항목 암호화 도구 저장 동작 구성 Java의 속성 작업 테이블 이름 재정의

DynamoDB Encryption Client for Java 사용

참고

클라이언트 측 암호화 라이브러리의 이름이 AWS 데이터베이스 암호화 로 변경되었습니다SDK. 다음 주제에서는 Java용 DynamoDB Encryption Client 버전 1.x~2.x 와 Python용 DynamoDB Encryption Client 버전 1.x~3.x에 대한 정보를 제공합니다. 자세한 내용은 AWS DynamoDB 버전 지원SDK용 데이터베이스 암호화를 참조하세요.

이 주제에서는 다른 프로그래밍 언어 구현에서는 찾을 수 없는 Java의 DynamoDB Encryption Client 기능 중 일부를 설명합니다.

DynamoDB 암호화 클라이언트를 사용한 프로그래밍에 대한 자세한 내용은 Java 예제 , aws-dynamodb-encryption-java repository 의 예제 GitHub및 DynamoDB 암호화 클라이언트의 Javadoc을 참조하세요.

항목 암호화기: AttributeEncryptor 및 DynamoDBEncryptor

Java의 DynamoDB 암호화 클라이언트에는 하위 수준 DynamoDBEncryptor와 의 두 가지 항목 암호화기가 있습니다AttributeEncryptor.

AttributeEncryptor 는 DynamoDB 암호화 클라이언트에서 와 AWS SDK for Java 함께 DynamoDB Encryptor의 DynamoDBMapper를 사용하는 데 도움이 되는 헬퍼 클래스입니다. DynamoDBMapper와 함께 AttributeEncryptor를 사용하면 사용자가 항목을 저장할 때 항목을 사용자 모르게 암호화하고 서명합니다. 또한 사용자가 항목을 로드할 때 항목을 사용자 모르게 확인하고 복호화합니다.

저장 동작 구성

AttributeEncryptor 및 DynamoDBMapper를 사용하여 서명만 있거나 암호화 및 서명된 속성이 있는 테이블 항목을 추가하거나 교체할 수 있습니다. 이러한 작업의 경우 다음 예와 같이 PUT 저장 동작을 사용하도록 구성하는 것이 좋습니다. 그렇지 않으면 데이터를 복호화하지 못할 수 있습니다.


DynamoDBMapperConfig mapperConfig = DynamoDBMapperConfig.builder().withSaveBehavior(SaveBehavior.PUT).build();
DynamoDBMapper mapper = new DynamoDBMapper(ddb, mapperConfig, new AttributeEncryptor(encryptor));

테이블 항목에서 모델링된 속성만 업데이트하는 기본 저장 동작을 사용하는 경우 모델링되지 않은 속성은 서명에 포함되지 않으며 테이블 쓰기에 의해 변경되지 않습니다. 따라서 모델링되지 않은 속성을 포함하지 않기 때문에 나중에 모든 속성을 읽을 때 서명이 검증되지 않습니다.

CLOBBER 저장 동작을 사용할 수도 있습니다. 이 동작은 낙관적 잠금을 비활성화하고 테이블의 항목을 덮어쓴다는 점을 제외하면 PUT 저장 동작과 동일합니다.

서명 오류를 방지하기 위해 DynamoDB Encryption Client는 AttributeEncryptor를 저장 동작이 CLOBBER 또는 PUT로 구성되지 않은 DynamoDBMapper와 함께 사용하는 경우 런타임 예외를 발생시킵니다.

예제에서 사용되는 이 코드를 보려면 의 aws-dynamodb-encryption-java리포지토리에서 D 사용ynamoDBMapper 및 AwsKmsEncryptedObject.java 예제를 참조하세요 GitHub.

Java의 속성 작업

속성 작업은 암호화 및 서명되는 속성 값, 서명만 되는 속성 값 및 무시되는 속성 값을 결정합니다. 속성 작업을 지정하는 데 사용하는 방법은 DynamoDBMapper 및 를 사용하는지 AttributeEncryptor아니면 하위 수준 D ynamoDBEncryptor를 사용하는지에 따라 달라집니다.

중요

속성 작업을 사용하여 테이블 항목을 암호화한 후 데이터 모델에서 속성을 추가하거나 제거하면 서명 검증 오류가 발생하여 데이터를 복호화하지 못할 수 있습니다. 자세한 내용은 데이터 모델 변경 단원을 참조하십시오.

DynamoDBMapper 및 AttributeEncryptor를 사용하는 경우 주석을 사용하여 속성 작업을 지정합니다. DynamoDB Encryption Client는 속성 유형을 정의하는 표준 DynamoDB 속성 주석을 사용하여 속성을 보호하는 방법을 결정합니다. 기본적으로 기본 키(서명되지만 암호화되지 않음)를 제외하고는 모든 속성이 암호화 및 서명됩니다.

참고

@D 속성 주석 을 사용하여ynamoDBVersion 속성 값을 암호화하지 마십시오. 하지만 속성에 서명할 수 있습니다(해야 합니다). 그렇지 않으면 해당 값을 사용하는 조건이 의도하지 않은 영향을 미치게 됩니다.


// Attributes are encrypted and signed
@DynamoDBAttribute(attributeName="Description")

// Partition keys are signed but not encrypted
@DynamoDBHashKey(attributeName="Title")

// Sort keys are signed but not encrypted
@DynamoDBRangeKey(attributeName="Author")

예외를 지정하려면 DynamoDB Encryption Client for Java에 정의된 암호화 주석을 사용합니다. 클래스 수준에서 지정하면 해당 값이 클래스의 기본값이 됩니다.


// Sign only
@DoNotEncrypt

// Do nothing; not encrypted or signed
@DoNotTouch

예를 들어 이러한 주석은 PublicationYear 속성에 서명하지만 암호화하지는 않으며 ISBN 속성 값을 암호화하거나 서명하지 않습니다.


// Sign only (override the default)
@DoNotEncrypt
@DynamoDBAttribute(attributeName="PublicationYear")

// Do nothing (override the default)
@DoNotTouch
@DynamoDBAttribute(attributeName="ISBN")

DynamoDBEncryptor를 직접 사용할 때 속성 작업을 지정하려면 이름-값 페어가 속성 이름과 지정된 작업을 나타내는 HashMap 객체를 생성합니다.

속성 작업에 유효한 값은 EncryptionFlags 열거 유형으로 정의되어 있습니다. ENCRYPT 및 SIGN와 함께 사용하거나 SIGN 단독으로 사용하거나 둘 다 생략할 수 있습니다. 하지만 ENCRYPT 단독으로 사용하는 경우 DynamoDB Encryption Client에서 오류가 발생합니다. 서명하지 않은 속성은 암호화할 수 없습니다.


ENCRYPT
SIGN

주의

기본 키 속성은 암호화하지 마십시오. 일반 텍스트로 남겨 두어야 DynamoDB에서 전체 테이블 스캔을 실행하지 않고 해당 항목을 찾을 수 있습니다.

암호화 컨텍스트에서 프라이머리 키를 지정하고 나서 프라이머리 키 속성에 대한 속성 작업에서 ENCRYPT를 지정하는 경우 DynamoDB Encryption Client에서 예외가 발생합니다.

예를 들어 다음 Java 코드는 record 항목의 모든 속성을 암호화하고 서명actions HashMap 하는 를 생성합니다. 서명되었지만 암호화되지 않은 파티션 키 및 정렬 키 속성 및 서명되거나 암호화되지 않은 test 속성은 예외입니다.


final EnumSet<EncryptionFlags> signOnly = EnumSet.of(EncryptionFlags.SIGN);
final EnumSet<EncryptionFlags> encryptAndSign = EnumSet.of(EncryptionFlags.ENCRYPT, EncryptionFlags.SIGN);
final Map<String, Set<EncryptionFlags>> actions = new HashMap<>();

for (final String attributeName : record.keySet()) {
  switch (attributeName) {
    case partitionKeyName: // no break; falls through to next case
    case sortKeyName:
      // Partition and sort keys must not be encrypted, but should be signed
      actions.put(attributeName, signOnly);
      break;
    case "test":
      // Don't encrypt or sign
      break;
    default:
      // Encrypt and sign everything else
      actions.put(attributeName, encryptAndSign);
      break;
  }
}

그런 다음 의 encryptRecord 메서드를 호출할 때 맵을 attributeFlags 파라미터 값으로 DynamoDBEncryptor지정합니다. 예를 들어, encryptRecord에 대한 이 호출은 actions 맵을 사용합니다.


// Encrypt the plaintext record
final Map<String, AttributeValue> encrypted_record = encryptor.encryptRecord(record, actions, encryptionContext);

테이블 이름 재정의

DynamoDB Encryption Client에서 DynamoDB 테이블의 이름은 암호화 및 복호화 메서드에 전달되는 DynamoDB 암호화 컨텍스트의 요소입니다. 테이블 항목을 암호화하거나 서명할 때 테이블 이름을 포함한 DynamoDB 암호화 컨텍스트는 암호화 텍스트에 암호로 바인딩됩니다. decrypt 방법에 전달된 DynamoDB 암호화 컨텍스트가 encrypt 방법에 전달된 DynamoDB 암호화 컨텍스트와 일치하지 않으면 복호화 작업이 실패합니다.

테이블을 백업하거나 point-in-time 복구를 수행할 때와 같이 테이블 이름이 변경되는 경우가 있습니다. 이러한 항목의 서명을 복호화하거나 확인할 때 원래 테이블 이름을 포함하여 항목을 암호화하고 서명하는 데 사용된 것과 동일한 DynamoDB 암호화 컨텍스트를 전달해야 합니다. 현재 테이블 이름은 필요하지 않습니다.

DynamoDBEncryptor를 사용하는 경우 DynamoDB 암호화 컨텍스트를 수동으로 결합합니다. 그러나 DynamoDBMapper를 사용하는 경우 AttributeEncryptor는 현재 테이블 이름을 포함하여 DynamoDB 암호화 컨텍스트를 만듭니다. AttributeEncryptor에서 다른 테이블 이름으로 암호화 컨텍스트를 만들도록 지정하려면 EncryptionContextOverrideOperator를 사용합니다.

예를 들어 다음 코드는 암호화 자료 공급자(CMP) 및 의 인스턴스를 생성합니다DynamoDBEncryptor. 그런 다음 DynamoDBEncryptor의 setEncryptionContextOverrideOperator 메서드를 호출합니다. 하나의 테이블 이름을 재정의하는 overrideEncryptionContextTableName 연산자를 사용합니다. 이 방법으로 구성되면 AttributeEncryptor는 oldTableName 대신 newTableName을 포함하는 DynamoDB 암호화 컨텍스트를 생성합니다. 전체 예제는 EncryptionContextOverridesWithDynamoDBMapper.java 를 참조하세요.


final DirectKmsMaterialProvider cmp = new DirectKmsMaterialProvider(kms, keyArn);
final DynamoDBEncryptor encryptor = DynamoDBEncryptor.getInstance(cmp);

encryptor.setEncryptionContextOverrideOperator(EncryptionContextOperators.overrideEncryptionContextTableName(
                oldTableName, newTableName));

항목을 복호화하고 확인하는 DynamoDBMapper의 load 메서드를 호출할 때 원래 테이블 이름을 지정합니다.


mapper.load(itemClass, DynamoDBMapperConfig.builder()
                .withTableNameOverride(DynamoDBMapperConfig.TableNameOverride.withTableNameReplacement(oldTableName))
                .build());

여러 테이블 이름을 재정의하는 overrideEncryptionContextTableNameUsingMap 연산자를 사용할 수도 있습니다.

테이블 이름 재정의 연산자는 일반적으로 데이터를 복호화하고 서명을 확인할 때 사용됩니다. 그러나 암호화 및 서명 시 DynamoDB 암호화 컨텍스트의 테이블 이름을 다른 값으로 설정하는 데 사용할 수 있습니다.

DynamoDBEncryptor를 사용하는 경우 테이블 이름 재정의 연산자를 사용하지 마십시오. 대신 원래 테이블 이름으로 암호화 컨텍스트를 만들고 복호화 메서드에 제출하십시오.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

Java

Java 예제