Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Balises de planification
Notre bibliothèque de chiffrement côté client a été renommée SDK de chiffrement de AWS base de données. Ce guide du développeur fournit toujours des informations sur le client de chiffrement DynamoDB. |
Les balises sont conçues pour être mises en œuvre dans de nouvelles bases de données non peuplées. Toute balise configurée dans une base de données existante ne mappera que les nouveaux enregistrements écrits dans la base de données. Les balises sont calculées à partir de la valeur en texte brut d'un champ. Une fois le champ crypté, il n'est plus possible pour la balise de mapper les données existantes. Une fois que vous avez écrit de nouveaux enregistrements avec une balise, vous ne pouvez pas mettre à jour la configuration de la balise. Cependant, vous pouvez ajouter de nouvelles balises pour les nouveaux champs que vous ajoutez à votre enregistrement.
Pour implémenter le chiffrement consultable, vous devez utiliser le trousseau de clés AWS KMS hiérarchique pour générer, chiffrer et déchiffrer les clés de données utilisées pour protéger vos enregistrements. Pour de plus amples informations, veuillez consulter Utilisation du trousseau de clés hiérarchique pour un chiffrement consultable.
Avant de configurer les balises pour le chiffrement consultable, vous devez passer en revue vos exigences en matière de chiffrement, vos modèles d'accès à la base de données et votre modèle de menace afin de déterminer la meilleure solution pour votre base de données.
Le type de balise que vous configurez détermine le type de requêtes que vous pouvez effectuer. La longueur de balise que vous spécifiez dans la configuration de balise standard détermine le nombre attendu de faux positifs produits pour une balise donnée. Nous vous recommandons vivement d'identifier et de planifier les types de requêtes que vous devez effectuer avant de configurer vos balises. Une fois que vous avez utilisé une balise, la configuration ne peut pas être mise à jour.
Nous vous recommandons vivement de passer en revue et d'effectuer les tâches suivantes avant de configurer des balises.
N'oubliez pas les exigences d'unicité des balises suivantes lorsque vous planifiez la solution de chiffrement consultable pour votre base de données.
-
Chaque balise standard doit avoir une source de balise unique
Il est impossible de créer plusieurs balises standard à partir du même champ crypté ou virtuel.
Cependant, une seule balise standard peut être utilisée pour construire plusieurs balises composées.
-
Évitez de créer un champ virtuel dont les champs source se chevauchent avec les balises standard existantes
La construction d'une balise standard à partir d'un champ virtuel contenant un champ source utilisé pour créer une autre balise standard peut réduire la sécurité des deux balises.
Pour de plus amples informations, veuillez consulter Considérations relatives à la sécurité des champs virtuels.
Considérations relatives aux bases de données mutualisées
Pour interroger les balises configurées dans une base de données mutualisée, vous devez inclure le champ qui stocke le fichier branch-key-id
associé au locataire qui a chiffré l'enregistrement dans votre requête. Vous définissez ce champ lorsque vous définissez la source de la clé de balise. Pour que la requête aboutisse, la valeur de ce champ doit identifier les éléments clés de balise appropriés requis pour recalculer la balise.
Avant de configurer vos balises, vous devez décider de la manière dont vous comptez les inclure branch-key-id
dans vos requêtes. Pour plus d'informations sur les différentes manières dont vous pouvez inclure le branch-key-id
dans vos requêtes, consultezInterrogation de balises dans une base de données mutualisée.