本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 密碼編譯資料提供者 **注意** 我們的用戶端加密程式庫已[重新命名為 AWS 資料庫加密 SDK](DDBEC-rename.md)。下列主題提供有關適用於 Java 的 DynamoDB 加密用戶端 1.*x*-2.*x* 版和適用於 Python 的 DynamoDB 加密用戶端 1.*x*-3.*x* 版的資訊。如需詳細資訊,請參閱[AWS 資料庫加密 SDK for DynamoDB 版本支援](legacy-dynamodb-encryption-client.md#legacy-support)。 使用 DynamoDB 加密用戶端時,您所做的最重要決策之一是選取[密碼編譯資料提供者](DDBEC-legacy-concepts.md#concept-material-provider) (CMP)。CMP 會整合密碼編譯資料,並將其傳回至項目加密程式。它也會決定加密和簽署金鑰的產生方式、要為每個項目產生新的金鑰資料還是重複使用這些資料,以及所使用的加密和簽署演算法等。 您可以從 DynamoDB Encryption Client 程式庫中提供的實作中選擇 CMP,或建置相容的自訂 CMP。您的 CMP 選擇也可能取決於您所使用的[程式設計語言](programming-languages.md)。 本主題說明最常見的 CMP,並提供相關建議以協助您選擇最適用於應用程式的 CMP。 **直接 KMS 資料提供者** Direct KMS 資料提供者會在 下保護您的資料表項目[AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys),這些項目絕不會讓 [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/)(AWS KMS) 處於未加密狀態。您的應用程式不會產生或管理任何密碼編譯資料。由於它使用 AWS KMS key 為每個項目產生唯一的加密和簽署金鑰,因此每次加密或解密項目時,此提供者 AWS KMS 都會呼叫 。 如果您使用 AWS KMS ,而且每筆交易一個 AWS KMS 呼叫對您的應用程式來說是可行的,則此供應商是不錯的選擇。 如需詳細資訊,請參閱[直接 KMS 資料提供者](direct-kms-provider.md)。 **包裝資料提供者 (包裝 CMP)** 包裝資料提供者 (包裝 CMP) 可讓您在 DynamoDB 加密用戶端外部產生和管理包裝和簽署金鑰。 包裝 CMP 會為每個項目產生唯一的加密金鑰。接著,它會使用您所提供的包裝 (或取消包裝) 和簽署金鑰。如此,您可決定包裝和簽署金鑰的產生方式,以及要讓每個項目各有唯一的金鑰還是重複使用這些金鑰。包裝 CMP 是[直接 KMS 提供者](direct-kms-provider.md)的安全替代方案,適用於不使用 AWS KMS 且可以安全管理密碼編譯資料的應用程式。 如需詳細資訊,請參閱[包裝資料提供者](wrapped-provider.md)。 **最近提供者** *最近提供者*是一個[密碼編譯資料提供者](DDBEC-legacy-concepts.md#concept-material-provider) (CMP),旨在與[提供者存放區](DDBEC-legacy-concepts.md#provider-store)搭配使用。它會從提供者存放區取得 CMP,並取得它從 CMP 傳回的密碼編譯資料。最近提供者通常會使用各個 CMP 因應多次密碼編譯資料請求,但您也可以使用提供者存放區的功能來控制資料重複使用的程度、決定輪換 CMP 的頻率,甚至在不變更最近提供者的情況下變更所使用的 CMP 類型。 您可以將最近提供者與任何相容的提供者存放區搭配使用。DynamoDB 加密用戶端包含 MetaStore,這是傳回包裝 CMPs的提供者存放區。 對於需要盡可能避免呼叫其密碼編譯來源的應用程式,以及可重複使用部分密碼編譯資料而不會違反安全性需求的應用程式,最近提供者將是理想的選擇。例如,它可讓您在 [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/)(AWS KMS) [AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys)的 下保護您的密碼編譯資料,而不必 AWS KMS 在每次加密或解密項目時呼叫 。 如需詳細資訊,請參閱[最近提供者](most-recent-provider.md)。 **靜態資料提供者** 靜態資料提供者是針對測試、概念驗證示範和舊版相容性而設計的。它不會為每個項目產生任何唯一的密碼編譯資料。它會傳回您所提供的相同加密和簽署金鑰,並直接使用這些金鑰來加密、解密和簽署您的資料表項目。 Java 程式庫中的[非對稱靜態提供者](https://aws.github.io/aws-dynamodb-encryption-java/com/amazonaws/services/dynamodbv2/datamodeling/encryption/providers/AsymmetricStaticProvider.html)不是靜態提供者。其僅提供[包裝 CMP](wrapped-provider.md) 的替代建構函數。此提供者可在生產環境中安全地使用,但只要情況允許,您即應直接使用包裝 CMP。 **Topics** + [直接 KMS 資料提供者](direct-kms-provider.md) + [包裝資料提供者](wrapped-provider.md) + [最近提供者](most-recent-provider.md) + [靜態資料提供者](static-provider.md)