我正在为审计数据计划 AWS QLDB。
- QLDB 是否支持 GDPR?这对性能有影响吗?
- 在存储到 QLDB 之前,有一些字段使用自定义加密密钥进行了加密。当密钥被泄露或密钥轮换策略时,我可能会更改密钥。因此,我可能需要读取所有旧记录,使用旧密钥解密并使用新记录加密并再次更新。QLDB 可以做到这一点吗?
- 如何使用 QLDB 进行多租户?就像,我有多个应用程序写入审计,并希望对同一集群中的每个应用程序进行虚拟分离。
1 回答
1
感谢你的提问; 它涉及到 QLDB 核心的一些概念。
- QLDB 是否支持 GDPR?这对性能有影响吗?
有关数据保护的 QLDB 开发人员指南页面可能有助于提供有关 AWS 责任共担模型的更多信息。阅读这篇关于责任共担模型和 GDPR 的AWS 博客文章也可能会有所帮助。
我们目前正在开发一项功能,允许客户从 QLDB 修订版中删除客户数据有效负载。许多客户要求使用此功能以适应 GDPR“遗忘权”的要求。请注意,这不是“合规”声明——因为这是您需要独立评估的内容。我们预计这不会影响任何读/写性能。如果您有兴趣了解有关此内容的更多信息,请联系 AWS 支持人员,他们会将您与我们的团队联系,以告知您更多相关信息。
- 在存储到 QLDB 之前,有一些字段使用自定义加密密钥进行了加密。当密钥被泄露或密钥轮换策略时,我可能会更改密钥。因此,我可能需要读取所有旧记录,使用旧密钥解密并使用新记录加密并再次更新。QLDB 可以做到这一点吗?
可以通过几种不同的方法在 QLDB 中读取所有旧记录——查询修订历史、导出日志数据或流式日志数据。
但是,值得注意的是,QLDB 确实通过 KMS提供了静态加密。您也可以利用 KMS 进行密钥轮换或密钥到期,并且您将能够通过KMS 的密钥层次结构使用新密钥访问旧数据。KMS 将允许您轮换密钥,而无需重新加密所有数据。
- 如何使用 QLDB 进行多租户?就像,我有多个应用程序写入审计,并希望对同一集群中的每个应用程序进行虚拟分离。
有几种潜在的方法可以解决这个问题,最终可能取决于您的用例。在单个分类帐中,您可以利用每个文档中的属性来区分租户。您可以在具有默认配额的单个帐户中利用 QLDB 中的多个分类帐。也可能是您想要更多分离的情况,并可能考虑创建多个账户并利用AWS Control Tower 之类的东西。
尽管如此,最佳方法可能在很大程度上取决于您的用例以及您正在使用的其他 AWS 产品。您可能还想就此联系 AWS 支持,并可能与相关的解决方案架构师联系,他们可以根据您的特定用例就方法进行咨询。
于 2022-02-18T18:13:56.073 回答