Amazon web services AWS AppSync加密DynamoDB数据

我正在一个项目中与AppSync合作，将捕获相对敏感的用户数据，这些数据需要在数据库中进行加密

目前，我正在变异或查询后使用DynamoDB解析器构建，但很乐意探索其他解决方案（例如通过Lambda函数使用KMS加密，然后发送到DynamoDB；或者在表中创建新条目后使用DynamoDB流重构数据？）

---

KMS将通过IAM进行管理，通过Cognito用户池分配用户权限（我对这一点很陌生，但相信这是最好的方法）。

这一切都取决于您保护数据的对象。如果解密将在AWS中实际发生，那么AWS至少暂时拥有解密密钥（因为您让他们管理密钥，并将密钥交给驻留在AWS中的密码）。您可以假设AWS被信任可以尽快忘记密钥和解密的明文，而不是后门解密。如果您只担心第三方（即：不是AWS）进入，那么这没关系。请记住，如果不进行端到端的测试，您对云提供商的防御是有限的

---

如果你真的担心AWS解密你的东西，有几个主要问题，因为这需要端到端的加密来处理：解密必须在AWS之外进行（即：在电话或用户笔记本电脑上运行的程序上解密），这意味着密钥本身只在AWS之外解密，如果你搜索数据，你就不会告诉AWS你在搜索什么（即：我上次访问时愤怒的抗议者。mp4）。后者是可以做到的，但很少有通用产品甚至尝试进行正确的端到端加密

DynamoDB现在支持静态加密，您可以在您的表上启用它。

您的问题是什么？