Provedor de materiais de criptografia - AWS Criptografia de banco SDK

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Provedor de materiais de criptografia

nota

Nossa biblioteca de criptografia do lado do cliente foi renomeada como SDK de criptografia de banco de dados da AWS. O tópico a seguir fornece informações sobre as versões 1.x—2.x do DynamoDB Encryption Client para Java e versões 1.x—3x do DynamoDB Encryption Client para Python. Para obter mais informações, consulte SDK de criptografia de banco de dados da AWS para obter suporte à versão do DynamoDB.

Uma das decisões mais importantes que você precisa tomar ao usar o DynamoDB Encryption Client é selecionar um provedor de materiais de criptografia (CMP). O CMP monta e retorna materiais de criptografia ao criptografador do item. Ele também determina como as chaves de criptografia e assinatura são geradas, se os novos materiais de chaves são gerados para cada item ou reutilizados e os algoritmos de criptografia e assinatura que são usados.

Você pode escolher um CMP das implementações fornecidas nas bibliotecas do DynamoDB Encryption Client ou criar um CMP compatível personalizado. Sua escolha de CMP também pode ter como base a linguagem de programação usada.

Este tópico descreve os CMPs mais comuns e oferece dicas para ajudar você a escolher a melhor opção para o seu aplicativo.

Provedor direto de materiais do KMS

O provedor direto de materiais do KMS protege os itens da sua tabela sob uma AWS KMS key que nunca deixa o AWS Key Management Service (AWS KMS) sem criptografia. Seu aplicativo não precisa gerar ou gerenciar nenhum material de criptografia. Isso ocorre porque ele usa a AWS KMS key para gerar chaves exclusivas de criptografia e assinatura para cada item, e esse provedor chama o AWS KMS sempre que criptografa ou descriptografa um item.

Se você usar o AWS KMS e se uma chamada do AWS KMS por transação for prática para seu aplicativo, esse provedor será uma boa opção.

Para obter mais detalhes, consulte Provedor direto de materiais do KMS.

Provedor encapsulado de materiais (CMP encapsulado)

O provedor encapsulado de materiais (CMP encapsulado) permite gerar e gerenciar chaves encapsuladas e de assinatura fora do DynamoDB Encryption Client.

O CMP encapsulado gera uma chave exclusiva de criptografia para cada item. E, então, ele usa as chaves encapsuladas (ou desencapsuladas) e de assinatura que você forneceu. Desse modo, você pode determinar como as chaves encapsuladas e de assinatura serão geradas e se elas serão exclusivas para cada item ou reutilizadas. O CMP encapsulado é uma alternativa segura ao Provedor direto do KMS para aplicativos que não usam o AWS KMS e podem gerenciar materiais de criptografia com segurança.

Para obter mais detalhes, consulte Provedor encapsulado de materiais.

Provedor mais recente

O Provedor mais recente é um provedor de materiais de criptografia (CMP) que foi projetado para trabalhar com um armazenamento de provedores. Ele obtém os CMPs do armazenamento de provedor, bem como os materiais de criptografia que são retornados dos CMPs. O provedor mais recente normalmente usa cada CMP para atender a várias solicitações de materiais de criptografia, mas você pode usar os recursos do armazenamento de provedor para gerenciar a frequência com a qual os materiais são reutilizados, determinar a frequência de rotação do CMP e até mesmo alterar o tipo de CMP usado sem alterar o provedor mais recente.

Você pode usar o provedor mais recente com qualquer armazenamento compatível de provedor. O DynamoDB Encryption Client inclui um MetaStore, um armazenamento de provedor que retorna os CMPs empacotados.

O provedor mais recente é uma boa opção para aplicativos que precisam minimizar as chamadas para sua origem de criptografia e para aplicativos que podem reutilizar alguns materiais de criptografia sem violar os requisitos de segurança. Por exemplo, ele permite proteger os materiais criptográficos sob uma AWS KMS key no AWS Key Management Service (AWS KMS) sem chamar o AWS KMS toda vez que criptografar ou descriptografar um item.

Para obter mais detalhes, consulte Provedor mais recente.

Provedor estático de materiais

O provedor estático de materiais foi projetado para testes, demonstrações de prova de conceito e compatibilidade de legado. Ele não gera material exclusivo de criptografia para cada item. No entanto, ele retorna as mesmas chaves de criptografia e assinatura que você oferece, e essas chaves são usadas diretamente para criptografar, descriptografar e assinar os itens da sua tabela.

nota

O Provedor estático assimétrico na biblioteca Java não é um provedor estático. Ele apenas oferece construtores alternativos para o CMP encapsulado. Ele é seguro para fins de produção, mas você deve usar o CMP encapsulado diretamente sempre que possível.