Anbieter von kryptografischen Materialien - AWS Datenbankverschlüsselung SDK

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anbieter von kryptografischen Materialien

Anmerkung

Unsere clientseitige Verschlüsselungsbibliothek wurde in AWS Database Encryption SDK umbenannt. Das folgende Thema enthält Informationen zu den Versionen 1. x —2. x des DynamoDB Encryption Client für Java und Versionen 1. x —3. x des DynamoDB Encryption Client für Python. Weitere Informationen finden Sie unter AWSDatabase Encryption SDK für DynamoDB-Versionsunterstützung.

Eine der wichtigsten Entscheidungen, die Sie bei der Verwendung des DynamoDB Encryption Client treffen, ist die Auswahl eines Anbieters für kryptografische Materialien (CMP). Das CMP stellt kryptographisches Material zusammen und gibt es an den Elementverschlüssler zurück. Außerdem legt er fest, wie Verschlüsselungs- und Signierschlüssel generiert werden, ob für jedes Element neue Schlüsselmaterialien generiert oder wiederverwendet werden und welche Verschlüsselungs- und Signierungsalgorithmen verwendet werden.

Sie können ein CMP aus den in den DynamoDB Encryption Client-Bibliotheken bereitgestellten Implementierungen auswählen oder ein kompatibles benutzerdefiniertes CMP erstellen. Welchen CMP Sie auswählen, hängt möglicherweise auch von der verwendeten Programmiersprache ab.

Dieses Thema beschreibt die gebräuchlichsten CMPs und bietet einige Ratschläge, um Ihnen bei der Auswahl des für Ihre Anwendung am besten geeigneten CMPs zu helfen.

Direct KMS Materials Provider

Der Direct KMS Materials Provider schützt Ihre Tabellenelemente unter einem AWS KMS key, der niemals unverschlüsselt AWS Key Management Service(AWS KMS) verlässt. Ihre Anwendung muss kein kryptographisches Material erzeugen oder verwalten. Da er den AWS KMS key verwendet, um eindeutige Verschlüsselungs- und Signierschlüssel für jedes Element zu generieren, ruft dieser Anbieter AWS KMS jedes Mal auf, wenn er ein Element verschlüsselt oder entschlüsselt.

Wenn Sie AWS KMS verwenden und ein AWS KMS-Aufruf pro Transaktion für Ihre Anwendung machbar ist, stellt dieser Anbieter eine gute Wahl dar.

Details hierzu finden Sie unter Direct KMS Materials Provider.

Wrapped Materials Provider (Wrapped CMP)

Mit dem Wrapped Materials Provider (Wrapped CMP) können Sie Ihre Wrapping- und Signaturschlüssel außerhalb des DynamoDB Encryption Client generieren und verwalten.

Der Wrapped CMP generiert einen eindeutigen Verschlüsselungsschlüssel für jedes Element. Dann verwendet er die von Ihnen bereitgestellten Wrapping- (oder Unwrapping-) und Signierschlüssel. Damit bestimmen Sie, wie die Wrapping- und Signierschlüssel erzeugt werden und ob sie für jedes Element eindeutig sind oder wiederverwendet werden. Der Wrapped CMP ist eine sichere Alternative zum Direct KMS Provider für Anwendungen, die AWS KMS nicht verwenden und sicher kryptographische Materialien verwalten können.

Details hierzu finden Sie unter Wrapped Materials Provider.

Most Recent Provider

Der Most Recent Provider ist ein Anbieter kryptographischer Materialien (Cryptographic Materials Provider (CMP)), der auf die Arbeit mit einem Provider-Store ausgelegt ist. Es erhält CMPs aus dem Provider-Store und erhält die kryptographischen Materialien, die er zurückgibt, von den CMPs. Der Most Recent Provider verwendet in der Regel jeden CMP, um mehrere Anfragen nach kryptographischem Material zu erfüllen, aber Sie können die Funktionen des Provider-Stores verwenden, um zu steuern, wie oft Materialien wiederverwendet werden, um zu bestimmen, wie oft ein CMP rotiert wird, und sogar, um den Typ des CMP zu ändern, der verwendet wird, ohne den Most Recent Provider zu ändern.

Sie können den Most Recent Provider mit jedem kompatiblen Provider-Store verwenden. Der DynamoDB Encryption Client beinhaltet einen AnbieterspeicherMetaStore, der Wrapped CMPs zurückgibt.

Der Most Recent Provider ist eine gute Wahl für Anwendungen, die Aufrufe ihrer kryptographischen Quelle minimieren müssen, sowie für Anwendungen, die bestimmte kryptographische Materialien wiederverwenden können, ohne ihre Sicherheitsanforderungen zu verletzen. So können Sie beispielsweise Ihr kryptografisches Material unter einem AWS KMS keyin AWS Key Management Service(AWS KMS) schützen, ohne AWS KMS jedes Mal aufrufen zu müssen, wenn Sie ein Objekt ver- oder entschlüsseln.

Details hierzu finden Sie unter Most Recent Provider.

Static Materials Provider

Der Static Materials Provider wurde für Tests, proof-of-concept Demonstrationen und Kompatibilität mit älteren Versionen entwickelt. Er generiert keine eindeutigen kryptographischen Materialien für jedes Element. Er gibt dieselben von Ihnen gelieferten Verschlüsselungs- und Signierschlüssel zurück, die direkt zum Verschlüsseln und Signieren Ihrer Tabellenelemente verwendet werden.

Anmerkung

Der Asymmetric Static Provider in der Java-Bibliothek ist kein statischer Anbieter. Er liefert nur alternative Konstruktoren für den Wrapped CMP. Er ist sicher für die Produktion, aber Sie sollten den Wrapped CMP nach Möglichkeit direkt verwenden.