[AWS DVA対策] DynamoDB データの暗号化
概要
DynamoDBのテーブルに保存される値の暗号化について調べた
結論
公式ドキュメント
Amazon DynamoDB に保存されるすべてのユーザーデータは、保管時に完全に暗号化されます。
実際に確認
テーブル新規作成時
確かにデフォルト設定のチェックでデフォルトの暗号化タイプによる保管時の暗号化となっている
デフォルト以外に何があるの?
デフォルト設定の使用のチェックを外すと任意に選択可能であった
CMKとは
Customer Master Keyの略称
カスタマーマスターキー (CMK) は、マスターキーの論理的な表現です。
CMK には、キー ID、作成日、説明、キーステータスなどのメタデータが含まれます。
CMK管理方法の種類
| CMKのタイプ | CMKメタデータを表示できる | CMKを管理できる | 自分のAWSアカウントのみで使用 |
|---|---|---|---|
| AWS所有CMK | いいえ | いいえ | いいえ |
| カスタマー管理CMK | はい | はい | はい |
| AWS管理CMK | はい | いいえ | はい |
既存テーブルの暗号化
暗号化の管理をクリックすると、同様に3タイプからCMKの管理方法を変更可能だった
感想
SAAではKMSの暗号化の話はあったが、DynamoDBでKMSの話はなかった
KMSは一度簡単なアプリケーションで使ってみて体で覚えた方が良さそうだ
参考
https://docs.aws.amazon.com/ja_jp/amazondynamodb/latest/developerguide/EncryptionAtRest.html
https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/concepts.html