기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
비컨 계획 수립
| 클라이언트 측 암호화 라이브러리의 이름이 AWS Database Encryption SDK로 변경되었습니다. 이 개발자 안내서는 여전히 DynamoDB Encryption Client에 대한 정보를 제공합니다. |
비컨은 채워지지 않은 새 데이터베이스에 구현되도록 설계되었습니다. 기존 데이터베이스에 구성된 모든 비컨은 데이터베이스에 기록된 새 레코드만 매핑합니다. 비컨은 필드의 일반 텍스트 값에서 계산됩니다. 필드가 암호화되면 비컨이 기존 데이터를 매핑할 방법이 없습니다. 비컨으로 새 레코드를 작성한 후에는 비컨의 구성을 업데이트할 수 없습니다. 하지만 레코드에 추가하는 새 필드에 대해 새 비컨을 추가할 수 있습니다.
검색 가능한 암호화를 구현하려면 AWS KMS 계층 키링을 사용하여 레코드 보호에 사용되는 데이터 키를 생성, 암호화 및 복호화해야 합니다. 자세한 내용은 검색 가능한 암호화를 위한 계층적 키링 사용 섹션을 참조하세요.
검색 가능한 암호화를 위한 비컨을 구성하려면 먼저 암호화 요구 사항, 데이터베이스 액세스 패턴 및 위협 모델을 검토하여 데이터베이스에 가장 적합한 솔루션을 결정해야 합니다.
구성하는 비컨 유형에 따라 수행할 수 있는 쿼리 유형이 결정됩니다. 표준 비컨 구성에서 지정하는 비컨 길이에 따라 해당 비컨에 대해 생성되는 예상 오탐 수가 결정됩니다. 비컨을 구성하기 전에 수행해야 하는 쿼리 유형을 식별하고 계획하는 것이 좋습니다. 비컨을 사용한 후에는 구성을 업데이트할 수 없습니다.
비컨을 구성하기 전에 다음 작업을 검토하고 완료하는 것이 좋습니다.
데이터베이스의 검색 가능한 암호화 솔루션을 계획할 때 다음 비컨 고유성 요구 사항을 기억합니다.
-
모든 표준 비컨에는 고유한 비컨 소스가 있어야 합니다.
동일한 암호화된 필드나 가상 필드에서 여러 표준 비컨을 구성할 수 없습니다.
하지만 단일 표준 비컨을 사용하여 여러 복합 비컨을 구성할 수 있습니다.
-
소스 필드가 기존 표준 비컨과 겹치는 가상 필드를 만들지 마세요.
다른 표준 비컨을 만드는 데 사용된 소스 필드가 포함된 가상 필드에서 표준 비컨을 구성하면 두 비컨의 보안이 저하될 수 있습니다.
자세한 내용은 가상 필드에 대한 보안 고려 사항 섹션을 참조하세요.
멀티테넌트 데이터베이스 고려 사항
멀티테넌트 데이터베이스에 구성된 비컨을 쿼리하려면 레코드를 암호화한 테넌트와 관련된 branch-key-id을 쿼리에 저장하는 필드를 포함해야 합니다. 비컨 키 소스를 정의할 때 이 필드를 정의합니다. 쿼리가 성공하려면 이 필드의 값이 비컨을 재계산하는 데 필요한 적절한 비컨 키 자료를 식별해야 합니다.
비컨을 구성하기 전에 쿼리의 branch-key-id에 비컨을 어떻게 포함할지 결정해야 합니다. 쿼리에 branch-key-id을 포함할 수 있는 다양한 방법에 대한 자세한 내용은 멀티테넌트 데이터베이스의 비컨 쿼리 섹션을 참조하세요.
