Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Planificación de balizas
Se cambió el nombre de nuestra biblioteca de cifrado del lado del cliente por el de SDK de cifrado de AWS bases de datos. En esta guía para desarrolladores, se sigue proporcionando información sobre el cliente de cifrado de DynamoDB. |
Las balizas están diseñadas para su implementación en bases de datos nuevas y despobladas. Cualquier baliza configurada en una base de datos existente solo mapeará los nuevos registros escritos en la base de datos. Las balizas se calculan a partir del valor de texto no cifrado de un campo. Una vez cifrado el campo, la baliza no tiene forma de mapear los datos existentes. Una vez que haya escrito nuevos registros con una baliza, no puede actualizar la configuración de la baliza. Sin embargo, puede agregar balizas nuevas para los campos nuevos que agregue a su registro.
Para implementar un cifrado que permita realizar búsquedas, debe usar el conjunto de claves de AWS KMS jerárquico para generar, cifrar y descifrar las claves de datos que se utilizan para proteger sus registros. Para obtener más información, consulte Uso del conjunto de claves jerárquico para el cifrado para búsquedas.
Antes de poder configurar balizas para el cifrado para búsquedas, debe revisar sus requisitos de cifrado, los patrones de acceso a las bases de datos y el modelo de amenazas para determinar cuál es la mejor solución para su base de datos.
El tipo de baliza que configure determina el tipo de consultas que puede realizar. La longitud de la baliza que especifique en la configuración de baliza estándar determina el número esperado de falsos positivos producidos para una baliza determinada. Recomendamos encarecidamente identificar y planificar los tipos de consultas que debe realizar antes de configurar las balizas. Una vez que haya utilizado una baliza, la configuración no se puede actualizar.
Le recomendamos encarecidamente que revise y complete las siguientes tareas antes de configurar cualquier baliza.
Recuerde los siguientes requisitos de exclusividad de las balizas al planificar la solución de cifrado para búsquedas para su base de datos.
-
Cada baliza estándar debe tener una fuente de baliza única
No se pueden construir varias balizas estándar a partir del mismo campo virtual o cifrado.
Sin embargo, se puede usar una única baliza estándar para construir múltiples balizas compuestas.
-
Evite crear un campo virtual con campos de origen que se superpongan con las balizas estándar existentes
La construcción de una baliza estándar a partir de un campo virtual que contiene un campo de origen que se utilizó para crear otra baliza estándar puede reducir la seguridad de ambas balizas.
Para obtener más información, consulte Aspectos de seguridad para campos virtuales.
Consideraciones para bases de datos de multitenencia
Para consultar las balizas configuradas en una base de datos de multitenencia, debe incluir el campo que almacena la branch-key-id
asociada al inquilino que cifró el registro en la consulta. Este campo se define al definir la fuente de la clave de la baliza. Para que la consulta se realice correctamente, el valor de este campo debe identificar los materiales clave de baliza adecuados necesarios para volver a calcular la baliza.
Antes de configurar las balizas, debe decidir cómo las va a incluir branch-key-id
en las consultas. Para obtener más información sobre las diferentes formas en que puede incluirlos branch-key-id
en sus consultas, visite Consulta de balizas en una base de datos de multitenencia.