cifrado del cliente o del lado del servidor - AWS Cifrado de bases SDK

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

cifrado del cliente o del lado del servidor

Nuestra biblioteca de cifrado del lado del cliente pasó a llamarse AWS Database Encryption. SDK En esta guía para desarrolladores, se sigue proporcionando información sobre el cliente de cifrado de DynamoDB.

El cifrado AWS de bases de datos SDK para DynamoDB admite el cifrado del lado del cliente, en el que se cifran los datos de la tabla antes de enviarlos a la base de datos. Sin embargo, admite una característica de cifrado en reposo que cifra de modo transparente la tabla cuando se almacena en disco y la descifra cuando accede a la tabla.

Las herramientas que elija dependen de la confidencialidad de sus datos y de los requisitos de seguridad de su aplicación. Puede utilizar tanto el cifrado de AWS bases de datos SDK para DynamoDB como el cifrado en reposo. Cuando envía elementos cifrados y firmados a , no reconoce los elementos como protegidos. Detecta elementos de tabla típicos con valores de atributo binario.

Cifrado del lado del servidor en reposo

DynamoDB admite el cifrado en reposo, una característica de cifrado del servidor en la que DynamoDB cifra de modo transparente las tablas cuando la tabla se almacena en disco y las descifra cuando se accede a los datos de la tabla.

Cuando utiliza una AWS SDK para interactuar con DynamoDB, de forma predeterminada, los datos se cifran en tránsito a través de una conexión, se HTTPS descifran en el punto de conexión de DynamoDB y, a continuación, se vuelven a cifrar antes de almacenarlos en DynamoDB.

  • Cifrado de forma predeterminada. DynamoDB cifra y descifra de forma transparente todas las tablas cuando se escriben. No existe la opción de habilitar o deshabilitar el cifrado en reposo.

  • DynamoDB crea y administra las claves criptográficas. La clave única de cada tabla está protegida por un AWS KMS key que nunca se deja AWS Key Management Service (AWS KMS) sin cifrar. De forma predeterminada, DynamoDB utiliza una Clave propiedad de AWS en la cuenta de servicio de DynamoDB, pero puede elegir una Clave administrada de AWS o una clave gestionada por el cliente en su cuenta para proteger algunas o todas sus tablas.

  • Todos los datos de la tabla se cifran en disco. Cuando una tabla cifrada se guarda en disco, cifra todos los datos de la tabla, incluida la clave principal y los índices secundarios locales y globales. Si la tabla tiene una clave de clasificación, algunas de las claves de ordenación que marcan los límites del rango se almacenan en texto no cifrado en los metadatos de la tabla.

  • Los objetos relacionados con las tablas también están cifrados. El cifrado en reposo protege los flujos de , las tablas globales y las copias de seguridad cada vez que se escriben en medios duraderos.

  • Sus elementos se descifran cuando accede a ellos. Cuando accede a la tabla, DynamoDB descifra la parte de la tabla que incluye el elemento de destino y le devuelve el elemento de texto no cifrado.

AWS Cifrado de bases de datos SDK para DynamoDB

El cifrado del lado del cliente proporciona end-to-end protección para los datos, en tránsito y en reposo, desde su origen hasta su almacenamiento en DynamoDB. Sus datos de texto sin formato nunca están expuestos a terceros, ni siquiera a ellos. AWS Puede utilizar el cifrado de AWS bases de datos SDK para DynamoDB con nuevas tablas de DynamoDB o migrar las tablas existentes de Amazon DynamoDB a la versión 3. x de la biblioteca de cifrado del lado del cliente de Java para DynamoDB.

  • Sus datos se protegen en tránsito y en reposo. Nunca está expuesto a ningún tercero, ni siquiera. AWS

  • Puede firmar sus elementos de tabla. Puede ordenar al AWS Database Encryption SDK for DynamoDB que calcule una firma en todo o en parte de un elemento de la tabla, incluidos los atributos de la clave principal. Esta firma permite detectar cambios no autorizados en el elemento en general, incluida la adición o eliminación de atributos o el cambio de valores de atributo.

  • Para determinar cómo se protegen los datos, seleccione un conjunto de claves. Su conjunto de claves determina las claves de encapsulación que protegen sus claves de datos y, en última instancia, sus datos. Utilice las claves de encapsulamiento más seguras que resulten prácticas para su tarea.

  • El cifrado AWS de bases SDK de datos de DynamoDB no cifra toda la tabla. Usted elige qué atributos se cifrarán en sus elementos. El cifrado AWS de bases SDK de datos de DynamoDB no cifra un elemento completo. No cifra nombres de atributo o los nombres o valores de los atributos de clave principal (clave de partición y clave de clasificación).

AWS Encryption SDK

Si va a cifrar los datos que almacena en DynamoDB, le recomendamos el cifrado de AWS bases de datos para DynamoDB. SDK

La AWS Encryption SDK es una biblioteca de cifrado del cliente que le ayuda a cifrar y descifrar datos genéricos. Aunque puede proteger cualquier tipo de datos, no se ha diseñado para funcionar con datos estructurados, como registros de base de datos. A diferencia del cifrado AWS de bases de datos SDK para DynamoDB, AWS Encryption SDK no puede proporcionar comprobaciones de integridad a nivel de elemento y no tiene ninguna lógica para reconocer los atributos o impedir el cifrado de las claves principales.

Si utiliza el AWS Encryption SDK para cifrar algún elemento de la tabla, recuerde que no es compatible con el cifrado de AWS bases de datos de SDK DynamoDB. No puede cifrar con una biblioteca y descifrar con la otra.