本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # DynamoDB 靜態加密 儲存在 Amazon DynamoDB 中的所有使用者資料都會完全靜態加密。DynamoDB 靜態加密使用存放在 [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/) 的加密金鑰來加密所有靜態資料,藉此提供加強的安全性。此功能協助降低了保護敏感資料所涉及的操作負擔和複雜性。您可以透過靜態加密,建立符合嚴格加密合規和法規要求,而且對安全性要求甚高的應用程式。 每當資料存放到耐用的媒體時,DynamoDB 靜態加密就會透過保護加密資料表中的資料:包括其主索引鍵、本機及全域次要索引、串流、全域資料表、備份和 DynamoDB Accelerator (DAX) 叢集,來提供另一層資料保護。組織政策、行業或政府法規,以及合規要求可能會經常需要使用靜態加密來增加應用程式的資料安全性。如需有關資料庫應用程式加密的詳細資訊,請參閱 [AWS 資料庫加密 SDK](https://docs.aws.amazon.com/database-encryption-sdk/latest/devguide/what-is-database-encryption-sdk.html)。 靜態加密與 整合 AWS KMS ,用於管理用來加密資料表的加密金鑰。如需金鑰類型與狀態的詳細資訊,請參閱AWS Key Management Service 開發人員指南**中的 [AWS Key Management Service 概念](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html#key-state-cmk-type)。 建立新資料表時,您可以選擇下列其中一種 AWS KMS key 類型來加密資料表。您可以隨時在這些金鑰類型之間切換。 + **AWS 擁有的金鑰 –** 預設加密類型。此金鑰是由 DynamoDB 所擁有 (不需額外費用)。 + **AWS 受管金鑰 –** 金鑰會存放在您的帳戶中,並由 管理 AWS KMS (需AWS KMS 付費)。 + **客戶自管金鑰 –** 金鑰會存放在您的帳戶中,並且由您建立、擁有且管理。您可以完全控制 KMS 金鑰 (需支付AWS KMS 費用)。 如需金鑰類型的詳細資訊,請參閱[客戶金鑰和 AWS 金鑰](/kms/latest/developerguide/concepts.html#key-mgmt)。 **注意** 建立啟用靜態加密的新 DAX 叢集時, AWS 受管金鑰 會用來加密叢集中的靜態資料。 如果您的資料表有排序索引鍵,則某些標示範圍界限的排序索引鍵將會以純文字的格式存放在資料表中繼資料中。 當您存取加密的資料表,DynamoDB 會以透明方式解密資料表資料。您不必變更任何代碼或應用程式來使用或管理加密的資料表。DynamoDB 會繼續提供您預期的個位數毫秒的相同延遲,且所有 DynamoDB 查詢會在加密資料上順暢地運作。 您可以使用 AWS 管理主控台、 AWS Command Line Interface (AWS CLI) 或 Amazon DynamoDB API,在建立新資料表或切換現有資料表上的加密金鑰時指定加密金鑰。若要了解作法,請參閱[在 DynamoDB 中管理加密資料表](encryption.tutorial.md)。 使用 AWS 擁有的金鑰 進行靜態加密是免費的。不過, AWS KMS AWS 受管金鑰 和 適用於客戶受管金鑰。如需定價的詳細資訊,請參閱 [AWS KMS 定價](https://aws.amazon.com/kms/pricing)。 DynamoDB 靜態加密適用於所有 AWS 區域,包括 AWS 中國 (北京) 和 AWS 中國 (寧夏) 區域和 AWS GovCloud (美國) 區域。如需詳細資訊,請參閱[DynamoDB 靜態加密運作原理](encryption.howitworks.md)及[DynamoDB 靜態加密使用須知](encryption.usagenotes.md)。