Clientseitige und serverseitige Verschlüsselung - AWS Datenbankverschlüsselung SDK

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Clientseitige und serverseitige Verschlüsselung

Unsere clientseitige Verschlüsselungsbibliothek wurde in AWS Database Encryption umbenannt. SDK Dieses Entwicklerhandbuch enthält weiterhin Informationen zum DynamoDB Encryption Client.

Die AWS Datenbankverschlüsselung SDK für DynamoDB unterstützt die clientseitige Verschlüsselung, bei der Sie Ihre Tabellendaten verschlüsseln, bevor Sie sie an Ihre Datenbank senden. DynamoDB bietet jedoch eine serverseitige Funktion zur Verschlüsselung im Ruhezustand, die Ihre Tabelle transparent verschlüsselt, wenn sie auf der Festplatte gespeichert wird, und sie entschlüsselt, wenn Sie auf die Tabelle zugreifen.

Welche Tools Sie wählen, hängt von der Sensibilität Ihrer Daten und den Sicherheitsanforderungen Ihrer Anwendung ab. Sie können sowohl die AWS Datenbankverschlüsselung SDK für DynamoDB als auch die Verschlüsselung im Ruhezustand verwenden. Wenn Sie verschlüsselte und signierte Elemente an DynamoDB senden, erkennt DynamoDB die Elemente nicht als geschützt. Er erkennt nur typische Tabellenelemente mit binären Attributwerten.

Serverseitige Verschlüsselung im Ruhezustand

DynamoDB unterstützt Encryption at Rest, eine serverseitige Verschlüsselungsfunktion, bei der DynamoDB Ihre Tabellen transparent für Sie verschlüsselt, wenn die Tabelle dauerhaft auf der Festplatte gespeichert wird, und sie entschlüsselt, wenn Sie auf die Tabellendaten zugreifen.

Wenn Sie eine verwenden, AWS SDK um mit DynamoDB zu interagieren, werden Ihre Daten standardmäßig bei der Übertragung über eine HTTPS Verbindung verschlüsselt, am DynamoDB-Endpunkt entschlüsselt und dann erneut verschlüsselt, bevor sie in DynamoDB gespeichert werden.

  • Standardmäßig Verschlüsselung. DynamoDB verschlüsselt und entschlüsselt alle Tabellen transparent, wenn sie geschrieben werden. Es ist nicht möglich, die Verschlüsselung im Ruhezustand zu aktivieren oder zu deaktivieren.

  • DynamoDB erstellt und verwaltet die kryptografischen Schlüssel.Der eindeutige Schlüssel für jede Tabelle ist durch eine, die niemals AWS Key Management Service()AWS KMS unverschlüsselt verlässt AWS KMS key, geschützt. Standardmäßig verwendet DynamoDB ein AWS-eigener Schlüsselim DynamoDB-Dienstkonto, aber Sie können einen Von AWS verwalteter Schlüsseloder einen vom Kunden verwalteten Schlüssel in Ihrem Konto wählen, um einige oder alle Ihre Tabellen zu schützen.

  • Alle Tabellendaten sind auf der Festplatte verschlüsselt.Wenn eine verschlüsselte Tabelle auf der Festplatte gespeichert wird, verschlüsselt DynamoDB alle Tabellendaten, einschließlich des Primärschlüssels und der lokalen und globalen Sekundärindizes. Wenn Ihre Tabelle einen Sortierschlüssel hat, werden einige der Sortierschlüssel, die Bereichsgrenzen markieren, in Klartext in den Metadaten der Tabelle gespeichert.

  • Objekte, die sich auf Tabellen beziehen, werden ebenfalls verschlüsselt. Verschlüsselung im Ruhezustand schützt DynamoDB-Streams, globale Tabellen und Backups, wann immer sie auf dauerhafte Medien geschrieben werden.

  • Ihre Elemente werden entschlüsselt, wenn Sie darauf zugreifen.Wenn Sie auf die Tabelle zugreifen, entschlüsselt DynamoDB den Teil der Tabelle, der Ihr Zielelement enthält, und gibt das Klartextelement an Sie zurück.

AWS Datenbankverschlüsselung SDK für DynamoDB

Die clientseitige Verschlüsselung bietet end-to-end Schutz für Ihre Daten bei der Übertragung und im Speicher, von der Quelle bis zur Speicherung in DynamoDB. Ihre Klartextdaten werden niemals Dritten zugänglich gemacht, auch nicht. AWS Sie können AWS Database Encryption SDK for DynamoDB mit neuen DynamoDB-Tabellen verwenden oder Ihre vorhandenen Amazon DynamoDB-Tabellen auf Version 3 migrieren. x der clientseitigen Java-Verschlüsselungsbibliothek für DynamoDB.

  • Ihre Daten sind während des Transports und im Ruhezustand geschützt. Es wird niemals Dritten zugänglich gemacht, auch nicht. AWS

  • Sie können Ihre Tabellenelemente signieren. Sie können AWS Database Encryption SDK for DynamoDB anweisen, eine Signatur für das gesamte oder einen Teil eines Tabellenelements, einschließlich der Primärschlüsselattribute, zu berechnen. Mit dieser Signatur können Sie nicht autorisierte Änderungen am gesamten Element erkennen, einschließlich des Hinzufügens oder Löschens von Attributen oder des Vertauschens von Attributwerten.

  • Sie bestimmen, wie Ihre Daten geschützt werden, indem Sie einen Schlüsselbund auswählen. Ihr Schlüsselbund bestimmt die Umschließungsschlüssel, die Ihre Datenschlüssel und letztlich Ihre Daten schützen. Verwenden Sie die sichersten Verpackungsschlüssel, die für Ihre Aufgabe praktisch sind.

  • Die AWS Datenbankverschlüsselung SDK für DynamoDB verschlüsselt nicht die gesamte Tabelle. Sie wählen aus, welche Attribute in Ihren Elementen verschlüsselt werden. Die AWS Datenbankverschlüsselung SDK für DynamoDB verschlüsselt nicht ein ganzes Element. Es verschlüsselt weder Attributnamen noch die Namen oder Werte der Primärschlüsselattribute (Partitionsschlüssel und Sortierschlüssel).

AWS Encryption SDK

Wenn Sie Daten verschlüsseln, die Sie in DynamoDB speichern, empfehlen wir AWS Database Encryption SDK for DynamoDB.

Die AWS Encryption SDK ist eine clientseitige Verschlüsselungsbibliothek, die Ihnen hilft, generische Daten zu verschlüsseln und zu entschlüsseln. Obwohl sie beliebige Datentypen schützen kann, ist sie nicht darauf ausgelegt, mit strukturierten Daten wie Datenbankeinträgen zu arbeiten. Im Gegensatz zu AWS Database Encryption SDK for DynamoDB AWS Encryption SDK kann sie keine Integritätsprüfung auf Elementebene bereitstellen und verfügt über keine Logik, um Attribute zu erkennen oder die Verschlüsselung von Primärschlüsseln zu verhindern.

Wenn Sie das verwenden AWS Encryption SDK , um ein Element Ihrer Tabelle zu verschlüsseln, denken Sie daran, dass es nicht mit AWS Database Encryption SDK for DynamoDB kompatibel ist. Sie können nicht mit einer Bibliothek verschlüsseln und mit einer anderen entschlüsseln.