Amazon DynamoDB

https://gyazo.com/0bfa72c75ae1ac1b0e7efe904d555615

新しいテーブルを作成する場合、以下のいずれかの AWS KMS keys を選択してテーブルを暗号化できます。

AWS 所有キー – デフォルトの暗号化タイプ。キーは DynamoDB により所有されます (追加料金なし)。

AWS マネージドキー – キーはアカウントに保存され、AWS KMS によって管理されます (AWS KMS の料金が適用されます)。

カスタマーマネージドキー – キーはアカウントに保存され、ユーザーによって作成、所有、管理されます。ユーザーには KMS キーに対するフルコントロールの権限があります (AWS KMS の料金が適用されます)。

保存時の暗号化を有効にして新しい DAX クラスターを作成する場合、 AWS マネージドキーを使用して、クラスター内の保管中のデータを暗号化します。

Client-side and server-side encryption - Amazon DynamoDB Encryption Client

三つの方法

1. Server-side encryption at rest

通信は HTTPS

保存時に AWS KMSAWS KMS.icon 暗號化

table 單位

2. Amazon DynamoDBAmazon DynamoDB.icon Encryption Client

client で暗號化。end-to-end の暗號化ができる

data の一部だけ暗號化

署名できる

How the DynamoDB Encryption Client works - Amazon DynamoDB Encryption Client

AWS KMSAWS KMS.icon を使ふなら

Direct KMS Materials Provider - Amazon DynamoDB Encryption Client

The Direct KMS Provider requires a symmetric encryption KMS key. You cannot use an asymmetric KMS key. However, you can use a multi-Region KMS key, a KMS key with imported key material, or a KMS key in a custom key store. You must have kms:GenerateDataKey and kms:Decrypt permission on the KMS key. As such, you must use a customer managed key, not an AWS managed or AWS owned KMS key.

customer 管理の鍵でなければならない

3. AWS Encryption SDK

推奬されない

Amazon DynamoDB accelerator (DAX)

Amazon DynamoDB Accelerator (DAX) | AWS

DynamoDB Low-Level API - Amazon DynamoDB

DynamoDB Streams

DynamoDB Streams の変更データキャプチャ - Amazon DynamoDB

DynamoDB を使用した Kinesis Data Streams の変更データキャプチャ - Amazon DynamoDB