DynamoDB 有加密嗎?
有。所有 DynamoDB 資料預設在靜態時加密,使用儲存於 AWS Key Management Service(KMS)的加密金鑰,且無法關閉加密。你可選擇金鑰類型 — AWS 擁有金鑰(預設、免費)、AWS 受管金鑰,或客戶受管金鑰 — 而傳輸中的資料以 HTTPS/TLS 保護。
靜態加密涵蓋什麼
加密適用於加密表格儲存在持久媒體上的所有東西:表格本身(包括其 primary key)、local 與 global secondary index、stream、全域表格與備份。請注意若你的表格有 sort key,某些標記範圍邊界的 sort key 會以明文儲存在表格中繼資料中。
三種金鑰選項
- AWS 擁有金鑰 — 預設。由 DynamoDB 擁有並管理,不額外收費。
- AWS 受管金鑰 — 儲存於你的帳戶並由 AWS KMS 管理(適用 KMS 費用)。
- 客戶受管金鑰 — 由你建立、擁有並輪替,可完全控制存取(適用 KMS 費用)。
你可以隨時從主控台、CLI 或 API 在金鑰類型之間切換。
對你的應用程式是透明的
DynamoDB 在你讀取時透明地解密資料。你不需變更任何程式碼即可與加密表格協作,查詢照常運作,延遲也維持在相同的個位數毫秒範圍。對於在個別屬性值離開你的應用程式前的端到端保護,AWS 也透過 AWS Database Encryption SDK 提供用戶端加密。
深入了解
備份也會加密 — 在備份與 PITR 指南中看看它們如何運作,用定價計算器估算表格成本(KMS 另行計費),並下載 DynoTable 瀏覽你的加密表格 — 解密由 AWS 在資料抵達任何用戶端之前處理。
參考資料
- DynamoDB encryption at rest — Amazon DynamoDB Developer Guide
- What is Amazon DynamoDB? — Amazon DynamoDB Developer Guide
- What is the AWS Database Encryption SDK? — AWS Database Encryption SDK Developer Guide
最後驗證於 2026-07-13,對照上方連結的官方 AWS 文件。