DynamoDB-KMS-从AWS托管CMK返回default状态对运行服务的影响是什么?
0
【以下的问题经过翻译处理】 客户想了解以下内容:
对于DynamoDB中的某些表,加密从“默认”更改为“KMS-AWS托管CMK”。使用KMS会产生额外的费用,他们想避免这种费用。
- 所有来自KMS的费用都来自这些DynamoDB表吗?如何确定?
- 如果从控制台将这些表的加密从“默认”更改回来,会产生什么影响?如何在不中断服务的情况下更改此设置?
1 個回答
- 最新
- 最多得票
- 最多評論
0
【以下的回答经过翻译处理】 1. 所有KMS的费用都是来自这些DynamoDB表吗?如何识别? 所有KMS活动都记录在CloudTrail日志中。请参阅我们的文档了解有关如何识别DDB与KMS的交互的更多信息。
https://docs.aws.amazon.com/kms/latest/developerguide/services-dynamodb.html#dynamodb-cmk-trail
- 如果从控制台将这些表的加密方式更改回“默认”,会有什么影响?如何在没有服务中断的情况下更改? 默认加密类型使用 AWS 拥有的 CMK 进行 DDB 服务器端加密。 从 AWS 托管的 CMK 切换到默认 (AWS 拥有的 CMK) 的影响是表将不再受到客户帐户中的 CMK 的保护。 更改用于保护表的 CMK 不会导致服务中断:https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/encryption.tutorial.html#encryption.tutorial-update
请参阅 DDB 加密文档,以了解有关 DDB 服务器端加密的工作方式的更多详细信息: https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/EncryptionAtRest.html
请参阅 KMS 文档,以了解不同类型的 CMK 的更多详细信息: https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys