DynamoDB: можем ли мы использовать шифрование и межрегиональную репликацию вместе?
Мы оцениваем DynamoDB для нашего нового приложения. Наши требования:
- Шифрование данных в состоянии покоя
- Межрегиональная репликация для аварийного восстановления. Наше приложение в регионе должно полагаться на сервисы только в этом регионе.
Наши требования могут быть выполнены отдельно с использованием библиотек Java, предоставляемых AWS. Решения:
Однако мы не уверены, могут ли эти решения работать вместе. Мы обеспокоены тем, что не сможем расшифровать межрегиональные реплицированные записи. Решение для шифрования на стороне клиента рекомендует установить иерархию ключей с ключом, управляемым KMS, в корне. KMS зависит от региона, поэтому мы не сможем расшифровать записи, если реплицируем их в другой регион. Ключ шифрования недоступен в другом регионе.
Вопросы следующие:
- Верно ли, что дешифрование или перекрестная репликация записей невозможно, если ключ шифрования находится в KMS?
- Есть ли рекомендуемый подход к репликации зашифрованных записей DynamoDB? Кто-нибудь делал это раньше?
- Есть ли альтернативы, на которые мы должны обратить внимание?