小编ez1*_*1sl的帖子

DynamoDB:我们可以一起使用加密和跨区域复制吗？

我们正在为新应用程序评估DynamoDB.我们的要求是:

• 静态数据加密
• 用于灾难恢复的跨区域复制.我们在某个地区的应用程序必须仅依赖该地区的服务

使用AWS提供的Java库可以单独满足我们的要求.解决方案是:

• Amazon DynamoDB的客户端加密
• DynamoDB跨区域复制

但是,我们不确定这些解决方案是否可以协同工作.我们担心我们将无法解密跨区域复制记录.客户端加密解决方案建议在根目录下使用KMS管理的密钥建立密钥层次结构.KMS是区域特定的,因此如果我们将记录复制到另一个区域,我们将无法解密记录.加密密钥在其他区域无法访问.

问题是:

• 如果加密密钥在KMS中,解密或跨区域复制记录是否正确？
• 是否有推荐的方法来复制加密的DynamoDB记录？有没有人这样做过？
• 我们应该考虑哪些替代方案？