規劃信標 - AWS 資料庫加密 SDK

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

規劃信標

我們的用戶端加密程式庫已重新命名為 AWS 資料庫加密 SDK。此開發人員指南仍會提供 DynamoDB Encryption Client 的相關資訊。

信標旨在於新的未填入資料庫中實作。在現有資料庫中設定的任何信標只會映射寫入資料庫的新記錄。信標是根據欄位的純文字值計算,一旦欄位加密,信標就無法映射現有資料。使用信標寫入新記錄之後,您就無法更新信標的組態。不過,您可以為新增至記錄的新欄位新增新信標。

若要實作可搜尋加密,您必須使用AWS KMS 階層式 keyring 來產生、加密和解密用於保護記錄的資料金鑰。如需詳細資訊,請參閱使用階層式 keyring 進行可搜尋加密

您必須先檢閱加密需求、資料庫存取模式和威脅模型,以判斷資料庫的最佳解決方案,才能設定可搜尋加密的信標

您設定的信標類型決定您可以執行的查詢類型。您在標準信標組態中指定的信標長度決定了指定信標產生的預期誤報數量。我們強烈建議您識別和規劃在設定信標之前需要執行的查詢類型。使用信標後,就無法更新組態。

強烈建議您在設定任何信標之前,先檢閱並完成下列任務。

當您為資料庫規劃可搜尋的加密解決方案時,請記住下列指標唯一性要求。

  • 每個標準信標都必須具有唯一的信標來源

    多個標準信標無法從相同的加密或虛擬欄位建構。

    不過,單一標準信標可用來建構多個複合信標。

  • 避免使用與現有標準信標重疊的來源欄位建立虛擬欄位

    從虛擬欄位建構標準信標,其中包含用於建立另一個標準信標的來源欄位,可以降低兩個信標的安全性。

    如需詳細資訊,請參閱虛擬欄位的安全考量

多租戶資料庫的考量事項

若要查詢在多租用戶資料庫中設定的信標,您必須包含與在查詢中加密記錄的租用戶branch-key-id相關聯的 儲存欄位。當您定義信標金鑰來源時,可以定義此欄位。若要讓查詢成功,此欄位中的值必須識別重新計算信標所需的適當信標金鑰材料。

設定信標之前,您必須決定計劃如何在查詢branch-key-id中包含 。如需您可以在查詢branch-key-id中包含 之不同方式的詳細資訊,請參閱 查詢多租戶資料庫中的信標