gpt4 book ai didi

amazon-web-services - DynamoDB : can we use encryption and cross-region replication together?

转载 作者:行者123 更新时间:2023-12-04 18:59:43 25 4
gpt4 key购买 nike

DynamoDB:我们可以一起使用加密和跨区域复制吗?

我们正在为我们的新应用程序评估 DynamoDB。我们的要求是:

  • 静态数据加密
  • 用于灾难恢复的跨区域复制。我们在某个地区的应用必须仅依赖该地区的服务

  • 使用 AWS 提供的 Java 库可以单独满足我们的要求。解决方法是:
  • Client-side Encryption for Amazon DynamoDB
  • DynamoDB Cross-region Replication

  • 但是,我们不确定这些解决方案是否可以协同工作。我们担心我们将无法解密跨区域复制的记录。客户端加密解决方案建议使用 KMS 管理的根 key 建立 key 层次结构。 KMS 是特定于区域的,因此如果我们将它们复制到另一个区域,我们将无法解密记录。加密 key 在其他地区不可访问。

    问题是:
  • 如果加密 key 在KMS中,是否真的无法解密或跨区域复制记录?
  • 是否有推荐的方法来复制加密的 DynamoDB 记录?以前有人这样做过吗?
  • 有没有我们应该考虑的替代方案?
  • 最佳答案

    你是对的。由于无法跨区域共享 KMS key ,因此设置将不起作用。

    假设您要将数据从区域 R1 复制到 R2,它们分别具有 KMS key K1 和 K2。我可以建议以下替代方案:

  • 稍微修改库,使其在复制期间使用 K1 解密来自 R1 的数据并使用 K2 重新加密。您会对 DynamoDBStreamsRecordTransformer 感兴趣类(class)。
  • 在 R1 和 R2 中导入您自己的 key Material 。查看相关文档 here .
  • 警告:操作上可能会很痛苦,具体取决于您的用例。

  • 更新 :也添加您的想法,以便它可以帮助将来绊倒这个问题的任何人:
  • 创建您自己的纯文本数据 key (可能使用 KMS 的 GenerateRandom API),使用 K1 和 K2(使用 Encrypt API)对其进行加密,并将生成的密码文本与您的数据一起存储在这两个区域中.
  • 警告:每次更新都需要跨区域调用。在选项#1 中,更新是异步的。
  • 关于amazon-web-services - DynamoDB : can we use encryption and cross-region replication together?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40512477/

    25 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com