Utilizzo del AWS Database Encryption SDK con AWS KMS - AWS Crittografia database SDK

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo del AWS Database Encryption SDK con AWS KMS

La nostra libreria di crittografia lato client è stata rinominata AWS Database Encryption SDK. Questa guida per gli sviluppatori fornisce comunque informazioni sul client di crittografia DynamoDB.

Per utilizzare AWS Database Encryption SDK, è necessario configurare un portachiavi e specificare una o più chiavi di wrapping. Se non un'infrastruttura di chiavi non è disponibile, consigliamo di utilizzare AWS Key Management Service (AWS KMS).

Il AWS Database Encryption SDK supporta due tipi di AWS KMS portachiavi. Il tradizionale AWS KMSportachiavi viene utilizzato AWS KMS keysper generare, crittografare e decrittografare le chiavi dati. È possibile utilizzare la crittografia simmetrica (SYMMETRIC_DEFAULT) o le chiavi RSA KMS asimmetriche. Poiché AWS Database Encryption SDK crittografa e firma ogni record con una chiave dati univoca, il AWS KMS portachiavi deve AWS KMS richiedere ogni operazione di crittografia e decrittografia. Per le applicazioni che devono ridurre al minimo il numero di chiamate versoAWS KMS, AWS Database Encryption SDK supporta anche il portachiavi AWS KMSgerarchico. Il portachiavi gerarchico è una soluzione di memorizzazione nella cache dei materiali crittografici che riduce il numero di AWS KMS chiamate utilizzando chiavi di derivazione AWS KMS protette conservate in una tabella Amazon DynamoDB e quindi memorizzando nella cache locale i materiali delle chiavi di diramazione utilizzati nelle operazioni di crittografia e decrittografia. Si consiglia di utilizzare i AWS KMS portachiavi ogni volta che è possibile.

Per interagire conAWS KMS, AWS Database Encryption SDK richiede il AWS KMS modulo di. AWS SDK for Java

Per prepararsi a utilizzare il AWS Database Encryption SDK con AWS KMS

  1. Creazione di un Account AWS Per ulteriori informazioni, vedi Come posso creare e attivare un nuovo account Amazon Web Services? nel AWS Knowledge Center.

  2. Crea una crittografia simmetrica. AWS KMS key Per assistenza, consulta Creazione di chiavi nella Guida per gli AWS Key Management Service sviluppatori.

    Suggerimento

    Per utilizzare a livello di AWS KMS key programmazione, è necessario l'Amazon Resource Name (ARN) di. AWS KMS key Per assistenza nell'individuazione dell'ARN di un codiceAWS KMS key, consulta Individuazione dell'ID chiave e dell'ARN nella Guida per gli AWS Key Management Servicesviluppatori.

  3. Genera un ID chiave di accesso e una chiave di accesso di sicurezza. Puoi utilizzare l'ID della chiave di accesso e la chiave di accesso segreta per un utente IAM oppure puoi utilizzarli per AWS Security Token Service creare una nuova sessione con credenziali di sicurezza temporanee che includono un ID chiave di accesso, una chiave di accesso segreta e un token di sessione. Come best practice di sicurezza, ti consigliamo di utilizzare credenziali temporanee anziché le credenziali a lungo termine associate ai tuoi account utente IAM o utente AWS (root).

    Per creare un utente IAM con una chiave di accesso, consulta Creating IAM Users nella IAM User Guide.

    Per generare credenziali di sicurezza temporanee, consulta Richiesta di credenziali di sicurezza temporanee nella Guida per l'utente IAM.

  4. Imposta AWS le tue credenziali utilizzando le istruzioni contenute nell'AWS SDK for JavaID della chiave di accesso e nella chiave di accesso segreta che hai generato nel passaggio 3. Se hai generato credenziali temporanee, dovrai anche specificare il token di sessione.

    Questa procedura consente al SDK AWS di firmare le richieste ad AWS per te. Gli esempi di codice nel AWS Database Encryption SDK con cui interagisci AWS KMS presuppongono che tu abbia completato questo passaggio.