Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gantungan kunci

Enkripsi AWS Database SDK menggunakan keyrings untuk melakukan enkripsi amplop. Keyrings menghasilkan, mengenkripsi, dan mendekripsi kunci data. Keyrings menentukan sumber kunci data unik yang melindungi setiap catatan terenkripsi, dan kunci pembungkus yang mengenkripsi kunci data tersebut. Anda menentukan keyring saat mengenkripsi dan keyring yang sama atau berbeda saat mendekripsi.

Anda dapat menggunakan setiap keyring satu per satu atau menggabungkan keyrings menjadi multi-keyring. Meskipun sebagian besar keyrings dapat menghasilkan, mengenkripsi, dan mendekripsi kunci data, Anda dapat membuat keyring yang hanya melakukan satu operasi tertentu, seperti keyring yang hanya menghasilkan kunci data, dan menggunakan keyring tersebut dalam kombinasi dengan yang lain.

Kami menyarankan Anda menggunakan keyring yang melindungi kunci pembungkus Anda dan melakukan operasi kriptografi dalam batas aman, seperti AWS KMS keyring, yang menggunakan AWS KMS keys yang tidak pernah meninggalkan () tidak terenkripsi. AWS Key Management ServiceAWS KMS Anda juga dapat menulis keyring yang menggunakan kunci pembungkus yang disimpan dalam modul keamanan perangkat keras Anda (HSMs) atau dilindungi oleh layanan kunci utama lainnya.

Keyring Anda menentukan kunci pembungkus yang melindungi kunci data Anda, dan akhirnya, data Anda. Gunakan kunci pembungkus paling aman yang praktis untuk tugas Anda. Bila memungkinkan gunakan kunci pembungkus yang dilindungi oleh modul keamanan perangkat keras (HSM) atau infrastruktur manajemen kunci, seperti KMS kunci in AWS Key Management Service(AWS KMS) atau kunci enkripsi di AWS CloudHSM.

Enkripsi AWS Database SDK menyediakan beberapa konfigurasi keyrings dan keyring, dan Anda dapat membuat keyring kustom Anda sendiri. Anda juga dapat membuat multi-keyring yang menyertakan satu atau lebih gantungan kunci dari jenis yang sama atau berbeda.

Cara kerja gantungan kunci

Saat Anda mengenkripsi dan menandatangani bidang di database Anda, Enkripsi AWS Database SDK meminta keyring untuk materi enkripsi. Keyring mengembalikan kunci data plaintext, salinan kunci data yang dienkripsi oleh masing-masing kunci pembungkus di keyring, dan kunci yang terkait dengan MAC kunci data. Enkripsi AWS Database SDK menggunakan kunci plaintext untuk mengenkripsi data, dan kemudian menghapus kunci data plaintext dari memori sesegera mungkin. Kemudian, Enkripsi AWS Database SDK menambahkan deskripsi material yang mencakup kunci data terenkripsi dan informasi lainnya, seperti enkripsi dan instruksi penandatanganan. Enkripsi AWS Database SDK menggunakan MAC kunci untuk menghitung Kode Otentikasi Pesan Berbasis Hash (HMACs) melalui kanonikalisasi deskripsi materi dan semua bidang yang ditandai atau. ENCRYPT_AND_SIGN SIGN_ONLY

Saat mendekripsi data, Anda dapat menggunakan keyring yang sama dengan yang Anda gunakan untuk mengenkripsi data, atau yang lain. Untuk mendekripsi data, keyring dekripsi harus memiliki akses ke setidaknya satu kunci pembungkus di keyring enkripsi.

Enkripsi AWS Database SDK meneruskan kunci data terenkripsi dari deskripsi material ke keyring, dan meminta keyring untuk mendekripsi salah satu dari mereka. Keyring menggunakan kunci pembungkusnya untuk mendekripsi salah satu kunci data terenkripsi dan mengembalikan kunci data plaintext. Enkripsi AWS Database SDK menggunakan kunci data plaintext untuk mendekripsi data. Jika tidak ada kunci pembungkus di keyring yang dapat mendekripsi salah satu kunci data terenkripsi, operasi dekripsi gagal.

Anda dapat menggunakan keyring tunggal atau juga menggabungkan keyrings dari jenis yang sama atau jenis yang berbeda ke dalam multi-keyring. Saat Anda mengenkripsi data, multi-keyring mengembalikan salinan kunci data yang dienkripsi oleh semua kunci pembungkus di semua keyring yang terdiri dari multi-keyring dan kunci yang terkait dengan kunci data. MAC Anda dapat mendekripsi data menggunakan keyring dengan salah satu tombol pembungkus di multi-keyring.