本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon QLDB 中的静态加密
重要
终止支持通知:现有客户将能够使用 Amazon QLDB,直到 2025 年 7 月 31 日终止支持。有关更多详细信息,请参阅将亚马逊 QLDB 账本迁移到亚马逊 Aurora PostgreSQL
Amazon DynamoDB 中存储的所有用户数据在静态状态下进行完全加密。QLDB 静态加密使用存储在()中的加密密钥,对所有静态数据加密,增强安全性。 AWS Key Management Service AWS KMS此功能减少保护敏感数据时涉及的操作负担和复杂性。利用静态加密,可以构建符合严格加密合规性和法规要求的安全敏感型应用程序。
静态加密集成,管理 AWS KMS 用于加密表的加密密钥。有关的更多信息 AWS KMS,请参阅《AWS Key Management Service 开发人员指南》中的AWS Key Management Service 概念。
在 QLDB 中,您可以为每个账本资源指定。 AWS KMS key 创建新分类账或更新现有分类账时,您可以选择以下类型的 KMS 密钥之一来保护您的分类账数据:
-
AWS 拥有的密钥 – 默认加密类型。此密钥归 QLDB 拥有(不另外收费)。
-
客户托管的密钥 - 此密钥存储在您的 AWS 账户 中,由您创建、拥有和托管。您对密钥拥有全部控制权(AWS KMS 收取费用)。
注意
Amazon QLDB 于 2021 年 7 月 22 日推出了对客户 AWS KMS keys 托管的支持。默认情况下,在发布之前创建的所有分类账都 AWS 拥有的密钥 受到保护,但目前不符合使用客户托管密钥进行静态加密的资格。
您可在 QLDB 控制台查看分类账的创建时间。
当您访问分类账时,QLDB 会以透明方式解密表数据。可以在给定时间内在 AWS 拥有的密钥 和客户管理的密钥之间切换。无需更改任何代码或应用程序即可使用或管理加密表。
通过使用、QLDB API 货(),在现有分类账上创建新分类账或更换加密密钥时 AWS Management Console,可以指定加密密钥。 AWS Command Line Interface AWS CLI有关更多信息,请参阅 在 Amazon QLDB 中使用客户托管的密钥。
注意
默认情况下,Amazon QLDB 会自动使用 AWS 拥有的密钥 免费启用加密。但是,使用客户自主管理型密钥将 AWS KMS 收取费用。有关定价的信息,请参阅 AWS Key Management Service 定价
QLDB 在所有支持 QLDB 的中 AWS 区域 都提供的加密功能。
