Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Proveedor de materiales criptográficos
nota
Nuestra biblioteca de cifrado del cliente pasó a llamarse SDK de cifrado de bases de datos de AWS. En el siguiente tema, se presenta información sobre las versiones 1.x—2.x del cliente de cifrado de DynamoDB para Java y versiones 1.x—3.x del cliente de cifrado de DynamoDB para Python. Para obtener más información, consulte el SDK de cifrado de bases de datos de AWS para la compatibilidad de la versión de DynamoDB.
Una de las decisiones más importantes que debe tomar al utilizar el cliente de cifrado de DynamoDB es seleccionar un proveedor de materiales criptográficos (CMP). El CMP combina y devuelve materiales criptográficos al encriptador de elementos. También determina cómo se generan las claves de cifrado y de firma, si se generan nuevos materiales de clave para cada elemento o si se reutilizan, así como los algoritmos de cifrado y de firma que se utilizan.
Puede elegir un CMP para las implementaciones proporcionadas en las bibliotecas del cliente de cifrado de DynamoDB o crear un CMP personalizado compatible. Su opción de CMP también podría depender del lenguaje de programación que utilice.
En este tema se describen los CMP más comunes y se ofrecen algunos consejos para ayudarle a elegir el mejor para su aplicación.
- Proveedor de materiales de KMS directo
El proveedor de materiales de KMS directo protege los elementos de la tabla con un AWS KMS keyque nunca se deja AWS Key Management Service(AWS KMS) sin cifrar. Su aplicación no tiene que generar ni gestionar ningún material criptográfico. Dado que utiliza la AWS KMS key para generar claves de cifrado y de firma únicas para cada elemento, este proveedor llama a AWS KMS cada vez que cifra o descifra un elemento.
Si utiliza AWS KMS y una llamada de AWS KMS por transacción es práctica para su aplicación, este proveedor es una buena opción.
Para obtener más información, consulte Proveedor de materiales de KMS directo.
- Proveedor de materiales encapsulado (CMP encapsulado)
-
El proveedor de materiales encapsulado (CMP encapsulado) permite generar y administrar las claves de encapsulación y de firma desde fuera del cliente de cifrado de DynamoDB.
El CMP encapsulado genera una clave de cifrado única para cada elemento. A continuación utiliza las claves de encapsulación (o desencapsulación) y de firma que suministre. Por tanto, determina cómo se generan las claves de firma y encapsulación y si son únicas para cada elemento o si se reutilizan. El CMP encapsulado es una alternativa segura al proveedor de KMS directo para aplicaciones que no utilizan AWS KMS y puede administrar materiales criptográficos de forma segura.
Para obtener más información, consulte Proveedor de materiales encapsulado.
- Proveedor más reciente
-
El proveedor más reciente es un proveedor de materiales criptográficos (CMP) que se ha diseñado para funcionar con un almacén de proveedores. Obtiene CMP del almacén de proveedores y obtiene los materiales criptográficos que devuelve desde los CMP. El proveedor más reciente normalmente utiliza cada CMP para satisfacer varias solicitudes para materiales criptográficos, pero puede usar las características del almacén de proveedores para controlar hasta qué punto se reutilizan los materiales, determinar la frecuencia con la que se rota su CMP e incluso cambiar el tipo de CMP que se utiliza sin cambiar el proveedor más reciente.
Puede usar el proveedor más reciente con cualquier almacén de proveedores compatible. El cliente de cifrado de DynamoDB incluye un MetaStore, que es un almacén de proveedores que devuelve CMP encapsulados.
El proveedor más reciente es una buena opción para aplicaciones que necesitan minimizar las llamadas a su origen criptográfico y para aplicaciones que pueden reutilizar algunos materiales criptográficos sin infringir sus requisitos de seguridad. Por ejemplo, le permite proteger sus materiales criptográficos con un AWS KMS key en AWS Key Management Service(AWS KMS) sin tener que llamar AWS KMS cada vez que cifra o descifra un elemento.
Para obtener más información, consulte Proveedor más reciente.
- Proveedor de materiales estático
El proveedor de materiales estático se ha diseñado para pruebas, demostraciones de prueba de concepto y compatibilidad heredada. No genera materiales criptográficos únicos para cada elemento. Devuelve las mismas claves de cifrado y firma que suministra y dichas claves se utilizan directamente para cifrar, descifrar y firmar los elementos de tabla.
nota
El Proveedor estático asimétrico
de la biblioteca de Java no es un proveedor estático. Solo suministra constructores alternativos para el CMP encapsulado. Es seguro para uso de producción, pero se debe utilizar directamente el CMP encapsulado siempre que sea posible.