Configurare le azioni del key store - AWS Crittografia database SDK
Configura le azioni del tuo key store

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurare le azioni del key store

Le azioni dell'archivio chiavi determinano quali operazioni possono eseguire gli utenti e in che modo il loro portachiavi AWS KMS gerarchico utilizza KMS le chiavi consentite elencate nell'archivio delle chiavi. La crittografia del AWS database SDK supporta le seguenti configurazioni di operazioni di archiviazione delle chiavi.

Statico

Quando configuri staticamente il tuo key store, il key store può utilizzare solo la KMS chiave associata alla KMS chiave ARN fornita kmsConfiguration durante la configurazione delle azioni del key store. Viene generata un'eccezione se ARN viene rilevata una KMS chiave diversa durante la creazione, il controllo delle versioni o l'acquisizione di una chiave branch.

Puoi specificare una KMS chiave multiregionale nella tuakmsConfiguration, ma l'intera chiave, inclusa la regioneARN, viene mantenuta nelle chiavi di ramo derivate dalla chiave. KMS Non è possibile specificare una chiave in una regione diversa, è necessario fornire esattamente la stessa chiave multiregionale affinché i valori corrispondano.

Quando configuri staticamente le azioni dell'archivio delle chiavi, puoi eseguire operazioni di utilizzo (GetActiveBranchKey,GetBranchKeyVersion,GetBeaconKey) e operazioni amministrative (CreateKeyeVersionKey). CreateKeyè un'operazione privilegiata che può aggiungere una nuova KMS chiave ARN alla lista delle autorizzazioni del key store. Questa KMS chiave può creare nuove chiavi branch attive. Consigliamo di limitare l'accesso a questa operazione perché una volta aggiunta una KMS chiave al key store, non può essere eliminata.

Individuazione

Quando configuri le azioni del tuo archivio chiavi per il rilevamento, il key store può utilizzare tutte AWS KMS key ARN le azioni consentite nell'archivio delle chiavi. Tuttavia, viene generata un'eccezione quando viene rilevata una KMS chiave multiregionale e la regione nella chiave ARN non corrisponde alla regione del AWS KMS client utilizzato.

Quando si configura l'archivio delle chiavi per il rilevamento, non è possibile eseguire operazioni amministrative, come eCreateKey. VersionKey È possibile eseguire solo le operazioni di utilizzo che consentono le operazioni di crittografia, decrittografia, firma e verifica. Per ulteriori informazioni, consulta Implementazione di autorizzazioni con privilegio minimo.

Configura le azioni del tuo key store

Prima di configurare le azioni del tuo key store, assicurati che siano soddisfatti i seguenti prerequisiti.

  • Determinate quali operazioni dovete eseguire. Per ulteriori informazioni, consulta Implementazione di autorizzazioni con privilegio minimo.

  • Scegliete il nome di un archivio di chiavi logiche

    Deve esserci una one-to-one mappatura tra il nome della tabella DynamoDB e il nome dell'archivio delle chiavi logiche. Il nome dell'archivio di chiavi logiche è associato crittograficamente a tutti i dati memorizzati nella tabella per semplificare le operazioni di ripristino di DynamoDB e non può essere modificato dopo essere stato inizialmente definito dal primo utente. È necessario specificare sempre lo stesso nome dell'archivio di chiavi logiche nelle azioni dell'archivio chiavi. Per ulteriori informazioni, consulta logical key store name.

L'esempio seguente configura staticamente le azioni di archiviazione delle chiavi. È necessario specificare il nome della tabella DynamoDB che funge da archivio chiavi, un nome logico per l'archivio chiavi e KMS la chiave che identifica una ARN chiave di crittografia simmetrica. KMS

Nota

Considerate attentamente la KMS chiave specificata durante la ARN configurazione statica del servizio di archiviazione delle chiavi. L'CreateKeyoperazione aggiunge la KMS chiave ARN alla lista consentita dell'archivio delle chiavi della filiale. Una volta aggiunta una KMS chiave all'archivio delle chiavi della filiale, non può essere eliminata.

Java
final KeyStore keystore = KeyStore.builder().KeyStoreConfig(
	                 KeyStoreConfig.builder()
	                         .ddbClient(DynamoDbClient.create())
	                         .ddbTableName(keyStoreName)
	                         .logicalKeyStoreName(logicalKeyStoreName)
	                         .kmsClient(KmsClient.create())
	                         .kmsConfiguration(KMSConfiguration.builder()
	                                 .kmsKeyArn(kmsKeyArn)
	                                 .build())
	                         .build()).build();
C# / .NET
var kmsConfig = new KMSConfiguration { KmsKeyArn = kmsKeyArn };
	 var keystoreConfig = new KeyStoreConfig
	 {
	     KmsClient = new AmazonKeyManagementServiceClient(),
	     KmsConfiguration = kmsConfig,
	     DdbTableName = keyStoreName,
	     DdbClient = new AmazonDynamoDBClient(),
	     LogicalKeyStoreName = logicalKeyStoreName
	 };
	 var keystore = new KeyStore(keystoreConfig);

L'esempio seguente configura le azioni di archiviazione delle chiavi per il rilevamento. È necessario specificare il nome della tabella DynamoDB che funge da archivio chiavi e il nome dell'archivio di chiavi logico.

Java
final KeyStore keystore = KeyStore.builder().KeyStoreConfig(
                 KeyStoreConfig.builder()
                         .ddbClient(DynamoDbClient.create())
                         .ddbTableName(keyStoreName)
                         .logicalKeyStoreName(logicalKeyStoreName)
                         .kmsClient(KmsClient.create())
                         .kmsConfiguration(KMSConfiguration.builder()
                                 .discovery(Discovery.builder().build())
                                 .build())
                         .build()).build();
C# / .NET
var keystoreConfig = new KeyStoreConfig
 {
     KmsClient = new AmazonKeyManagementServiceClient(),
     KmsConfiguration = new KMSConfiguration {Discovery = new Discovery()},
     DdbTableName = keyStoreName,
     DdbClient = new AmazonDynamoDBClient(),
     LogicalKeyStoreName = logicalKeyStoreName
 };
 var keystore = new KeyStore(keystoreConfig);