As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Tokens de autenticação
Nossa biblioteca de criptografia do lado do cliente foi renomeada para Database Encryption. AWS SDK Este guia do desenvolvedor ainda fornece informações sobre o DynamoDB Encryption Client. |
A criptografia AWS de banco de dados SDK usa chaveiros para realizar a criptografia de envelopes. Tokens de autenticação geram, criptografam e descriptografam chaves de dados. Os tokens de autenticação determinam a origem das chaves de dados exclusivas que protegem cada registro criptografado, bem como as chaves de empacotamento que criptografam essa chave de dados. Você especifica um token de autenticação ao criptografar e especifica o mesmo ou outro token de autenticação ao descriptografar.
É possível usar cada token individualmente ou combiná-los em um multitoken de autenticação. Embora a maioria dos tokens de autenticação possa gerar, criptografar e descriptografar chaves de dados, você pode criar um que execute apenas uma operação, por exemplo, um token que gere apenas chaves de dados, e usá-lo em combinação com outros.
Recomendamos que você use um chaveiro que proteja suas chaves de agrupamento e execute operações criptográficas dentro de um limite seguro, como o AWS KMS chaveiro, que usa AWS KMS keys that never leave () sem criptografia. AWS Key Management ServiceAWS KMS Você também pode escrever um chaveiro que use chaves de agrupamento armazenadas em seus módulos de segurança de hardware (HSMs) ou protegidas por outros serviços de chave mestra.
O token de autenticação determina as chaves de encapsulamento que protegem as chaves de dados e, em última análise, os dados. Use as chaves de encapsulamento mais seguras e práticas para sua tarefa. Sempre que possível, use chaves de agrupamento protegidas por um módulo de segurança de hardware (HSM) ou por uma infraestrutura de gerenciamento de chaves, como KMS chaves em AWS Key Management Service(AWS KMS) ou chaves de criptografia em AWS CloudHSM.
A criptografia AWS de banco de dados SDK fornece vários chaveiros e configurações de chaveiros, e você pode criar seus próprios chaveiros personalizados. Você também pode criar um multitoken de autenticação que inclua um ou mais tokens de autenticação do mesmo tipo ou de um tipo diferente.
Tópicos
Como os tokens de autenticação funcionam
Nossa biblioteca de criptografia do lado do cliente foi renomeada para Database Encryption. AWS SDK Este guia do desenvolvedor ainda fornece informações sobre o DynamoDB Encryption Client. |
Quando você criptografa e assina um campo em seu banco de dados, a Criptografia AWS de Banco de Dados SDK solicita ao chaveiro materiais de criptografia. O chaveiro retorna uma chave de dados em texto simples, uma cópia da chave de dados que é criptografada por cada uma das chaves de encapsulamento no chaveiro e uma MAC chave associada à chave de dados. A criptografia AWS de banco de dados SDK usa a chave de texto simples para criptografar os dados e, em seguida, remove a chave de dados de texto sem formatação da memória assim que possível. Em seguida, a criptografia AWS de banco de dados SDK adiciona uma descrição do material que inclui as chaves de dados criptografadas e outras informações, como instruções de criptografia e assinatura. A criptografia do AWS banco de dados SDK usa a MAC chave para calcular os códigos de autenticação de mensagens baseados em hash (HMACs) por meio da canonização da descrição do material e de todos os campos marcados com ou. ENCRYPT_AND_SIGN
SIGN_ONLY
Ao descriptografar dados, você pode usar o mesmo token de autenticação usado para criptografar os dados ou um diferente. Para descriptografar os dados, um token de autenticação de decodificação deve ter acesso a pelo menos uma chave de empacotamento no token de autenticação de criptografia.
A criptografia AWS de banco de dados SDK passa as chaves de dados criptografadas da descrição do material para o chaveiro e solicita que o chaveiro decifre qualquer uma delas. O token de autenticação usa suas chaves de empacotamento para descriptografar uma das chaves de dados criptografadas e retorna uma chave de dados de texto simples. A criptografia AWS de banco de dados SDK usa a chave de dados de texto simples para descriptografar os dados. Se nenhuma das chaves de empacotamento no token de autenticação puder descriptografar qualquer uma das chaves de dados criptografadas, a operação de descriptografia falhará.
Você pode usar um único token de autenticação ou também combinar tokens de autenticação do mesmo ou outro tipo em um multitoken de autenticação. Quando você criptografa dados, o anel de várias chaves retorna uma cópia da chave de dados criptografada por todas as chaves de agrupamento em todos os chaveiros que compõem o anel de várias chaves e uma MAC chave associada à chave de dados. É possível descriptografar os dados usando um token de autenticação com qualquer uma das chaves de encapsulamento no multitoken de autenticação.