ビーコンの計画

ビーコンは、データが入力されていない新しいデータベースに実装されるように設計されています。既存のデータベースで設定されたビーコンは、データベースに書き込まれる新しいレコードのみをマッピングします。ビーコンはフィールドのプレーンテキストの値から計算されます。フィールドが暗号化されると、ビーコンは既存のデータをマッピングできなくなります。ビーコンを持つ新しいレコードを書き込んだ後に、そのビーコンの設定を更新することはできません。ただし、レコードに追加する新しいフィールドに新しいビーコンを追加できます。

検索可能な暗号化を実装するには、AWS KMS 階層キーリングを使用して、レコードを保護するために使用されるデータキーを生成、暗号化、および復号する必要があります。詳細については、「検索可能な暗号化のための階層キーリングの使用」を参照してください。

検索可能な暗号化のためにビーコンを設定する前に、暗号化要件、データベースのアクセスパターン、および脅威モデルを確認して、データベースに最適なソリューションを決定する必要があります。

設定するビーコンのタイプによって、実行できるクエリのタイプが決まります。標準ビーコン設定で指定するビーコンの長さによって、特定のビーコンについて生成される誤検知の想定数が決まります。ビーコンを設定する前に、実行する必要があるクエリのタイプを特定して計画することを強くお勧めします。ビーコンを使用した後に設定を更新することはできません。

ビーコンを設定する前に、次のタスクを確認および完了することを強くお勧めします。

データベースのために検索可能な暗号化ソリューションを計画する際には、ビーコンの一意性に関する次の要件に留意してください。

マルチテナンシーデータベースに関する考慮事項

マルチテナンシーデータベースで設定されたビーコンをクエリするには、レコードを暗号化したテナンシーに関連付けられた branch-key-id を格納するフィールドをクエリに含める必要があります。このフィールドは、ビーコンキーソースを定義する際に定義します。クエリが成功するには、このフィールドの値が、ビーコンの再計算に必要となる適切なビーコンキーマテリアルを識別する必要があります。

ビーコンを設定する前に、クエリに branch-key-id をどのように含めるかを決定する必要があります。クエリに branch-key-id を含めるさまざまな方法の詳細については、「マルチテナンシーデータベース内のビーコンのクエリ」を参照してください。