DynamoDB è cifrato?
Sì. Tutti i dati DynamoDB sono cifrati a riposo per impostazione predefinita, usando chiavi di cifratura memorizzate in AWS Key Management Service (KMS), e la cifratura non può essere disattivata. Scegli il tipo di chiave — una chiave di proprietà di AWS (quella predefinita, gratuita), una chiave gestita da AWS o una chiave gestita dal cliente — e i dati in transito sono protetti con HTTPS/TLS.
Cosa copre la cifratura a riposo
La cifratura si applica a tutto ciò che una tabella cifrata memorizza su supporti durevoli: la tabella stessa inclusa la sua chiave primaria, gli indici secondari locali e globali, gli stream, le tabelle globali e i backup. Nota che se la tua tabella ha una chiave di ordinamento, alcune delle chiavi di ordinamento che segnano i confini degli intervalli sono memorizzate in chiaro nei metadati della tabella.
Le tre opzioni di chiave
- Chiave di proprietà di AWS — quella predefinita. Di proprietà e gestita da DynamoDB, senza costi aggiuntivi.
- Chiave gestita da AWS — memorizzata nel tuo account e gestita da AWS KMS (si applicano i costi KMS).
- Chiave gestita dal cliente — creata, posseduta e ruotata da te, con pieno controllo sull'accesso (si applicano i costi KMS).
Puoi passare da un tipo di chiave all'altro in qualsiasi momento dalla console, dalla CLI o dall'API.
È trasparente per la tua applicazione
DynamoDB decifra i dati in modo trasparente quando li leggi. Non modifichi alcun codice per lavorare con una tabella cifrata, le query funzionano invariate e la latenza resta nello stesso ordine dei millisecondi a una cifra. Per una protezione end-to-end dei singoli valori degli attributi prima che lascino la tua applicazione, AWS offre anche la cifratura lato client tramite l'AWS Database Encryption SDK.
Approfondisci
Anche i backup sono cifrati — vedi come funzionano nella guida a backup & PITR, stima i costi delle tabelle (KMS è fatturato separatamente) con il calcolatore dei prezzi e scarica DynoTable per sfogliare le tue tabelle cifrate — la decifratura è gestita da AWS prima che i dati raggiungano qualsiasi client.
Riferimenti
- DynamoDB encryption at rest — Amazon DynamoDB Developer Guide
- What is Amazon DynamoDB? — Amazon DynamoDB Developer Guide
- What is the AWS Database Encryption SDK? — AWS Database Encryption SDK Developer Guide
Ultima verifica 2026-07-13 rispetto alla documentazione ufficiale AWS collegata sopra.