Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beacons für die Planung
| Unsere clientseitige Verschlüsselungsbibliothek wurde in AWS Database Encryption SDK umbenannt. Dieses Entwicklerhandbuch enthält weiterhin Informationen zum DynamoDB Encryption Client. |
Beacons sind so konzipiert, dass sie in neuen, unbefüllten Datenbanken implementiert werden können. Jedes in einer vorhandenen Datenbank konfigurierte Beacon ordnet nur neue Datensätze zu, die in die Datenbank geschrieben wurden. Beacons werden aus dem Klartextwert eines Felds berechnet. Sobald das Feld verschlüsselt ist, kann das Beacon vorhandene Daten nicht mehr abbilden. Nachdem Sie mit einem Beacon neue Datensätze geschrieben haben, können Sie die Konfiguration des Beacons nicht mehr aktualisieren. Sie können jedoch neue Beacons für neue Felder hinzufügen, die Sie Ihrem Datensatz hinzufügen.
Um eine durchsuchbare Verschlüsselung zu implementieren, müssen Sie den AWS KMShierarchischen Schlüsselbund verwenden, um die Datenschlüssel zu generieren, zu verschlüsseln und zu entschlüsseln, die zum Schutz Ihrer Datensätze verwendet werden. Weitere Informationen finden Sie unter Verwendung des hierarchischen Schlüsselbunds für durchsuchbare Verschlüsselung.
Bevor Sie Beacons für durchsuchbare Verschlüsselung konfigurieren können, müssen Sie Ihre Verschlüsselungsanforderungen, Datenbankzugriffsmuster und Ihr Bedrohungsmodell überprüfen, um die beste Lösung für Ihre Datenbank zu ermitteln.
Der Typ des Beacons, den Sie konfigurieren, bestimmt die Art der Abfragen, die Sie ausführen können. Die Beacon-Länge, die Sie in der Standard-Beacon-Konfiguration angeben, bestimmt die erwartete Anzahl von Fehlalarmen, die für ein bestimmtes Beacon erzeugt werden. Wir empfehlen dringend, die Arten von Abfragen, die Sie durchführen müssen, zu identifizieren und zu planen, bevor Sie Ihre Beacons konfigurieren. Sobald Sie ein Beacon verwendet haben, kann die Konfiguration nicht mehr aktualisiert werden.
Wir empfehlen Ihnen dringend, die folgenden Aufgaben zu überprüfen und abzuschließen, bevor Sie Beacons konfigurieren.
Beachten Sie bei der Planung der durchsuchbaren Verschlüsselungslösung für Ihre Datenbank die folgenden Anforderungen an die Einzigartigkeit von Beacons.
-
Jedes Standard-Beacon muss über eine einzigartige Beacon-Quelle verfügen
Mehrere Standard-Beacons können nicht aus demselben verschlüsselten oder virtuellen Feld erstellt werden.
Ein einzelnes Standard-Beacon kann jedoch verwendet werden, um mehrere zusammengesetzte Beacons zu konstruieren.
-
Vermeiden Sie es, ein virtuelles Feld mit Quellfeldern zu erstellen, die sich mit vorhandenen Standard-Beacons überschneiden
Die Konstruktion eines Standard-Beacons aus einem virtuellen Feld, das ein Quellfeld enthält, das zur Erstellung eines weiteren Standard-Beacons verwendet wurde, kann die Sicherheit beider Beacons verringern.
Weitere Informationen finden Sie unter Sicherheitsüberlegungen für virtuelle Felder.
Überlegungen zu Datenbanken mit mehreren Mandanten
Um Beacons abzufragen, die in einer Datenbank mit mehreren Mandanten konfiguriert sind, müssen Sie das Feld, in dem der dem Mandanten branch-key-id zugeordnete Datensatz gespeichert ist, der den Datensatz verschlüsselt hat, in Ihre Abfrage aufnehmen. Sie definieren dieses Feld, wenn Sie die Beacon-Schlüsselquelle definieren. Damit die Abfrage erfolgreich ist, muss der Wert in diesem Feld die entsprechenden Beacon-Schlüsselmaterialien identifizieren, die für die Neuberechnung des Beacons erforderlich sind.
Bevor Sie Ihre Beacons konfigurieren, müssen Sie entscheiden, wie Sie sie branch-key-id in Ihre Abfragen einbeziehen möchten. Weitere Informationen zu den verschiedenen Möglichkeiten, wie Sie das branch-key-id in Ihre Abfragen einbeziehen können, finden Sie unterAbfragen von Beacons in einer mandantenfähigen Datenbank.
