. NETexemples - AWS Chiffrement des bases SDK
Utilisation du chiffrement de base de AWS données de bas niveau SDK pour DynamoDB APIUtiliser le niveau inférieur DynamoDbItemEncryptor

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

. NETexemples

Les exemples suivants vous montrent comment utiliser le. NETbibliothèque de chiffrement côté client pour DynamoDB afin de protéger les éléments de table de votre application. Pour trouver d'autres exemples (et apporter les vôtres), consultez le. NETexemples dans le référentiel aws-database-encryption-sdk -dynamodb sur. GitHub

Les exemples suivants montrent comment configurer le. NETbibliothèque de chiffrement côté client pour DynamoDB dans une nouvelle table Amazon DynamoDB non remplie. Si vous souhaitez configurer vos tables Amazon DynamoDB existantes pour le chiffrement côté client, consultez. Ajouter la version 3.x à une table existante

Utilisation du chiffrement de base de AWS données de bas niveau SDK pour DynamoDB API

L'exemple suivant montre comment utiliser le chiffrement de AWS base de données de bas niveau SDK pour API DynamoDB avec AWS KMS un jeu de clés afin de chiffrer et de signer automatiquement des éléments côté client avec vos demandes DynamoDB. PutItem

Vous pouvez utiliser n'importe quel porte-clés compatible, mais nous vous recommandons d'utiliser l'un des AWS KMS porte-clés dans la mesure du possible.

Voir l'exemple de code complet : BasicPutGetExample.cs

Étape 1 : Création du AWS KMS porte-clés

L'exemple suivant permet de CreateAwsKmsMrkMultiKeyring créer un AWS KMS trousseau de clés avec une clé de chiffrement KMS symétrique. Le CreateAwsKmsMrkMultiKeyring procédé garantit que le trousseau de clés gère correctement les clés à région unique et à régions multiples.

var matProv = new MaterialProviders(new MaterialProvidersConfig());
var keyringInput = new CreateAwsKmsMrkMultiKeyringInput { Generator = kmsKeyId };
var kmsKeyring = matProv.CreateAwsKmsMrkMultiKeyring(keyringInput);
Étape 2 : configurer les actions de vos attributs

L'exemple suivant définit un attributeActionsOnEncrypt dictionnaire qui représente des exemples d'actions attributaires pour un élément de table.

Note

L'exemple suivant ne définit aucun attribut en tant queSIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT. Si vous spécifiez des SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT attributs, les attributs de partition et de tri doivent également l'êtreSIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT.

var attributeActionsOnEncrypt = new Dictionary<string, CryptoAction>
{
    ["partition_key"] = CryptoAction.SIGN_ONLY, // The partition attribute must be SIGN_ONLY
    ["sort_key"] = CryptoAction.SIGN_ONLY, // The sort attribute must be SIGN_ONLY
    ["attribute1"] = CryptoAction.ENCRYPT_AND_SIGN,
    ["attribute2"] = CryptoAction.SIGN_ONLY,
    [":attribute3"] = CryptoAction.DO_NOTHING
};
Étape 3 : définir les attributs exclus des signatures

L'exemple suivant suppose que tous les DO_NOTHING attributs partagent le préfixe distinct : « » et utilise le préfixe pour définir les attributs non signés autorisés. Le client suppose que tout nom d'attribut avec le préfixe : « » est exclu des signatures. Pour de plus amples informations, veuillez consulter Allowed unsigned attributes.

const String unsignAttrPrefix = ":";
Étape 4 : définir la configuration du chiffrement des tables DynamoDB

L'exemple suivant définit une tableConfigs carte qui représente la configuration de chiffrement pour cette table DynamoDB.

Cet exemple indique le nom de la table DynamoDB comme nom de table logique. Nous vous recommandons vivement de spécifier le nom de votre table DynamoDB comme nom de table logique lorsque vous définissez votre configuration de chiffrement pour la première fois. Pour de plus amples informations, veuillez consulter Configuration du chiffrement dans le chiffrement de AWS base de données SDK pour DynamoDB.

Note

Pour utiliser le chiffrement consultable ou les balises signées, vous devez également les inclure SearchConfigdans votre configuration de chiffrement.

Dictionary<String, DynamoDbTableEncryptionConfig> tableConfigs =
    new Dictionary<String, DynamoDbTableEncryptionConfig>();
DynamoDbTableEncryptionConfig config = new DynamoDbTableEncryptionConfig
{
    LogicalTableName = ddbTableName,
    PartitionKeyName = "partition_key",
    SortKeyName = "sort_key",
    AttributeActionsOnEncrypt = attributeActionsOnEncrypt,
    Keyring = kmsKeyring,
    AllowedUnsignedAttributePrefix = unsignAttrPrefix
};
tableConfigs.Add(ddbTableName, config);
Étape 5 : créer un nouveau client AWS SDK DynamoDB

L'exemple suivant crée un nouveau client AWS SDK DynamoDB à l'aide de TableEncryptionConfigs l'étape 4.

var ddb = new Client.DynamoDbClient(
    new DynamoDbTablesEncryptionConfig { TableEncryptionConfigs = tableConfigs });
Étape 6 : Chiffrer et signer un élément de table DynamoDB

L'exemple suivant définit un item dictionnaire qui représente un exemple d'élément de table et place cet élément dans la table DynamoDB. L'élément est chiffré et signé côté client avant d'être envoyé à DynamoDB.

var item = new Dictionary<String, AttributeValue>
{
    ["partition_key"] = new AttributeValue("BasicPutGetExample"),
    ["sort_key"] = new AttributeValue { N = "0" },
    ["attribute1"] = new AttributeValue("encrypt and sign me!"),
    ["attribute2"] = new AttributeValue("sign me!"),
    [":attribute3"] = new AttributeValue("ignore me!")
};

PutItemRequest putRequest = new PutItemRequest
{
    TableName = ddbTableName,
    Item = item
};

PutItemResponse putResponse = await ddb.PutItemAsync(putRequest);
Afficher plusAfficher moins

Utiliser le niveau inférieur DynamoDbItemEncryptor

L'exemple suivant montre comment utiliser le niveau inférieur DynamoDbItemEncryptor avec un AWS KMS trousseau de clés pour chiffrer et signer directement des éléments de table. L'élément DynamoDbItemEncryptor n'est pas placé dans votre table DynamoDB.

Vous pouvez utiliser n'importe quel trousseau de clés compatible avec le client DynamoDB amélioré, mais nous vous recommandons d'utiliser l'un des trousseaux de clés dans la mesure du AWS KMS possible.

Note

Le niveau inférieur DynamoDbItemEncryptor ne prend pas en charge le chiffrement consultable. Utilisez le chiffrement de AWS base de données de bas niveau SDK pour API DynamoDB afin d'utiliser le chiffrement consultable.

Voir l'exemple de code complet : ItemEncryptDecryptExample.cs

Étape 1 : Création du AWS KMS porte-clés

L'exemple suivant permet de CreateAwsKmsMrkMultiKeyring créer un AWS KMS trousseau de clés avec une clé de chiffrement KMS symétrique. Le CreateAwsKmsMrkMultiKeyring procédé garantit que le trousseau de clés gère correctement les clés à région unique et à régions multiples.

var matProv = new MaterialProviders(new MaterialProvidersConfig());
var keyringInput = new CreateAwsKmsMrkMultiKeyringInput { Generator = kmsKeyId };
var kmsKeyring = matProv.CreateAwsKmsMrkMultiKeyring(keyringInput);
Étape 2 : configurer les actions de vos attributs

L'exemple suivant définit un attributeActionsOnEncrypt dictionnaire qui représente des exemples d'actions attributaires pour un élément de table.

Note

L'exemple suivant ne définit aucun attribut en tant queSIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT. Si vous spécifiez des SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT attributs, les attributs de partition et de tri doivent également l'êtreSIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT.

var attributeActionsOnEncrypt = new Dictionary<String, CryptoAction>
{
    ["partition_key"] = CryptoAction.SIGN_ONLY, // The partition attribute must be SIGN_ONLY
    ["sort_key"] = CryptoAction.SIGN_ONLY, // The sort attribute must be SIGN_ONLY
    ["attribute1"] = CryptoAction.ENCRYPT_AND_SIGN,
    ["attribute2"] = CryptoAction.SIGN_ONLY,
    [":attribute3"] = CryptoAction.DO_NOTHING
};
Étape 3 : définir les attributs exclus des signatures

L'exemple suivant suppose que tous les DO_NOTHING attributs partagent le préfixe distinct : « » et utilise le préfixe pour définir les attributs non signés autorisés. Le client suppose que tout nom d'attribut avec le préfixe : « » est exclu des signatures. Pour de plus amples informations, veuillez consulter Allowed unsigned attributes.

String unsignAttrPrefix = ":";
Étape 4 : Définition de la DynamoDbItemEncryptor configuration

L'exemple suivant définit la configuration deDynamoDbItemEncryptor.

Cet exemple indique le nom de la table DynamoDB comme nom de table logique. Nous vous recommandons vivement de spécifier le nom de votre table DynamoDB comme nom de table logique lorsque vous définissez votre configuration de chiffrement pour la première fois. Pour de plus amples informations, veuillez consulter Configuration du chiffrement dans le chiffrement de AWS base de données SDK pour DynamoDB.

var config = new DynamoDbItemEncryptorConfig
{
    LogicalTableName = ddbTableName,
    PartitionKeyName = "partition_key",
    SortKeyName = "sort_key",
    AttributeActionsOnEncrypt = attributeActionsOnEncrypt,
    Keyring = kmsKeyring,
    AllowedUnsignedAttributePrefix = unsignAttrPrefix
};
Étape 5 : Création du DynamoDbItemEncryptor

L'exemple suivant en crée un nouveau à DynamoDbItemEncryptor l'aide de l'étape 4 config à partir de l'étape 4.

var itemEncryptor = new DynamoDbItemEncryptor(config);
Étape 6 : Chiffrer et signer directement un élément du tableau

L'exemple suivant chiffre et signe directement un élément à l'aide duDynamoDbItemEncryptor. L'élément DynamoDbItemEncryptor n'est pas placé dans votre table DynamoDB.

var originalItem = new Dictionary<String, AttributeValue>
{
    ["partition_key"] = new AttributeValue("ItemEncryptDecryptExample"),
    ["sort_key"] = new AttributeValue { N = "0" },
    ["attribute1"] = new AttributeValue("encrypt and sign me!"),
    ["attribute2"] = new AttributeValue("sign me!"),
    [":attribute3"] = new AttributeValue("ignore me!")
};

var encryptedItem = itemEncryptor.EncryptItem(
    new EncryptItemInput { PlaintextItem = originalItem }
).EncryptedItem;
Afficher plusAfficher moins