本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon QLDB 中的靜態加密
重要
終止支援通知:現有客戶將可以使用 Amazon QLDB,直到 07/31/2025 終止支援為止。如需詳細資訊,請參閱將 Amazon QLDB Ledger 遷移至 Amazon Aurora PostgreSQL
根據預設,存放在 Amazon QLDB 中的所有資料都會完全靜態加密。QLDB 靜態加密透過使用加密金鑰 in AWS Key Management Service () 加密所有靜態分類帳資料,提供增強的安全性AWS KMS。此功能協助降低了保護敏感資料所涉及的操作負擔和複雜性。透過靜態加密,您可以建置安全敏感的總帳應用程式,以滿足嚴格的加密合規性和法規要求。
靜態加密與 整合 AWS KMS ,用於管理用來保護 QLDB 總帳的加密金鑰。如需 的詳細資訊 AWS KMS,請參閱《 AWS Key Management Service 開發人員指南》中的AWS Key Management Service 概念。
在 QLDB 中,您可以 AWS KMS key 為每個總帳資源指定 的類型。當您建立新的總帳或更新現有的總帳時,您可以選擇下列其中一種 KMS 金鑰類型來保護您的總帳資料:
-
AWS 擁有的金鑰 – 預設加密類型。金鑰由 QLDB 擁有 (不收取額外費用)。
-
客戶受管金鑰 – 金鑰存放在 中, AWS 帳戶 由您建立、擁有和管理。您可以完全控制金鑰 (需支付AWS KMS 費用)。
注意
Amazon QLDB AWS KMS keys 已於 2021 年 7 月 22 日推出對客戶管理的支援。根據 AWS 擁有的金鑰 預設,在啟動之前建立的任何總帳都會受到保護,但目前不符合使用客戶受管金鑰進行靜態加密的資格。
您可以在 QLDB 主控台上檢視總帳的建立時間。
當您存取總帳時,QLDB 會以透明的方式解密資料。您可以隨時在 AWS 擁有的金鑰 和客戶受管金鑰之間切換。您不需要變更任何程式碼或應用程式,即可使用或管理加密的資料。
您可以在建立新總帳時指定加密金鑰,或使用 AWS Management Console、QLDB API 或 AWS Command Line Interface () 變更現有總帳上的加密金鑰AWS CLI。如需詳細資訊,請參閱在 Amazon QLDB 中使用客戶受管金鑰。
注意
根據預設,Amazon QLDB 會自動使用 啟用靜態加密 AWS 擁有的金鑰 ,無需額外付費。不過,使用客戶受管金鑰會產生 AWS KMS 費用。如需定價的詳細資訊,請參閱 AWS Key Management Service 定價。
所有提供 QLDB AWS 區域 的 都可以使用靜態 QLDB 加密。
