブルの暗号化オプションを有効にしていないか、無効にします。デフォルトでは、DynamoDBのサービスは、アカウント のAWSのお客様は、マスターキー持っている (CMK)の下ですべてのテーブルを暗号化するために。ただし、アカウントを選択することができますのDynamoDBのに適用される AWSはCMKを主催 一部またはテーブルの下で暗号化されたオプションのすべてのために。静的な暗号化がサポートされていないCMKをホスティングしているクライアントを。
そして、データキーCMKを使用して
あなたのテーブルのデータを保護するために、静的な暗号化AWS KMSクライアントマスターキー(CMK)とデータ・キー階層を使用してDynamoDBの。DynamoDBの流れ、グローバルテーブルと永続的なバックアップメディアへの書き込み、DynamoDBのは、同じキー階層を使用する場合は、これらのオブジェクトを保護します。
- 顧客マスターキー(CMK)
-
AWS KMSクライアントマスターキー(CMK)で静的暗号化保護DynamoDBのテーブル。デフォルトでは、使用して AWSはCMKを開催しましたが、AWSアカウントのDynamoDBのサポートは、DynamoDBの(に適用される
aws/dynamodb
)の AWS CMKを主催一部またはテーブルの下で暗号化されたオプションのすべてのために。あなたが作成したり、テーブルを更新するときCMKテーブルに選択することができ、各テーブルごとに異なる選択を行うことができます。静的暗号化は使用をサポートしていませんクライアントがホストするCMKを。あなたはこれらの機能のいずれかが必要な場合は、AWSがCMKを開催し使用してください:
-
あなたはできCMK表示 とキーの戦略を。(あなたは重要な戦略を変更することはできません。)
-
あなたは使用することができ AWS CloudTrailログの暗号化と復号DynamoDBのテーブルを監査するAWS KMSを呼び出すDynamoDBのAPIのチェックを。
しかし、AWSはCMKは無料です持っています。各API呼び出しの場合、AWSはCMKがしますホストされた費用を負担します。
DynamoDBのコンソールで、又は使用:あなたはいつでもCMKで次のように表を変更することができます UpdateTable 操作を。あなたはCMKを変更すると、DynamoDBのテーブルには、新しいキーを生成します。その後、それはデータの暗号化キーを再暗号化するための新しいテーブルキーを使用しています。
あなたが選ぶどの、CMKは、CMKは同じである重要なプロセスを使用してテーブルを作成します。
-
- テーブルキー
-
CMK DynamoDBのテーブルを使用すると、ユニークなテーブルと暗号化された生成したデータのキー(とも呼ばれるテーブルキーを)。テーブルキーは暗号化テーブルの生活のために保持されます。
キーの暗号鍵テーブルのキーとして。DynamoDBのは、データの暗号化キーテーブルのデータを暗号化するために使用するキーを保護するために、このテーブルを使用しています。DynamoDBのテーブルの基礎となる各データ構造の一意の暗号鍵を生成し、同じテーブル・エントリの複数のデータ暗号化キーによって保護されていてもよいです。