Angeben des Verschlüsselungsschlüssels für eine neue Tabelle Aktualisieren eines Verschlüsselungsschlüssels

Verwalten von verschlüsselten Tabellen in DynamoDB

Sie können die AWS Management Console oder die AWS Command Line Interface (AWS CLI) verwenden, um in Amazon DynamoDB den Verschlüsselungsschlüssel für neue Tabellen anzugeben und die Verschlüsselungsschlüssel vorhandener Tabellen zu aktualisieren.

Themen

Angeben des Verschlüsselungsschlüssels für eine neue Tabelle
Aktualisieren eines Verschlüsselungsschlüssels

Angeben des Verschlüsselungsschlüssels für eine neue Tabelle

Führen Sie die folgenden Schritte aus, um den Verschlüsselungsschlüssel für eine neue Tabelle mithilfe der Amazon-DynamoDB-Konsole oder AWS CLI.

Erstellen einer verschlüsselten Tabelle (Konsole)

Melden Sie sich bei der AWS Management Console an und öffnen Sie die DynamoDB-Konsole unter https://console.aws.amazon.com/dynamodb/.
Klicken Sie im Navigationsbereich auf der linken Seite der Konsole auf Tables (Tabellen).
Wählen Sie Create Table (Tabelle erstellen) aus. Geben Sie für Table name (Tabellenname) den Namen Music ein. Geben Sie als Primärschlüssel Artist und als Sortierschlüssel SongTitle ein, beide als Zeichenfolgen.
Stellen sie in Einstellungen sicher, dass Einstellungen anpassen ausgewählt ist.

Anmerkung
Wenn Standardeinstellungen verwenden aktiviert ist, werden Tabellen im Ruhezustand mit AWS-eigener Schlüssel ohne Aufpreis verschlüsselt.
Wählen Sie unter Encryption at rest (Verschlüsselung im Ruhezustand) einen Verschlüsselungstyp – AWS-eigener Schlüssel, Von AWS verwalteter Schlüssel oder einen vom Kunden verwalteten Schlüssel aus.
- Owned by Amazon DynamoDB (Im Besitz von Amazon DynamoDB). AWS-eigene Schlüssel im Besitz von DynamoDB, die von DynamoDB verwaltet werden. Für die Verwendung dieses Schlüssels wird Ihnen keine zusätzliche Gebühr berechnet.
- Verwalteter AWS-Schlüssel Schlüssel-Alias: aws/dynamodb Der Schlüssel wird im Konto gespeichert und von AWS Key Management Service verwaltet (AWS KMS). AWS KMS-Gebühren werden erhoben.
- In Ihrem Konto gespeichert, in Ihrem Besitz und von Ihnen verwaltet. Vom Kunden verwalteter Schlüssel. Der Schlüssel wird im Konto gespeichert und von AWS Key Management Service verwaltet (AWS KMS). AWS KMS-Gebühren werden erhoben.
  
  Anmerkung
  Wenn Sie Ihren eigenen Schlüssel besitzen und verwalten möchten, stellen Sie sicher, dass die KMS-Schlüsselrichtlinie ordnungsgemäß festgelegt ist. Weitere Informationen sowie Beispiele finden Sie unter Schlüsselrichtlinie für einen kundenverwalteten Schlüssel.
Wählen Sie Create table (Tabelle erstellen) , um die verschlüsselte Tabelle zu erstellen. Um den Verschlüsselungstyp zu bestimmen, wählen Sie die Tabellendetails auf der Registerkarte Übersicht und überprüfen Sie den Abschnitt Weitere Details.

Erstellen einer verschlüsselten Tabelle (AWS CLI)

Verwenden Sie AWS CLI, um eine Tabelle mit dem standardmäßigen AWS-eigener Schlüssel, dem Von AWS verwalteter Schlüssel, oder einem kundenverwalteten Schlüssel für Amazon DynamoDB zu erstellen.

Um eine verschlüsselte Tabelle mit dem Standard–AWS-eigener Schlüssel zu erstellen

Erstellen Sie die verschlüsselte Music-Tabelle folgendermaßen.


aws dynamodb create-table \
  --table-name Music \
  --attribute-definitions \
      AttributeName=Artist,AttributeType=S \
      AttributeName=SongTitle,AttributeType=S \
  --key-schema \
      AttributeName=Artist,KeyType=HASH \
      AttributeName=SongTitle,KeyType=RANGE \
  --provisioned-throughput \
      ReadCapacityUnits=10,WriteCapacityUnits=5

Anmerkung

Diese Tabelle wird nun mit dem standardmäßigen AWS-eigener Schlüssel im DynamoDB-Servicekonto verschlüsselt.

Um eine verschlüsselten Tabelle mit dem Von AWS verwalteter Schlüssel für DynamoDB zu erstellen

Erstellen Sie die verschlüsselte Music-Tabelle folgendermaßen.


aws dynamodb create-table \
  --table-name Music \
  --attribute-definitions \
      AttributeName=Artist,AttributeType=S \
      AttributeName=SongTitle,AttributeType=S \
  --key-schema \
      AttributeName=Artist,KeyType=HASH \
      AttributeName=SongTitle,KeyType=RANGE \
  --provisioned-throughput \
      ReadCapacityUnits=10,WriteCapacityUnits=5 \
  --sse-specification Enabled=true,SSEType=KMS

Der SSEDescription-Status der Tabellenbeschreibung ist auf ENABLED festgelegt und der SSEType ist KMS.


"SSEDescription": {
  "SSEType": "KMS",
  "Status": "ENABLED",
  "KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234",
}

So erstellen Sie eine verschlüsselte Tabelle mit einem kundenverwalteten Schlüssel für DynamoDB

Erstellen Sie die verschlüsselte Music-Tabelle folgendermaßen.


aws dynamodb create-table \
  --table-name Music \
  --attribute-definitions \
      AttributeName=Artist,AttributeType=S \
      AttributeName=SongTitle,AttributeType=S \
  --key-schema \
      AttributeName=Artist,KeyType=HASH \
      AttributeName=SongTitle,KeyType=RANGE \
  --provisioned-throughput \
      ReadCapacityUnits=10,WriteCapacityUnits=5 \
  --sse-specification Enabled=true,SSEType=KMS,KMSMasterKeyId=abcd1234-abcd-1234-a123-ab1234a1b234

Der SSEDescription-Status der Tabellenbeschreibung ist auf ENABLED festgelegt und der SSEType ist KMS.


"SSEDescription": {
  "SSEType": "KMS",
  "Status": "ENABLED",
  "KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234",
}

Aktualisieren eines Verschlüsselungsschlüssels

Sie können auch die DynamoDB-Konsole oder AWS CLI verwenden, um die Verschlüsselungsschlüssel einer vorhandenen Tabelle zwischen einem AWS-eigener Schlüssel, Von AWS verwalteter Schlüssel und einem kundenverwalteten Schlüssel jederzeit zu wechseln.

Aktualisieren eines Verschlüsselungsschlüssels (Konsole)

Melden Sie sich bei AWS Management Console an und öffnen Sie die DynamoDB-Konsole unter https://console.aws.amazon.com/dynamodb/.
Klicken Sie im Navigationsbereich auf der linken Seite der Konsole auf Tables (Tabellen).
Wählen Sie die Tabelle, die Sie aktualisieren möchten.
Wählen Sie Aktionen aus dem Dropdown-Menü und wählen Sie dann die Option Aktualisieren von Einstellungen.
Wechseln Sie zur Registerkarte Zusätzliche Einstellungen.
Wählen Sie unter Verschlüsselung Verwalten der Verschlüsselung aus.
Wählen Sie einen Verschlüsselungstyp aus:
- Im Besitz von Amazon DynamoDB. Der AWS KMS-Schlüssel gehört zu DynamoDB und wird von diesem verwaltet. Für die Verwendung dieses Schlüssels wird Ihnen keine zusätzliche Gebühr berechnet.
- AWS-verwalteter Schlüssel Schlüssel-Alias: aws/dynamodb. Der Schlüssel wird in Ihrem Konto gespeichert und von AWS Key Management Service verwaltet (AWS KMS). (AWS KMS-Gebühren werden erhoben).
- In Ihrem Konto gespeichert, in Ihrem Besitz und von Ihnen verwaltet. Der Schlüssel wird in Ihrem Konto gespeichert und von AWS Key Management Service verwaltet (AWS KMS). (AWS KMS-Gebühren werden erhoben).
  
  Anmerkung
  Wenn Sie Ihren eigenen Schlüssel besitzen und verwalten möchten, stellen Sie sicher, dass die KMS-Schlüsselrichtlinie ordnungsgemäß festgelegt ist. Weitere Informationen finden Sie unter Schlüsselrichtlinie für einen kundenverwalteten Schlüssel.
Wählen Sie dann Save (Speichern) um die verschlüsselte Tabelle zu aktualisieren. Um den Verschlüsselungstyp zu bestimmen, überprüfen Sie die Tabellendetails auf der Registerkarte Overview (Übersicht).

Aktualisieren eines Verschlüsselungsschlüssels (AWS CLI)

Das folgende Beispiel zeigt das Aktualisieren einer verschlüsselten Tabelle mit der AWS CLI.

Um eine verschlüsselte Tabelle mit dem Standard-AWS-eigener Schlüssel zu aktualisieren

Aktualisieren Sie die verschlüsselte Music-Tabelle wie im folgenden Beispiel.
```
aws dynamodb update-table \
  --table-name Music \
  --sse-specification Enabled=false
```
Anmerkung
Diese Tabelle wird nun mit dem standardmäßigen AWS-eigener Schlüssel im DynamoDB-Servicekonto verschlüsselt.

Um eine verschlüsselte Tabelle mit dem Von AWS verwalteter Schlüssel für DynamoDB zu aktualisieren

Aktualisieren Sie die verschlüsselte Music-Tabelle wie im folgenden Beispiel.


aws dynamodb update-table \
  --table-name Music \
  --sse-specification Enabled=true

Der SSEDescription-Status der Tabellenbeschreibung ist auf ENABLED festgelegt und der SSEType ist KMS.


"SSEDescription": {
  "SSEType": "KMS",
  "Status": "ENABLED",
  "KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234",
}

Um eine verschlüsselte Tabelle mit einem kundenverwalteten Schlüssel für DynamoDB zu aktualisieren

Aktualisieren Sie die verschlüsselte Music-Tabelle wie im folgenden Beispiel.


aws dynamodb update-table \
  --table-name Music \
  --sse-specification Enabled=true,SSEType=KMS,KMSMasterKeyId=abcd1234-abcd-1234-a123-ab1234a1b234

Der SSEDescription-Status der Tabellenbeschreibung ist auf ENABLED festgelegt und der SSEType ist KMS.


"SSEDescription": {
  "SSEType": "KMS",
  "Status": "ENABLED",
  "KMSMasterKeyArn": "arn:aws:kms:us-east-1:123456789012:key/abcd1234-abcd-1234-a123-ab1234a1b234",
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Nutzungshinweise

Sichern von DynamoDB-Verbindungen