本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 加密材料提供程序 **注意** 我们的客户端加密库已[重命名为 AWS 数据库加密 SDK](DDBEC-rename.md)。以下主题提供有关适用于 Java 的 DynamoDB 加密客户端版本 1.*x*—2.*x* 以及适用于 Python 的 DynamoDB 加密客户端版本 1.*x*—3.*x* 的信息。有关更多信息,请参阅[适用于 DynamoDB 的AWS 数据库加密 SDK 版本支持](legacy-dynamodb-encryption-client.md#legacy-support)。 您在使用 DynamoDB 加密客户端时所做的最重要的决策是选择[加密材料提供程序](DDBEC-legacy-concepts.md#concept-material-provider)(CMP)。CMP 组装加密材料并将其返回到项目加密程序。它还确定如何生成加密密钥和签名密钥,新密钥材料是否对于每个项目进行生成或重复使用以及所使用的加密和签名算法。 您可以选择 DynamoDB 加密客户端库中提供的实施中的 CMP 或构建兼容的自定义 CMP。您的 CMP 选择还可能取决于使用的[编程语言](programming-languages.md)。 本主题介绍了最常见的内容, CMPs 并提供了一些建议,以帮助您为应用程序选择最佳方案。 **Direct KMS 材料提供程序** Direct KMS 材料提供程序借助 [AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) 保护您的表项目,该主密钥绝不会让 [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/)(AWS KMS)处于不加密状态。您的应用程序不必生成或管理任何加密材料。由于该 AWS KMS key 提供程序使用为每个项目生成唯一的加密和签名密钥,因此它 AWS KMS 每次加密或解密项目时都会调用。 如果您使用 AWS KMS 并且每笔交易一次 AWS KMS 调用适合您的应用程序,那么此提供商是一个不错的选择。 有关更多信息,请参阅 [Direct KMS 材料提供程序](direct-kms-provider.md)。 **已包装的材料提供程序(已包装的 CMP)** 利用已包装的材料提供程序(已包装的 CMP),您可以在 DynamoDB 加密客户端外部生成和管理包装密钥和签名密钥。 已包装的 CMP 会为每个项目生成唯一加密密钥。然后,它会使用您提供的包装(或解开包装)密钥和签名密钥。因此,您可确定如何生成包装密钥和签名密钥以及这些密钥对于每个项目是唯一的还是可重复使用。Wrapped CMP 是 Di [rect KMS 提供程序](direct-kms-provider.md)的安全替代方案,适用于不使用加密材料 AWS KMS 且可以安全管理加密材料的应用程序。 有关更多信息,请参阅 [已包装的材料提供程序](wrapped-provider.md)。 **最新提供程序** *最新提供程序*是一个[加密材料提供程序](DDBEC-legacy-concepts.md#concept-material-provider)(CMP),旨在处理[提供程序存储](DDBEC-legacy-concepts.md#provider-store)。它 CMPs从提供商商店获取,并从中获取返回的加密材料。 CMPs最新提供程序通常使用每个 CMP 来满足加密材料的多个请求,但您可以使用提供程序存储的功能来控制可重复使用材料的范围,决定轮换其 CMP 的频率以及甚至在不更改最新提供程序的情况下更改所使用的 CMP 的类型。 您可以结合使用最新提供程序与任何兼容的提供程序存储。DynamoDB 加密客户端包括 MetaStore一个,这是一个返回 Wrapped 的提供商存储。 CMPs 对于需要最大程度地减少对加密源的调用的应用程序,以及能够在不违反应用程序的安全性要求的情况下重复使用某些加密材料的应用程序,最新提供程序是个很好的选择。例如,它允许您在 in [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/)(AWS KMS) 下保护您的加密材料,而无需[AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys)在 AWS KMS 每次加密或解密项目时都调用。 有关更多信息,请参阅 [最新提供程序](most-recent-provider.md)。 **静态材料提供程序** 静态材料提供商专为测试、 proof-of-concept演示和传统兼容性而设计。它不会为每个项目生成任何唯一加密材料。它将返回您提供的相同加密密钥和签名密钥,而且这些密钥会直接用于加密、解密和签署您的表项目。 Java 库中的[非对称静态提供程序](https://aws.github.io/aws-dynamodb-encryption-java/com/amazonaws/services/dynamodbv2/datamodeling/encryption/providers/AsymmetricStaticProvider.html)不是一种静态提供程序。它仅提供[已包装的 CMP](wrapped-provider.md) 的替代构造函数。它在生产使用时是安全的,但您应尽可能地直接使用已包装的 CMP。 **Topics** + [Direct KMS 材料提供程序](direct-kms-provider.md) + [已包装的材料提供程序](wrapped-provider.md) + [最新提供程序](most-recent-provider.md) + [静态材料提供程序](static-provider.md)