DynamoDB: Können wir die Verschlüsselung und die Replikation über mehrere Regionen hinweg zusammen verwenden?DynamoDB: Können wir Verschlüsselung und bereichsübergreifende Replikation zusammen verwenden?
Wir evaluieren DynamoDB für unsere neue Anwendung. Unsere Anforderungen sind:
- Datenverschlüsselung in Ruhe
- Kreuz-Region Replikation für Disaster Recovery. Unsere App in einer Region muss sich nur auf Services in dieser Region verlassen
Unsere Anforderungen können separat mit der Verwendung von Java-Bibliotheken erfüllt werden, die von AWS bereitgestellt werden. Die Lösungen sind:
Wir sind aber nicht sicher, ob diese Lösungen zusammen arbeiten können. Wir sind besorgt, dass wir keine replizierten Datensätze überregional entschlüsseln können. Die clientseitige Verschlüsselungslösung empfiehlt, eine Schlüsselhierarchie mit einem KMS-verwalteten Schlüssel im Stammverzeichnis einzurichten. KMS ist regionsspezifisch, sodass wir Datensätze nicht entschlüsseln können, wenn wir sie in eine andere Region replizieren. Der Verschlüsselungsschlüssel ist in einer anderen Region nicht verfügbar.
Die Fragen sind:
- es wahr ist, dass die Entschlüsselung oder Quer Region Datensätze repliziert ist unmöglich, wenn der Verschlüsselungsschlüssel in KMS ist?
- Gibt es einen empfohlenen Ansatz zum Replizieren verschlüsselter DynamoDB-Datensätze? Hat jemand das schon mal gemacht?
- Gibt es Alternativen, die wir untersuchen sollten?
Ich wähle diese Frage als Wegthema zu schließen. Ich bin mir nicht sicher, aber vielleicht [dba] (http://dba.stackexchange.com/) ist eine bessere Seite, um dies zu fragen. –
Abhängig vom Zeitrahmen, in dem Sie die Datenbank wiederherstellen müssen, können Sie versuchen, eine Sicherung auf S3 durchzuführen und diese zu replizieren. http://stackoverflow.com/questions/23510704/using-amazon-data-pipeline-to-backup-dynamodb-data-to-s3 – BillMan