Ruhende DynamoDB-Verschlüsselung
Alle Benutzerdaten, die in Amazon DynamoDB gespeichert sind, werden im Ruhezustand vollständig verschlüsselt. Die DynamoDB-Verschlüsselung im Ruhezustand bietet erhöhte Sicherheit, indem alle Ruhedaten mit Verschlüsselungsschlüsseln verschlüsselt werden, die in AWS Key Management Service (AWS KMS)
Die DynamoDB-Verschlüsselung im Ruhezustand bietet eine zusätzliche Datenschutzebene, indem Ihre Daten stets in einer verschlüsselten Tabelle gesichert werden – einschließlich des Primärschlüssels, lokaler und globaler sekundärer Indizes, Datenströme, globaler Tabellen, Backups und DynamoDB-Accelerator-(DAX)-Clustern –, wenn die Daten auf dauerhaften Datenträgern gespeichert werden. Richtlinien der Organisation, Vorschriften der Branche oder Behörde und Compliance-Anforderungen schreiben oft die Verschlüsselung ruhender Daten vor, um den Datenschutz Ihrer Anwendungen zu erhöhen. Weitere Informationen zur Verschlüsselung für Datenbankanwendungen finden Sie unter AWS Database Encryption SDK.
Die Verschlüsselung im Ruhezustand ist für die Verwaltung der Verschlüsselungsschlüssel, mit denen Ihre Tabellen verschlüsselt werden, in AWS KMS integriert. Weitere Informationen zu Schlüsseltypen und -status finden Sie unter AWS Key Management Service-Konzepte im AWS Key Management Service-Entwicklerhandbuch.
Wenn Sie eine neue Tabelle erstellen, können Sie einen der folgenden AWS KMS key-Typen für die Verschlüsselung Ihrer Tabelle auswählen. Sie können jederzeit zwischen diesen Schlüsseltypen wechseln.
-
AWS-eigener Schlüssel – Standardverschlüsselungstyp. Der Schlüssel befindet sich im Besitz von DynamoDB (kein Aufpreis).
-
Von AWS verwalteter Schlüssel – Der Schlüssel wird in Ihrem Konto gespeichert und von AWS KMS verwaltet (es werden AWS KMS-Gebühren erhoben).
-
Vom Kunden verwalteter Schlüssel – Der Schlüssel wird in Ihrem Konto gespeichert und von Ihnen erstellt, besessen und verwaltet. Sie haben volle Kontrolle über den KMS-Schlüssel (AWS KMS-Gebühren werden erhoben).
Weitere Informationen zu Schlüsseltypen finden Sie unter Kundenschlüssel und AWS-Schlüssel.
Anmerkung
Beim Erstellen eines neuen DAX-Clusters mit aktivierter Verschlüsselung im Ruhezustand wird ein Von AWS verwalteter Schlüssel verwendet, um Daten im Ruhezustand im Cluster zu verschlüsseln.
Wenn Ihre Tabelle einen Sortierschlüssel hat, werden einige der Sortierschlüssel, die Bereichsgrenzen markieren, in Klartext in den Metadaten der Tabelle gespeichert.
Wenn Sie auf eine verschlüsselte Tabelle zugreifen, entschlüsselt DynamoDB die Tabellendaten transparent. Sie müssen keinen Code oder Anwendungen ändern, um verschlüsselte Tabellen zu verwenden oder zu verwalten. DynamoDB liefert weiterhin dieselbe Latenz im einstelligen Millisekundenbereich, die Sie gewohnt sind, und alle DynamoDB Abfragen funktionieren nahtlos für Ihre verschlüsselten Daten.
Sie können mit AWS-Managementkonsole, AWS Command Line Interface (AWS CLI) oder Amazon-DynamoDB-API einen Verschlüsselungsschlüssel angeben, wenn Sie eine neue Tabelle erstellen, oder Sie können die Verschlüsselungsschlüssel einer vorhandenen Tabelle wechseln. Um zu erfahren wie dies geht, vgl. Verwalten von verschlüsselten Tabellen in DynamoDB.
Die Verschlüsselung im Ruhezustand mit dem AWS-eigener Schlüssel ist ohne Aufpreis möglich. AWS KMS-Gebühren werden jedoch für einen Von AWS verwalteter Schlüssel und für einen kundenverwalteten Schlüssel erhoben. Weitere Informationen zu Preisen finden Sie unter AWS KMS Preise
Die DynamoDB-Verschlüsselung ruhender Daten ist in allen AWS-Regionen verfügbar, einschließlich AWS China (Peking) und AWS China (Ningxia) sowie AWS GovCloud (USA). Weitere Informationen erhalten Sie unter Verschlüsselung im Ruhezustand mit DynamoDB: Funktionsweise und Nutzungshinweise zur Verschlüsselung ruhender Daten in DynamoDB.
