Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Conjuntos de claves
| Nuestra biblioteca de cifrado del lado del cliente pasó a llamarse Cifrado de bases de AWS datos. SDK En esta guía para desarrolladores, se sigue proporcionando información sobre el cliente de cifrado de DynamoDB. |
El cifrado AWS de bases de datos SDK utiliza anillos de claves para realizar el cifrado de sobres. Los conjuntos de claves generan, cifran y descifran claves de datos. Según el conjunto de claves que se utilice, se determinará el origen de las claves de datos únicas que protegen cada registro cifrado y las claves de encapsulación que cifran dichas claves de datos. Al cifrar especifica un conjunto de claves y al descifrar usa ese mismo conjunto de claves u otro conjunto de claves.
Puede utilizar cada conjunto de claves de forma individual o combinar conjuntos de claves en un conjunto de claves múltiple. Aunque la mayoría de los conjuntos de claves pueden generar, cifrar y descifrar claves de datos, podría crear un conjunto de claves que realice solo una operación particular, por ejemplo, un conjunto de claves que solo genere claves de datos y utilizar dicho conjunto de claves en combinación con otros.
Le recomendamos que utilice un anillo de claves que proteja las claves de empaquetado y realice operaciones criptográficas dentro de un límite seguro, como el anillo de AWS KMS claves, que utiliza AWS KMS keys ese anillo que nunca deja AWS Key Management Service() sin cifrar.AWS KMS También puede crear un conjunto de claves que utilice claves empaquetadoras almacenadas en los módulos de seguridad del hardware (HSMs) o protegidas por otros servicios de claves maestras.
Su conjunto de claves determina las claves de encapsulamiento que protegen sus claves de datos y, en última instancia, sus datos. Utilice las claves de encapsulamiento más seguras que resulten prácticas para su tarea. Siempre que sea posible, utilice claves empaquetadas que estén protegidas por un módulo de seguridad de hardware (HSM) o una infraestructura de administración de claves, como KMS claves in AWS Key Management Service(AWS KMS) o claves de cifrado. AWS CloudHSM
El cifrado AWS de bases de datos SDK proporciona varios llaveros y configuraciones de llaveros, y usted puede crear sus propios llaveros personalizados. También puede crear un conjunto de claves múltiple que incluya uno o más conjuntos de claves del mismo tipo o de uno diferente.
Temas
Cómo funcionan los conjuntos de claves
| Nuestra biblioteca de cifrado del lado del cliente pasó a llamarse Cifrado de bases de AWS datos. SDK En esta guía para desarrolladores, se sigue proporcionando información sobre el cliente de cifrado de DynamoDB. |
Al cifrar y firmar un campo de la base de datos, el cifrado de la base de datos SDK solicita al AWS conjunto de claves los materiales de cifrado. El anillo de claves devuelve una clave de datos de texto simple, una copia de la clave de datos cifrada por cada una de las claves de empaquetado del anillo de claves y una MAC clave asociada a la clave de datos. El cifrado AWS de la base de datos SDK utiliza la clave de texto sin formato para cifrar los datos y, a continuación, elimina la clave de datos de texto sin formato de la memoria lo antes posible. A continuación, el cifrado AWS de la base de datos SDK añade una descripción del material que incluye las claves de datos cifrados y otra información, como las instrucciones de cifrado y firma. El cifrado AWS de la base de datos SDK utiliza la MAC clave para calcular los códigos de autenticación de mensajes basados en hash (HMACs) mediante la canonicalización de la descripción del material y de todos los campos marcados con o. ENCRYPT_AND_SIGN SIGN_ONLY
Al descifrar datos, puede utilizar el mismo conjunto de claves que utilizó para cifrar los datos o uno diferente. Para descifrar los datos, un conjunto de claves de descifrado debe tener acceso al menos una clave de encapsulación del conjunto de claves de cifrado.
El cifrado AWS de la base de datos SDK pasa las claves de datos cifradas de la descripción del material al conjunto de claves y pide al conjunto de claves que descifre cualquiera de ellas. Este utiliza sus claves de encapsulamiento para descifrar una de las claves de datos cifradas y devuelve una clave de datos en texto no cifrado. El cifrado AWS de la base de datos SDK utiliza la clave de datos de texto plano para descifrar los datos. Si ninguna de las claves de encapsulación del conjunto de claves puede descifrar ninguna de las claves de datos cifradas, se producirá un error en la operación de descifrado.
Puede utilizar un único conjunto de claves o además combinar conjuntos de claves del mismo tipo o de un tipo distinto en un conjunto de claves múltiple. Al cifrar los datos, el conjunto de claves múltiples devuelve una copia de la clave de datos cifrada por todas las claves de empaquetado de todos los anillos de claves que componen el conjunto de claves múltiples y una MAC clave asociada a la clave de datos. Puede descifrar los datos utilizando un conjunto de claves configurado con cualquiera de las claves de encapsulamiento del conjunto de claves múltiple.
