DynamoDB:我們可以同時使用加密和跨區域復制嗎?
[英]DynamoDB: can we use encryption and cross-region replication together?
問題描述
DynamoDB:我們可以同時使用加密和跨區域復制嗎?
我們正在為新應用程序評估DynamoDB。 我們的要求是:
- 靜態數據加密
- 跨區域復制以進行災難恢復。 我們在某個地區的應用程序必須僅依賴該地區的服務
使用AWS提供的Java庫可以單獨滿足我們的要求。 解決方案是:
但是,我們不確定這些解決方案是否可以協同工作。 我們擔心我們將無法解密跨區域復制的記錄。 客戶端加密解決方案建議建立一個由KMS管理的根作為根的密鑰層次結構。 KMS是特定於區域的,因此如果將記錄復制到另一個區域,我們將無法解密記錄。 加密密鑰在其他區域不可訪問。
問題是:
- 如果加密密鑰在KMS中,則解密或跨區域復制的記錄是不可能的嗎?
- 是否有推薦的方法來復制加密的DynamoDB記錄? 有人做過嗎?
- 我們還有其他選擇嗎?
1 個解決方案
解決方案1
5 已采納 2016-11-11 08:07:07
你是對的。 照原樣,該設置將無法正常工作,因為無法在區域之間共享KMS密鑰。
假設您要從區域R1到R2復制數據,它們分別具有KMS密鑰K1和K2。 我可以建議以下替代方法:
- 稍微修改庫,以便在復制過程中使用K1從R1解密數據,並使用K2重新加密。 您將對DynamoDBStreamsRecordTransformer類感興趣。
- 在R1和R2中導入您自己的密鑰材料。 在此處檢查相關文檔。
- 警告:根據使用情況,可能會給操作帶來痛苦。
更新 :也添加您的想法,以便將來可以幫助任何涉足此問題的人:
- 創建您自己的純文本數據密鑰(可能使用KMS的GenerateRandom API),同時使用K1和K2(使用Encrypt API)對其進行加密 ,並將生成的密文和數據一起存儲在這兩個區域中。
- 注意:跨區域要求進行每次更新。 在選項#1中,更新是異步的。
AWS S3 跨區域復制是否對多個區域使用相同的 URL?
[英]Does AWS S3 cross-region replication use same URL for multiple regions?
是否可以使用 AWS PYTHON CDK 或最糟糕的 Cloud Formation 啟用跨區域自動備份復制
[英]Is it possible to enable Cross-Region Automated Backup Replication using AWS PYTHON CDK or at worst Cloud Formation
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.