Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurare una tabella DynamoDB esistente per utilizzare la crittografia AWS del database per DynamoDB SDK
| La nostra libreria di crittografia lato client è stata rinominata Database Encryption. AWS SDK Questa guida per sviluppatori fornisce ancora informazioni sul DynamoDB Encryption Client. |
Con la versione 3. x della libreria di crittografia lato client Java per DynamoDB, puoi configurare le tabelle Amazon DynamoDB esistenti per la crittografia lato client. Questo argomento fornisce indicazioni sui tre passaggi da eseguire per aggiungere la versione 3. x su una tabella DynamoDB esistente e popolata.
Prerequisiti
Versione 3. x della libreria di crittografia lato client Java per DynamoDB richiede il DynamoDB Enhanced Client fornito in. AWS SDK for Java 2.x Se si utilizza ancora il D ynamoDBMapper, è necessario effettuare la migrazione per AWS SDK for Java 2.x utilizzare il DynamoDB Enhanced Client.
Segui le istruzioni per la migrazione dalla versione 1.x alla 2.x di. AWS SDK for Java
Quindi, segui le istruzioni per iniziare a utilizzare il DynamoDB Enhanced Client. API
Prima di configurare la tabella per utilizzare la libreria di crittografia lato client Java per DynamoDB, è necessario generare una classe di dati TableSchemacon annotazioni e creare un client avanzato.
Fase 1: Prepararsi a leggere e scrivere elementi crittografati
Completa i seguenti passaggi per preparare il SDK client di crittografia del AWS database alla lettura e alla scrittura di elementi crittografati. Dopo aver implementato le seguenti modifiche, il client continuerà a leggere e scrivere elementi in testo non crittografato. Non crittograferà né firmerà i nuovi elementi scritti nella tabella, ma sarà in grado di decrittografare gli elementi crittografati non appena vengono visualizzati. Queste modifiche preparano il client a iniziare a crittografare nuovi elementi. Le seguenti modifiche devono essere implementate su ciascun lettore prima di procedere al passaggio successivo.
- 1. Definite le azioni relative agli attributi
-
Aggiorna la tua classe di dati annotata per includere azioni di attributo che definiscono quali valori degli attributi saranno crittografati e firmati, quali saranno solo firmati e quali verranno ignorati.
Consulta il SimpleClassfile.java
nel repository aws-database-encryption-sdk -dynamodb GitHub per ulteriori informazioni sulle annotazioni di DynamoDB Enhanced Client. Per impostazione predefinita, gli attributi della chiave primaria sono firmati ma non crittografati (
SIGN_ONLY) e tutti gli altri attributi sono crittografati e firmati ().ENCRYPT_AND_SIGNPer specificare le eccezioni, utilizzate le annotazioni di crittografia definite nella libreria di crittografia lato client Java per DynamoDB. Ad esempio, se vuoi che un particolare attributo sia solo segno, usa l'annotazione.@DynamoDbEncryptionSignOnlySe desideri che un particolare attributo sia firmato e incluso nel contesto di crittografia, usa l'@DynamoDbEncryptionSignAndIncludeInEncryptionContextannotazione. Se vuoi che un particolare attributo non sia né firmato né crittografato (DO_NOTHING), usa l'@DynamoDbEncryptionDoNothingannotazione.Nota
Se specificate degli
SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXTattributi, devono esserlo anche gli attributi di partizione e ordinamento.SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXTPer un esempio che mostra le annotazioni utilizzate per definireSIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT, vedete SimpleClass 4.java.Per esempio annotazioni, vedere. Utilizza una classe di dati annotata
- 2. Definire quali attributi verranno esclusi dalle firme
-
L'esempio seguente presuppone che tutti
DO_NOTHINGgli attributi condividano il prefisso distinto ":«e utilizza il prefisso per definire gli attributi non firmati consentiti. Il client presumerà che qualsiasi nome di attributo con il prefisso ":" sia escluso dalle firme. Per ulteriori informazioni, consulta Allowed unsigned attributes.final String unsignedAttrPrefix = ":"; - 3. Crea un portachiavi
-
L'esempio seguente crea un AWS KMS portachiavi. Il AWS KMS portachiavi utilizza la crittografia simmetrica o asimmetrica RSA AWS KMS keys per generare, crittografare e decrittografare le chiavi di dati.
Questo esempio utilizza per creare un portachiavi con una chiave di crittografia
CreateMrkMultiKeyringsimmetrica. AWS KMS KMS IlCreateAwsKmsMrkMultiKeyringmetodo garantisce che il portachiavi gestisca correttamente sia le chiavi a regione singola che quelle a più regioni.final MaterialProviders matProv = MaterialProviders.builder() .MaterialProvidersConfig(MaterialProvidersConfig.builder().build()) .build(); final CreateAwsKmsMrkMultiKeyringInput keyringInput = CreateAwsKmsMrkMultiKeyringInput.builder() .generator(kmsKeyId) .build(); final IKeyring kmsKeyring = matProv.CreateAwsKmsMrkMultiKeyring(keyringInput); - 4. Definire la configurazione di crittografia delle tabelle DynamoDB
-
L'esempio seguente definisce una
tableConfigsmappa che rappresenta la configurazione di crittografia per questa tabella DynamoDB.Questo esempio specifica il nome della tabella DynamoDB come nome della tabella logica. Consigliamo vivamente di specificare il nome della tabella DynamoDB come nome della tabella logica quando si definisce per la prima volta la configurazione di crittografia. Per ulteriori informazioni, consulta Configurazione della crittografia in AWS Database Encryption SDK for DynamoDB.
È necessario specificare
FORCE_WRITE_PLAINTEXT_ALLOW_READ_PLAINTEXTcome override in testo semplice. Questa politica continua a leggere e scrivere elementi in testo non crittografato, legge elementi crittografati e prepara il client a scrivere elementi crittografati.final Map<String, DynamoDbTableEncryptionConfig> tableConfigs = new HashMap<>(); final DynamoDbTableEncryptionConfig config = DynamoDbTableEncryptionConfig.builder() .logicalTableName(ddbTableName) .partitionKeyName("partition_key") .sortKeyName("sort_key") .schemaOnEncrypt(tableSchema) .keyring(kmsKeyring) .allowedUnsignedAttributePrefix(unsignedAttrPrefix) .plaintextOverride(PlaintextOverride.FORCE_WRITE_PLAINTEXT_ALLOW_READ_PLAINTEXT) .build(); tableConfigs.put(ddbTableName, config); - 5. Creazione del
DynamoDbEncryptionInterceptor -
L'esempio seguente crea l'
DynamoDbEncryptionInterceptorutilizzo del dal passaggio 3.tableConfigsDynamoDbEncryptionInterceptor interceptor = DynamoDbEncryptionInterceptor.builder() .config(DynamoDbTablesEncryptionConfig.builder() .tableEncryptionConfigs(tableConfigs) .build()) .build();
Fase 2: Scrivere elementi crittografati e firmati
Aggiorna la politica del testo in chiaro nella tua DynamoDbEncryptionInterceptor configurazione per consentire al client di scrivere elementi crittografati e firmati. Dopo aver implementato la seguente modifica, il client crittograferà e firmerà i nuovi elementi in base alle azioni degli attributi configurate nel passaggio 1. Il client sarà in grado di leggere elementi in testo semplice e elementi crittografati e firmati.
Prima di procedere alla Fase 3, è necessario crittografare e firmare tutti gli elementi di testo in chiaro esistenti nella tabella. Non è possibile eseguire alcuna metrica o query per crittografare rapidamente gli elementi di testo in chiaro esistenti. Utilizzate il processo più adatto al vostro sistema. Ad esempio, è possibile utilizzare un processo asincrono che scansiona lentamente la tabella e quindi riscrive gli elementi utilizzando le azioni degli attributi e la configurazione di crittografia definite. Per identificare gli elementi di testo in chiaro nella tabella, consigliamo di cercare tutti gli elementi che non contengono gli aws_dbe_foot attributi aws_dbe_head e che la crittografia del AWS database SDK aggiunge agli elementi quando sono crittografati e firmati.
L'esempio seguente aggiorna la configurazione di crittografia della tabella dal passaggio 1. È necessario aggiornare l'override del testo in chiaro con. FORBID_WRITE_PLAINTEXT_ALLOW_READ_PLAINTEXT Questo criterio continua a leggere gli elementi di testo in chiaro, ma legge e scrive anche gli elementi crittografati. Creane uno nuovo DynamoDbEncryptionInterceptor utilizzando quello aggiornato. tableConfigs
final Map<String, DynamoDbTableEncryptionConfig> tableConfigs = new HashMap<>(); final DynamoDbTableEncryptionConfig config = DynamoDbTableEncryptionConfig.builder() .logicalTableName(ddbTableName) .partitionKeyName("partition_key") .sortKeyName("sort_key") .schemaOnEncrypt(tableSchema) .keyring(kmsKeyring) .allowedUnsignedAttributePrefix(unsignedAttrPrefix) .plaintextOverride(PlaintextOverride.FORBID_WRITE_PLAINTEXT_ALLOW_READ_PLAINTEXT) .build(); tableConfigs.put(ddbTableName, config);
Passaggio 3: Leggi solo gli elementi crittografati e firmati
Dopo aver crittografato e firmato tutti gli articoli, aggiorna l'override del testo in chiaro nella DynamoDbEncryptionInterceptor configurazione per consentire al client di leggere e scrivere solo gli elementi crittografati e firmati. Dopo aver implementato la seguente modifica, il client crittograferà e firmerà i nuovi elementi in base alle azioni degli attributi configurate nel passaggio 1. Il client sarà in grado di leggere solo gli elementi crittografati e firmati.
L'esempio seguente aggiorna la configurazione di crittografia delle tabelle dal passaggio 2. È possibile aggiornare l'override del testo in chiaro con FORBID_WRITE_PLAINTEXT_FORBID_READ_PLAINTEXT o rimuovere la politica del testo in chiaro dalla configurazione. Per impostazione predefinita, il client legge e scrive solo elementi crittografati e firmati. Creane uno nuovo DynamoDbEncryptionInterceptor utilizzando quello aggiornatotableConfigs.
final Map<String, DynamoDbTableEncryptionConfig> tableConfigs = new HashMap<>(); final DynamoDbTableEncryptionConfig config = DynamoDbTableEncryptionConfig.builder() .logicalTableName(ddbTableName) .partitionKeyName("partition_key") .sortKeyName("sort_key") .schemaOnEncrypt(tableSchema) .keyring(kmsKeyring) .allowedUnsignedAttributePrefix(unsignedAttrPrefix) // Optional: you can also remove the plaintext policy from your configuration .plaintextOverride(PlaintextOverride.FORBID_WRITE_PLAINTEXT_FORBID_READ_PLAINTEXT) .build(); tableConfigs.put(ddbTableName, config);
