DynamoDB 静态加密

DynamoDB 静态加密

存储在 Amazon DynamoDB 中的所有用户数据完全处于静态加密之中。DynamoDB 静态加密使用 AWS Key Management Service (AWS KMS) 中存储的加密密钥来加密您的所有静态数据,提供了增强的安全性。此功能可以帮助减少在保护敏感数据时涉及的操作负担和复杂性。通过静态加密,您可以构建符合严格的加密合规性和法规要求的安全敏感型应用程序。

DynamoDB 静态加密通过在加密表中保护数据来提供额外的一层数据保护,包括其主键、本地和全局二级索引、流、全局表、备份和 DynamoDB Accelerator (DAX) 集群(只要数据存储在持久性的媒体中)。组织政策、行业或政府法规以及合规性需求通常要求使用静态加密来提高应用程序的数据安全性。

静态加密与 AWS KMS 集成,以管理用于加密您的表的加密密钥。有关更多信息,请参阅 AWS Key Management Service 概念

创建新表时,可以选择以下客户主密钥 (CMK) 之一加密您的表:

  • AWS 拥有的 CMK – 默认加密类型。此密钥归 DynamoDB 拥有(不另外收费)。
  • AWS 托管的 CMK – 此密钥存储在您的账户中,由 AWS KMS 管理(收取 AWS KMS 费用)。

当您访问加密表时,DynamoDB 会以透明方式解密表数据。您可以在任何给定时间在 AWS 拥有的 CMK 和 AWS 托管的 CMK 之间切换。您不必更改任何代码或应用程序即可使用或管理加密的表。DynamoDB 持续交付您希望的相同个位数毫秒级延迟,并且所有 DynamoDB 查询都在加密数据上无缝执行。

静态加密:工作原理

Amazon DynamoDB 静态加密使用 256 位高级加密标准 (AES-256) 加密您的数据,通过防止对基础存储进行未经授权的访问来帮助保护您的数据。

静态加密与 AWS Key Management Service (AWS KMS) 集成,以管理用于加密您的表的加密密钥。

在现有表上创建新表或切换加密密钥时,可以选择以下客户主密钥 (CMK) 之一:

  • AWS 拥有的 CMK – 默认加密类型。此密钥归 DynamoDB 拥有(不另外收费)。
  • AWS 托管的 CMK – 此密钥存储在您的账户中,由 AWS KMS 管理(收取 AWS KMS 费用)。

AWS 托管的 CMK 提供了以下附加功能:

  • 您可以查看 CMK 及其密钥策略。(您无法更改密钥策略。)
  • 您可以使用 AWS CloudTrail 检查针对 AWS KMS 的 DynamoDB API 调用,从而审核 DynamoDB 表的加密和解密。

AWS 托管的 CMK

静态加密自动与 AWS KMS集成,以管理用于加密表的适用于 DynamoDB (aws/dynamodb) 的 AWS 托管 CMK。如果在您创建加密的 DynamoDB 表时,AWS 托管 CMK 不存在,则 AWS KMS 会自动为您创建一个新密钥。此密钥将用于未来创建的加密表。AWS KMS 将安全、高度可用的硬件和软件结合起来,以提供可针对云扩展的密钥管理系统。

注意

除非对存储在您的 AWS KMS 账户中的 AWS 托管 CMK 有访问权限,否则 Amazon DynamoDB 无法读取您的表数据。DynamoDB 使用信封加密和密钥层次结构来加密数据。您的 AWS KMS 加密密钥用于加密该密钥层次结构的根密钥。有关更多信息,请参阅 AWS Key Management Service Developer Guide 中的信封加密

DynamoDB 不会为每一个 DynamoDB 操作调用 AWS KMS。对于具有活动流量的每个客户端连接,将每 5 分钟刷新一次密钥。

原文地址:https://www.cnblogs.com/cloudrivers/p/11617392.html

时间: 2024-10-11 13:26:26

DynamoDB 静态加密的相关文章

DynamoDB 如何使用 AWS KMS

Amazon DynamoDB 是一种完全托管的可扩展式 NoSQL 数据库服务.DynamoDB 与 AWS Key Management Service (AWS KMS) 集成以支持静态加密服务器端加密功能. 利用静态加密,DynamoDB 可以透明方式对 DynamoDB 表中的所有客户数据进行加密,包括其主键及本地和全局二级索引,只要该表已保存到磁盘.(如果表具有排序键,则标记范围边界的一些排序键将以明文形式存储在表元数据中.) 当您访问表时,DynamoDB 会以透明方式解密表数据.

安全不安全002:C#实现RSA算法加密解密

通过前面的文章我们学会了如何生成公钥和私钥,详见这篇文章:https://blog.csdn.net/yysyangyangyangshan/article/details/80368397.那么,我们来看在C#中如何实现RSA加密解密.直接上代码,如下类是RSA算法实现的加密,加解密,签名以及签名的验证. /// <summary> /// 类名:RSACrypt /// 功能:RSA加密.解密.签名.验签 /// </summary> public sealed class R

Kinesis Data Streams 的服务器端加密

服务器端加密是 Amazon Kinesis Data Streams 中的一项功能,此功能在数据成为静态数据之前使用您指定的 AWS KMS 客户主密钥 (CMK) 自动对数据进行加密.数据在写入 Kinesis 流存储层之前加密,并在从存储检索到之后进行解密.因此,在 Kinesis Data Streams 服务中对数据进行静态加密.这样,您就可以满足严格的监管要求并增强您数据的安全性. 采用服务器端加密时,您的 Kinesis 流创建者和使用者不需要管理主密钥或加密操作.您的数据在进入和

如何在Laravel中加密大文件?

Empcat的成功软件包应采用Laravel设计.用户可以上传任何大小的文件.出于安全原因,必须静态加密这些文件. Laravel提供加密,但是它们主要用于加密值.它使用加密的帮助程序方法很好地加密了小文件,例如图像,但是在此过程中,必须将文件的内容加载到内存中,这对于大文件是个问题. 我寻找了解决此问题的软件包或解决方案?找到了此Stack Overflow的答案?此PHP解决方案,它基本上是Stack Overflow中描述的解决方案的PHP. 我决定为Laravel创建一个扩展包,该扩展包

AWS 数据库(七)

数据库概念 关系型数据库 关系数据库提供了一个通用接口,使用户可以使用使用 编写的命令或查询从数据库读取和写入数据. 关系数据库由一个或多个表格组成,表格由与电子表格相似的列和行组成. 以行列形式存储数据,行包含一个条目的所有信息,列是分离不同数据点的属性 架构固定,输入数据前要先锁定列 查询方式是SQL语句 支持垂直扩展属性 每一张表都有主键, 通过引用记录的主键,表中的一条记录可以与另一个表中的记录相关.这个指针或引用被称为外键. 关系数据库可以分为联机事务处理OLTP 和 联机分析处理OL

MVC5 网站开发之六 管理员功能之登录、验证和注销

上次业务逻辑和展示层的架构都写了,可以开始进行具体功能的实现,这次先实现管理员的登录.验证和注销功能.   一.业务逻辑层 1.实现256散列加密方法. Ninesky.Core[右键]-> 添加->文件夹,输入文件夹名General. General文件夹[右键]->添加->类,输入类名Security. 引用System.Security.Cryptography命名空间(1),并实现SHA256静态加密方法. 2.Administrator模型类 Ninesky.Core[右

文件过滤驱动开发

文件过滤驱动 一.文件透明加解密 关键字:透明.文件过滤驱动.加密标识,缓存 文件过滤驱动最重要的两点是搞定加密标识和缓存管理 1.透明概念: 透明指的是用户在操作的时候,虽然后台在自动的进行加解密,但是用户根本就不知道加密的存在,就像中间隔了一层透明的玻璃一样. 透明的好处在于不改变用户的操作,一切都和加密之前一样,甚至在有些企业安装加密后都无需通知所有的员工,就像加密并不存在一样,只是加密文件到了企业安全环境的外部才会发现文件无法打开. 透明的程度也是加密软件一个很重要的方面,例如:正在编辑

【九】MongoDB管理之安全性

要保证一个安全的MongoDB运行环境,DBA需要实施一些控制保证用户或应用程序仅仅访问它们需要的数据.这些措施包括但不限于: 认证机制 基于角色的访问控制 加密 审计 一.认证机制 认证是验证客户端用户身份的过程.开启访问控制后,MongoDB需要所有客户端认证它们自己身份以决定它们的访问权限.尽管认证和授权比较相近,但是认证是区别于授权的,认证是证明身份,授权是决定它们访问的资源和操作. 1.用户 为了认证客户端,你必须要添加一个对应的用户到MongoDB. 用户管理接口:db.create

hadoop2.6.0汇总:新增功能最新编译 32位、64位安装、源码包、API下载及部署文档

相关内容: hadoop2.5.2汇总:新增功能最新编译 32位.64位安装.源码包.API.eclipse插件下载Hadoop2.5 Eclipse插件制作.连接集群视频.及hadoop-eclipse-plugin-2.5.0插件下载hadoop2.5.1汇总:最新编译 32位.64位安装.源码包.API下载及新特性等 新手指导:hadoop官网介绍及如何下载hadoop(2.4)各个版本与查看hadoop API介绍 从零教你在Linux环境下(ubuntu 12.04)如何编译hadoo