Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrement côté client et côté serveur
| Notre bibliothèque de chiffrement côté client a été renommée AWS Database Encryption. SDK Ce guide du développeur fournit toujours des informations sur le client de chiffrement DynamoDB. |
Le chiffrement AWS de base de données SDK pour DynamoDB prend en charge le chiffrement côté client, qui vous permet de chiffrer les données de votre table avant de les envoyer à votre base de données. DynamoDB fournit toutefois une fonctionnalité de chiffrement au repos côté serveur qui chiffre de manière transparente votre table lorsqu'elle est conservée sur le disque et la déchiffre lorsque vous accédez à la table.
Les outils que vous choisissez dépendent de la sensibilité de vos données et des exigences de sécurité de votre application. Vous pouvez utiliser à la fois le chiffrement AWS de base de données SDK pour DynamoDB et le chiffrement au repos. Lorsque vous envoyez des éléments chiffrés et signés à DynamoDB, DynamoDB ne les reconnaît pas comme étant protégés. Il détecte simplement les éléments de table classiques avec ses valeurs d'attribut binaires.
Chiffrement côté serveur au repos
DynamoDB prend en charge le chiffrement au repos, une fonctionnalité de chiffrement côté serveur dans laquelle DynamoDB chiffre de manière transparente vos tables pour vous lorsque celles-ci sont conservées sur le disque, et les déchiffre lorsque vous accédez aux données des tables.
Lorsque vous utilisez un AWS SDK pour interagir avec DynamoDB, par défaut, vos données sont chiffrées en transit sur HTTPS une connexion, déchiffrées au point de terminaison DynamoDB, puis rechiffrées avant d'être stockées dans DynamoDB.
-
Chiffrement par défaut. DynamoDB chiffre et déchiffre de manière transparente toutes les tables lorsqu'elles sont écrites. Aucune option ne permet d'activer ou de désactiver le chiffrement au repos.
-
DynamoDB crée et gère les clés cryptographiques.La clé unique de chaque table est protégée par un code AWS KMS keyqui ne laisse jamais AWS Key Management Service(AWS KMS) non chiffré. Par défaut, DynamoDB utilise une clé intégrée Clé détenue par AWSau service DynamoDB, mais vous pouvez choisir Clé gérée par AWSune clé ou une clé gérée par le client dans votre compte pour protéger certaines ou toutes vos tables.
-
Toutes les données des tables sont cryptées sur le disque.Lorsqu'une table chiffrée est enregistrée sur disque, DynamoDB chiffre toutes les données de la table, y compris la clé primaire et les index secondaires locaux et globaux. Si votre table a une clé de tri, certaines clés de tri qui marquent les limites de plage sont stockées en texte brut dans les métadonnées de la table.
-
Les objets liés aux tables sont également chiffrés. Le chiffrement au repos protège les flux DynamoDB, les tables globales et les sauvegardes chaque fois qu'ils sont écrits sur un support durable.
-
Vos éléments sont déchiffrés lorsque vous y accédez.Lorsque vous accédez à la table, DynamoDB déchiffre la partie de la table qui inclut votre élément cible et vous renvoie l'élément en texte brut.
AWS Chiffrement de base de données SDK pour DynamoDB
Le chiffrement côté client end-to-end protège vos données, en transit et au repos, depuis leur source jusqu'à leur stockage dans DynamoDB. Vos données en texte brut ne sont jamais exposées à des tiers, y compris AWS. Vous pouvez utiliser le chiffrement AWS de base de données SDK pour DynamoDB avec les nouvelles tables DynamoDB, ou vous pouvez migrer vos tables Amazon DynamoDB existantes vers la version 3. x de la bibliothèque de chiffrement côté client Java pour DynamoDB.
-
Vos données sont protégées en transit et au repos. Il n'est jamais exposé à des tiers, y compris AWS.
-
Vous pouvez signer les éléments de vos tables. Vous pouvez demander au chiffrement AWS de base de données SDK pour DynamoDB de calculer une signature sur tout ou partie d'un élément de table, y compris les attributs de clé primaire. Cette signature vous permet de détecter les modifications non autorisées sur l'élément comme un tout, y compris l'ajout ou la suppression d'attributs, ou le remplacement d'une valeur d'attribut par une autre.
-
Vous déterminez comment vos données sont protégées en sélectionnant un trousseau de clés. Votre trousseau de clés détermine les clés d'encapsulation qui protègent vos clés de données et, en fin de compte, vos données. Utilisez les clés d'emballage les plus sûres et les plus pratiques pour votre tâche.
-
Le chiffrement AWS de base de données SDK pour DynamoDB ne chiffre pas l'intégralité de la table. Vous choisissez les attributs qui sont chiffrés dans vos articles. Le chiffrement AWS de base de données SDK pour DynamoDB ne chiffre pas un élément entier. Il ne chiffre pas les noms d'attribut, ou les noms ou valeurs des attributs de clé primaire (clé de partition et clé de tri).
AWS Encryption SDK
Si vous chiffrez des données que vous stockez dans DynamoDB, nous recommandons le chiffrement de AWS base de données pour DynamoDB. SDK
Le kit AWS Encryption SDK est une bibliothèque de chiffrement côté serveur qui vous aide à chiffrer et déchiffrer les données génériques. Même s'il peut protéger tout type de données, il n'est pas conçu pour fonctionner avec des données structurées, comme les enregistrements de base de données. Contrairement au chiffrement AWS de base de données SDK pour DynamoDB, il ne permet pas de vérifier AWS Encryption SDK l'intégrité au niveau des éléments et n'a aucune logique permettant de reconnaître les attributs ou d'empêcher le chiffrement des clés primaires.
Si vous utilisez le AWS Encryption SDK pour chiffrer un élément de votre table, n'oubliez pas qu'il n'est pas compatible avec le chiffrement de AWS base de données SDK pour DynamoDB. Vous ne pouvez pas chiffrer avec une bibliothèque et déchiffrer avec l'autre.
