Penyedia materi kriptografi - AWS Enkripsi Database SDK

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Penyedia materi kriptografi

catatan

Pustaka enkripsi sisi klien kami diubah namanya menjadi SDK Enkripsi AWS Database. Topik berikut memberikan informasi tentang versi 1. x —2. x dari DynamoDB Encryption Client untuk Java dan versi 1. x —3. x dari DynamoDB Encryption Client untuk Python. Untuk informasi selengkapnya, lihat SDK Enkripsi AWS Database untuk dukungan versi DynamoDB.

Salah satu keputusan terpenting yang Anda buat saat menggunakan DynamoDB Encryption Client adalah memilih penyedia bahan kriptografi (CMP). CMP merakit dan mengembalikan bahan kriptografi untuk enkriptor item. Hal ini juga menentukan bagaimana kunci enkripsi dan penandatanganan dihasilkan, apakah bahan kunci baru dihasilkan untuk setiap item atau digunakan kembali, serta algoritma enkripsi dan penandatanganan yang digunakan.

Anda dapat memilih CMP dari implementasi yang disediakan di pustaka DynamoDB Encryption Client atau membangun CMP kustom yang kompatibel. Pilihan CMP Anda mungkin juga tergantung pada bahasa pemrograman yang Anda gunakan.

Topik ini menjelaskan CMP yang paling umum dan menawarkan beberapa saran untuk membantu Anda memilih yang terbaik untuk aplikasi Anda.

Penyedia Bahan KMS Langsung

Penyedia Materi KMS Langsung melindungi item tabel Anda di bawah AWS KMS keyyang tidak pernah meninggalkan AWS Key Management Service(AWS KMS) tidak terenkripsi. Aplikasi Anda tidak harus menghasilkan atau mengelola bahan kriptografi apa pun. Karena menggunakan AWS KMS key untuk menghasilkan enkripsi unik dan kunci penandatanganan untuk setiap item, penyedia ini memanggil AWS KMS setiap kali mengenkripsi atau mendekripsi item.

Jika Anda menggunakan AWS KMS dan satu panggilan AWS KMS per transaksi praktis untuk aplikasi Anda, penyedia ini adalah pilihan yang baik.

Untuk detail selengkapnya, lihat Penyedia Bahan KMS Langsung.

Penyedia Bahan Terbungkus (CMP Terbungkus)

Penyedia Bahan Terbungkus (CMP Terbungkus) memungkinkan Anda menghasilkan dan mengelola kunci pembungkus dan penandatanganan di luar DynamoDB Encryption Client.

CMP Terbungkus menghasilkan kunci enkripsi yang unik untuk setiap item. Kemudian itu menggunakan kunci pembungkus (atau pembuka bungkus) dan penandatanganan yang Anda berikan. Dengan demikian, Anda menentukan bagaimana kunci pembungkus dan penandatanganan dihasilkan dan apakah mereka itu unik untuk setiap item atau digunakan kembali. CMP Terbungkus adalah alternatif yang aman untuk Penyedia KMS Langsung untuk aplikasi yang tidak menggunakan AWS KMS dan dapat dengan aman mengelola bahan kriptografi.

Untuk detail selengkapnya, lihat Penyedia Materi Terbungkus.

Penyedia Terbaru

Penyedia Terbaru adalah penyedia bahan kriptografi (CMP) yang dirancang untuk bekerja dengan toko penyedia. Penyedia ini mendapatkan CMP dari toko penyedia, dan mendapat bahan kriptografi yang kembali dari CMP. Penyedia Terbaru biasanya menggunakan setiap CMP untuk memenuhi beberapa permintaan untuk bahan kriptografi, tetapi Anda dapat menggunakan fitur dari toko penyedia untuk mengendalikan sejauh mana bahan akan digunakan kembali, menentukan seberapa sering CMP dirotasi, dan bahkan mengubah jenis CMP yang digunakan tanpa mengubah Penyedia Terbaru.

Anda dapat menggunakan Penyedia Terbaru dengan toko penyedia yang kompatibel. Klien Enkripsi DynamoDB menyertakanMetaStore, yang merupakan toko penyedia yang mengembalikan Wrapped CMP.

Penyedia Terbaru adalah pilihan yang baik untuk aplikasi yang perlu meminimalkan panggilan ke sumber kriptografi mereka, dan aplikasi yang dapat menggunakan kembali beberapa bahan kriptografi tanpa melanggar persyaratan keamanan mereka. Misalnya, ini memungkinkan Anda untuk melindungi materi kriptografi Anda di bawah AWS KMS keyin AWS Key Management Service(AWS KMS) tanpa menelepon AWS KMS setiap kali Anda mengenkripsi atau mendekripsi item.

Untuk detail selengkapnya, lihat Penyedia Terbaru.

Penyedia Bahan Statis

Penyedia Bahan Statis dirancang untuk pengujian, proof-of-concept demonstrasi, dan kompatibilitas warisan. Penyedia ini tidak menghasilkan bahan kriptografi yang unik untuk setiap item. Ia mengembalikan enkripsi dan kunci penandatanganan yang sama yang Anda berikan, dan kunci-kunci tersebut digunakan langsung untuk mengenkripsi, mendekripsi, dan menandatangani item tabel Anda.

catatan

Penyedia Statis Asimetris di pustaka Java bukan penyedia statis. Penyedia ini hanya memasok konstruktor alternatif untuk CMP Terbungkus. Hal ini aman untuk penggunaan produksi, tetapi Anda harus menggunakan CMP Terbungkus langsung bila memungkinkan.