Crittografia a riposo per DynamoDB
Tutti i dati utente memorizzati in Amazon DynamoDB sono completamente crittografati a riposo. La crittografia a riposo di DynamoDB offre sicurezza avanzata grazie alla crittografia dei dati mediante le chiavi di crittografia archiviate in AWS Key Management Service (AWS KMS)
La crittografia dei dati a riposo di DynamoDB fornisce un livello aggiuntivo di protezione dei dati proteggendo sempre i dati nella tabella crittografata che include la chiave primaria, gli indici secondari locali e globali, flussi, tabelle globali, backup e cluster DynamoDB Accelerator (DAX), ogni volta che i dati vengono archiviati in supporti fisici. Le policy aziendali, le normative di settore e del governo e i requisiti di conformità spesso esigono l'uso della crittografia dei dati inattivi per aumentare la sicurezza dei dati delle applicazioni. Per ulteriori informazioni sulla crittografia per le applicazioni per database, consulta AWS Database Encryption SDK.
La crittografia dei dati a riposo si integra con AWS KMS per la gestione delle chiavi di crittografia utilizzate per crittografare le tabelle. Per ulteriori informazioni sui tipi e sugli stati delle chiavi, consulta i AWS Key Management Service concepts in the Guida per gli sviluppatori di AWS Key Management Service.
Quando crei una nuova tabella, puoi scegliere uno dei seguenti tipi di AWS KMS key per crittografarla. Puoi passare da un tipo di chiave all'altro in qualsiasi momento.
-
Chiave di proprietà di AWS -: tipo di crittografia predefinito. La chiave è di proprietà di DynamoDB (nessun costo aggiuntivo).
-
Chiave gestita da AWS -: la chiave è archiviata nell'account ed è gestita da AWS KMS (si applicano i costi di AWS KMS).
-
Chiave gestita dal cliente: la chiave è archiviata nel tuo account ed è creata da te, di tua proprietà e gestita da te. Hai il controllo completo della chiave KMS (si applicano i costi di AWS KMS).
Per ulteriori informazioni sui tipi di chiave, consulta Chiavi del cliente e chiavi AWS.
Nota
Quando si crea un nuovo cluster DAX con la crittografia a riposo abilitata, viene utilizzata una Chiave gestita da AWS per criptare i dati a riposo nel cluster.
Se la tabella dispone di chiavi di ordinamento, alcune di queste che contrassegnano i limiti dell'intervallo sono archiviate come testo non crittografato nei metadati della tabella.
Quando si accede a una tabella crittografata, DynamoDB decrittografa i dati della tabella in modo trasparente. Non è necessario modificare codice o applicazioni per utilizzare o gestire le tabelle crittografate. DynamoDB continua a offrire la stessa latenza di pochi millisecondi a cui si è abituati e tutte le query di DynamoDB funzionano senza problemi sui dati crittografati.
È possibile specificare una chiave di crittografia quando si crea una nuova tabella o si passa da una chiave di crittografia all'altra su una tabella esistente utilizzando la Console di gestione AWS, AWS Command Line Interface (AWS CLI) o l'API Amazon DynamoDB. Per scoprire come, consulta Gestione di tabelle crittografate in DynamoDB.
La crittografia a riposo utilizzando la Chiave di proprietà di AWS non prevede alcun costo aggiuntivo. Tuttavia, si applicano i costi di AWS KMS per una Chiave gestita da AWS e per una chiave gestita dal cliente. Per ulteriori informazioni sui prezzi, consulta Prezzi di AWS KMS
La crittografia a riposo di DynamoDB è disponibile in tutte le regioni AWS, incluse le regioni AWS Cina (Pechino), AWS Cina (Ningxia) e AWS GovCloud (Stati Uniti). Per ulteriori informazioni, consultare Crittografia dei dati a riposo di DynamoDB: come funziona e Note per l'utilizzo della crittografia dei dati inattivi di DynamoDB.
