AWS QLDB - GDPR支援

Question

我计划在AWS QLDB的审计数据。

1. QLDB支持GDPR吗？这对性能有什么影响吗？
2. 在存储到QLDB之前，有些字段使用自定义加密密钥进行加密。我可能会在键被破坏或键旋转策略被破坏时，沿着行修改键。因此，我可能需要读取所有旧记录，使用旧密钥解密，使用新记录进行加密并再次更新。这与QLDB有可能吗？
3. 如何使用QLDB进行多重租赁？例如，我有多个应用程序要进行审计，并且希望对同一集群中的每个应用程序进行虚拟分离。

Answer 1

谢谢您的提问，它触及了一些QLDB的核心概念。

1. QLDB支持GDPR吗？这对性能有什么影响吗？

关于数据保护的QLDB开发人员指南页面可能有助于提供有关AWS共享责任模型的更多信息。阅读这篇关于分担责任模型和探地雷达的AWS博客文章可能也有帮助。

我们目前正在开发一项功能，允许客户从QLDB修订版中删除客户数据有效负载。许多客户为了适应GDPR“有权忘记”的要求，要求提供这一功能。请务必注意，这不是一个“遵守”的主张--因为这是你需要独立评估的事情。我们预计这不会影响任何读/写性能。如果您有兴趣了解更多的这一点，请联系AWS的支持，他们会联系您与我们的团队，告诉您更多关于这一点。

1. 在存储到QLDB之前，有些字段使用自定义加密密钥进行加密。我可能会在键被破坏或键旋转策略被破坏时，沿着行修改键。因此，我可能需要读取所有旧记录，使用旧密钥解密，使用新记录进行加密并再次更新。这与QLDB有可能吗？

在QLDB中，可以通过几种不同的方法( 查询修订历史、导出日志数据或流日志数据 )读取所有旧记录。

但是，值得注意的是，QLDB确实通过KMS提供静止加密。您还可以利用KMS进行密钥轮转或密钥过期，并且可以通过KMS密钥层次结构访问具有新密钥的旧数据。KMS将允许您旋转密钥，而无需重新加密您的所有数据。

1. 如何使用QLDB进行多重租赁？例如，我有多个应用程序要进行审计，并且希望对同一集群中的每个应用程序进行虚拟分离。

有几种可能的方法来解决这个问题，这最终可能取决于您的用例。在单个分类账中，您可以利用每个文档中的属性来区分租户。您可以在默认配额的单个帐户中利用QLDB中的多个分类账。您还可能需要更多的分离，并可能考虑创建多个帐户并利用类似AWS控制塔之类的工具。

尽管如此，最好的方法可能在很大程度上取决于您的用例，以及您正在使用的其他AWS产品。您可能希望在这方面接触AWS支持，并可能与相关的解决方案架构师联系，后者可以在特定用例的情况下就方法进行咨询。