DynamoDB 如何使用 AWS KMS

静态加密功能在 AWS KMS 客户主密钥 (CMK) 下保护 DynamoDB 表。默认情况下，它使用 AWS 托管 CMK，但 DynamoDB 支持用于在 AWS 账户中的适用于 DynamoDB (aws/dynamodb) 的 AWS 托管 CMK下对部分或所有表进行加密的选项。您可以在创建或更新表时为表选择 CMK，并且可以为每个表做出不同的选择。静态加密功能不支持使用客户托管的 CMK。

如果您需要以下任意功能，请使用 AWS 托管 CMK：

• 您可以查看 CMK 及其密钥策略。（您无法更改密钥策略。）

• 您可以通过在 AWS CloudTrail 日志中检查针对 AWS KMS 的 DynamoDB API 调用来审计 DynamoDB 表的加密和解密。

不过，AWS 拥有的 CMK 是免费的。对于每个 API 调用，AWS 托管 CMK 会产生费用。

可通过以下方式随时更改表的 CMK：在 DynamoDB 控制台中或使用 UpdateTable 操作。在更改 CMK 时，DynamoDB 会生成新的表密钥。然后，它使用新的表密钥来重新加密数据加密密钥。

无论您选择哪种 CMK，使用 CMK 创建表密钥的过程都是相同的。

DynamoDB 对表使用 CMK 来生成和加密表的唯一数据密钥（也称作表密钥）。该表密钥将在加密表的生命周期内保留。

表密钥用作密钥加密密钥。DynamoDB 使用此表密钥来保护用于加密表数据的数据加密密钥。DynamoDB 会为表中的每个底层结构生成唯一的数据加密密钥，但多个表项目可能受相同的数据加密密钥的保护。