我正在阅读有关静态加密的信息,发现默认情况下Dynamodb会这样做。 https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/encryption.usagenotes.html
这实际上是什么意思?因为我仍然可以在AWS控制台中以纯文本格式查看数据。那么,它的加密形式如何?
这是否意味着在计算机的实际存储形式中已加密?私钥/公钥由Dynamodb服务本身管理吗?
此外,如果我为此类表启用dynamodb流并将流连接到AWS Lambda,则可以在lambda中以纯文本格式查看数据。那么,怎么加密呢?
有人可以解释我所缺少的吗?有什么方法可以验证Dynamodb确实在加密我们的数据吗?
答案 0 :(得分:3)
如您引用的页面所述:
静态加密仅对持久存储介质上的静态(静态)数据进行加密。
这是静态加密的目的-保护数据免受存储磁盘损坏。在具有many layers of security的AWS中,这种妥协是极不可能的,该AWS具有https://regex101.com/r/tpe43D/2的限制时间,最小特权的物理访问和媒体停用策略……但这是静态加密的目的,在某些情况下(例如作为一些受管制的行业)。
作为服务的用户,它对您是透明的。您可以在控制台和流中清楚地看到数据,因为从DynamoDB存储数据的磁盘读取数据时,数据将被解密,就像写入时被加密一样。
除了依靠AWS断言该加密确实确实如文档所述那样之外,没有任何方法可以证明这种加密是在DynamoDB中发生的。这是一个不可禁用的功能。
数据也在传输过程中进行了加密-API交互,到其他服务(例如Lambda)的切换以及AWS控制台本身都使用TLS(SSL),后者在另一端也提供了匹配的透明解密。如果您使用的是SDK或第三方客户端库,并且禁用了HTTPS(或者第三方库未实现),则例外。