DynamoDB 用の クライアントNET側の暗号化ライブラリの使用 - AWS データベース暗号化 SDK
項目エンクリプタ属性アクション暗号化設定項目の更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DynamoDB 用の クライアントNET側の暗号化ライブラリの使用

このトピックでは、DynamoDB 用の クライアントNET側の暗号化ライブラリのバージョン 3.x の関数とヘルパークラスの一部について説明します。

DynamoDB 用の .NET クライアント側の暗号化ライブラリを使用したプログラミングの詳細については、「」のNET「-dynamodb リポジトリ」の「」例を参照してください GitHub。 aws-database-encryption-sdk

項目エンクリプタ

DynamoDB SDKの AWS Database Encryption は、その中核となる項目エンクリプタです。DynamoDB 用の .NET クライアント側の暗号化ライブラリのバージョン 3.x を使用して、DynamoDB テーブル項目を次の方法で暗号化、署名、検証、復号化できます。

DynamoDB SDKの低レベル AWS データベース暗号化 API

テーブル暗号化設定を使用して、DynamoDB PutItemリクエストでクライアント側で項目を自動的に暗号化して署名する DynamoDB クライアントを構築できます。このクライアントを直接使用するか、ドキュメントモデルまたはオブジェクト永続性モデル を構築できます。

検索可能な暗号化を使用するには、DynamoDB SDKの低レベルの AWS データベース暗号化APIを使用する必要があります。

下位レベルの DynamoDbItemEncryptor

下位レベルの DynamoDbItemEncryptor は、DynamoDB を呼び出すことなく、テーブル項目を直接暗号化して署名するか、または復号して検証します。DynamoDB の PutItem または GetItem リクエストは実行しません。例えば、下位レベルの DynamoDbItemEncryptor を使用して、既に取得した DynamoDB 項目を直接復号して検証できます。下位レベルの を使用する場合はDynamoDbItemEncryptor、 が DynamoDB との通信 AWS SDK for .NET に提供する下位レベルのプログラミングモデルを使用することをお勧めします。

下位レベルの DynamoDbItemEncryptor は、検索可能な暗号化をサポートしていません。

Database Encryption SDK for AWS DynamoDB の属性アクション

属性アクションは、どの属性値が暗号化および署名され、署名のみされ、署名されて暗号化コンテキストに含まれ、無視されるかを決定します。

クライアントNETで属性アクションを指定するには、オブジェクトモデルを使用して属性アクションを手動で定義します。名前と値のペアが属性名と指定されたアクションを表すDictionaryオブジェクトを作成して、属性アクションを指定します。

属性を暗号化して署名するように ENCRYPT_AND_SIGN を指定します。属性に署名するが暗号化はしないように SIGN_ONLY を指定します。属性に署名SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXTし、暗号化コンテキストに含めるには、 を指定します。属性に署名することなく、その属性を暗号化することはできません。属性を無視するように DO_NOTHING を指定します。

パーティション属性とソート属性は、 SIGN_ONLYまたは のいずれかである必要がありますSIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT。属性を として定義する場合SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT、パーティション属性とソート属性も である必要がありますSIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT

注記

属性アクションを定義した後、どの属性を署名から除外するかを定義する必要があります。将来、新しい署名なし属性を簡単に追加できるように、署名なし属性を識別するための個別のプレフィックス (「:」など) を選択することをお勧めします。DynamoDB スキーマと属性アクションを定義するときに DO_NOTHING とマークされたすべての属性の属性名にこのプレフィックスを含めます。

次のオブジェクトモデルはENCRYPT_AND_SIGN、 クライアントで SIGN_ONLYSIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT、、および DO_NOTHING 属性アクションを指定する方法を示しています。NETこの例では、プレフィックス:「」を使用してDO_NOTHING属性を識別します。

注記

SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT 暗号化アクションを使用するには、 AWS Database Encryption のバージョン 3.3 以降を使用する必要がありますSDK。データモデルを更新して を含める前に、すべてのリーダーに新しいバージョンをデプロイしますSIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT

var attributeActionsOnEncrypt = new Dictionary<string, CryptoAction>
{
    ["partition_key"] = CryptoAction.SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT, // The partition attribute must be signed
    ["sort_key"] = CryptoAction.SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT, // The sort attribute must be signed
    ["attribute1"] = CryptoAction.ENCRYPT_AND_SIGN,
    ["attribute2"] = CryptoAction.SIGN_ONLY,
    ["attribute3"] = CryptoAction.SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT,
    [":attribute4"] = CryptoAction.DO_NOTHING
};

Database Encryption SDK for AWS DynamoDB の暗号化設定

AWS Database Encryption を使用する場合はSDK、DynamoDB テーブルの暗号化設定を明示的に定義する必要があります。暗号化設定に必要な値は、属性アクションを手動で定義したか、またはアノテーション付きデータクラスを使用して定義したかによって異なります。

次のスニペットでは、DynamoDB SDK用の低レベルの AWS Database Encryption APIと、個別のプレフィックスで定義された許可された署名なし属性を使用して、DynamoDB テーブルの暗号化設定を定義します。

Dictionary<String, DynamoDbTableEncryptionConfig> tableConfigs =
    new Dictionary<String, DynamoDbTableEncryptionConfig>();
DynamoDbTableEncryptionConfig config = new DynamoDbTableEncryptionConfig
{
    LogicalTableName = ddbTableName,
    PartitionKeyName = "partition_key",
    SortKeyName = "sort_key",
    AttributeActionsOnEncrypt = attributeActionsOnEncrypt,
    Keyring = kmsKeyring,
    AllowedUnsignedAttributePrefix = unsignAttrPrefix,
    // Optional: SearchConfig only required if you use beacons
    Search = new SearchConfig
    {
        WriteVersion = 1, // MUST be 1
        Versions = beaconVersions
    }    
};
tableConfigs.Add(ddbTableName, config);
論理テーブル名

DynamoDB テーブルの論理テーブル名。

論理テーブル名は、DynamoDB の復元オペレーションを簡素化するために、テーブルに格納されているすべてのデータに暗号的にバインドされます。最初に暗号化設定を定義する際に、DynamoDB テーブル名を論理テーブル名として指定することを強くお勧めします。常に同じ論理テーブル名を指定する必要があります。復号を成功させるには、論理テーブル名が、暗号化の際に指定された名前と一致する必要があります。DynamoDB テーブルをバックアップから復元した後に DynamoDB テーブル名が変更された場合でも、論理テーブル名を使用することで、復号オペレーションで引き続きテーブルが確実に認識されます。

許可された署名なし属性

属性アクションで DO_NOTHING とマークされた属性。

許可された署名なし属性は、どの属性が署名から除外されるかをクライアントに伝えます。クライアントは、他のすべての属性が署名に含まれていると想定します。その後、レコードを復号する際に、クライアントは、ユーザーが指定する、許可された署名なし属性の中からどの属性を検証する必要があり、どの属性を無視する必要があるかを決定します。許可された署名なし属性から属性を削除することはできません。

すべての DO_NOTHING 属性をリストする配列を作成することで、許可された署名なし属性を明示的に定義できます。また、DO_NOTHING 属性に名前を付ける際に個別のプレフィックスを指定し、そのプレフィックスを使用してどの属性が署名されていないかをクライアントに伝えることもできます。将来新しい DO_NOTHING 属性を追加するプロセスが簡素化されるため、個別のプレフィックスを指定することを強くお勧めします。詳細については、「データモデルの更新」を参照してください。

すべての DO_NOTHING 属性のためにプレフィックスを指定しない場合は、クライアントが復号時に署名されていないことを想定するすべての属性を明示的にリストする allowedUnsignedAttributes 配列を設定できます。どうしても必要な場合にのみ、許可された署名なし属性を明示的に定義する必要があります。

検索設定 (オプション)

SearchConfigビーコンのバージョンを定義します。

検索可能な暗号化または署名付きビーコンを使用するには、SearchConfig を指定する必要があります。

アルゴリズムスイート (オプション)

は、 AWS Database Encryption がSDK使用するアルゴリズムスイートalgorithmSuiteIdを定義します。

代替アルゴリズムスイートを明示的に指定しない限り、 AWS Database Encryption はデフォルトのアルゴリズムスイート SDKを使用します。デフォルトのアルゴリズムスイートは、キー取得、デジタル署名キーコミットメント を含む AES-GCM アルゴリズムを使用します。デフォルトのアルゴリズムスイートはほとんどのアプリケーションに適している可能性がありますが、代替アルゴリズムスイートを選択できます。例えば、一部の信頼モデルは、デジタル署名を含まないアルゴリズムスイートによって満たされます。 AWS Database Encryption がSDKサポートするアルゴリズムスイートの詳細については、「」を参照してくださいAWS Database Encryption でサポートされているアルゴリズムスイート SDK

AESECDSA デジタル署名なしの -GCM アルゴリズムスイートを選択するには、テーブル暗号化設定に次のスニペットを含めます。

AlgorithmSuiteId = DBEAlgorithmSuiteId.ALG_AES_256_GCM_HKDF_SHA512_COMMIT_KEY_SYMSIG_HMAC_SHA384

AWS Database Encryption を使用した項目の更新 SDK

AWS Database Encryption SDKは、暗号化された属性または署名された属性を含む項目の ddb:UpdateItem をサポートしていません。暗号化または署名された属性を更新するには、ddb:PutItem を使用する必要があります。PutItem リクエストで既存の項目と同じプライマリキーを指定すると、新しい項目が既存の項目に完全に置き換わります。を使用してCLOBBER、項目を更新した後、保存時にすべての属性をクリアして置き換えることもできます。