疑難排解 DynamoDB 加密用戶端應用程式中的問題

我們的客戶端加密庫被重命名為 AWS 數據庫加密SDK。下列主題提供有關版本 1 的資訊。 X-2. Java 和版本 1 DynamoDB 驗證加密客戶端的 x。 X — 3. 適用於 Python 的 x 個 DynamoDB 密用戶端。如需詳細資訊，請參閱 DynamoDB 版本SDK支援的資AWS 料庫加密。

本節說明使用 DynamoDB 加密用戶端時可能遇到的問題，並提供解決這些問題的建議。

若要提供有關 DynamoDB 加密用戶端的意見反應，請在aws-dynamodb-encryption-java或aws-dynamodb-encryption-python GitHub 存放庫中提出問題。

若要提供有關此文件的意見回饋，請使用任何頁面上的意見回饋連結。

存取遭拒

問題：您的應用程式遭拒，無法存取其所需的資源。

建議：了解必要的許可，並將這些許可新增至您的應用程式執行所在的安全性細節。

詳細資訊

若要執行使用 DynamoDB 加密用戶端程式庫的應用程式，呼叫者必須具有使用其元件的權限。否則他們會遭拒，無法存取所需的元素。

DynamoDB 加密用戶端不需要 Amazon Web Services (AWS) 帳戶，也不需要任何 AWS 服務。但是，如果您的應用程序使用 AWS，則需要有權使用該帳戶的 AWS 帳戶和用戶。
加密用戶端不需要使用 Amazon DynamoDB。不過，如果使用用戶端的應用程式建立 DynamoDB 表、將項目放入資料表或從表格中取得項目，則呼叫者必須具有在您的. AWS 帳戶如需詳細資訊，請參閱 Amazon DynamoDB 開發人員指南中的存取控制主題。
如果您的應用程式在 Python 的 DynamoDB 加密用戶端中使用用戶端協助程式類別，則呼叫者必須具有呼叫 DynamoDB DescribeTable作業的權限。
DynamoDB 加密用戶端不需要 AWS Key Management Service ()AWS KMS。不過，如果您的應用程式使用直接KMS材料提供者，或是使用具有提供者商店的最新提供者 AWS KMS，則呼叫者必須具有使用 AWS KMS GenerateDataKey和解密作業的權限。

問題：項目因為簽章驗證失敗而無法解密。此項目也無法如您所願進行加密和簽署。

建議：確保您提供的屬性動作會考量項目中的所有屬性。將項目解密時，請務必提供與用來解密項目之動作相符的屬性動作。

詳細資訊

您提供的屬性動作會告訴 DynamoDB 加密用戶端要加密和簽署哪些屬性、要簽署 (但不加密) 哪些屬性，以及要忽略哪些屬性。

如果您指定的屬性動作並未考量項目中的所有屬性，此項目便無法如您預期的方式進行加密和簽署。如果您在加密項目時提供的屬性動作與您在解密項目時提供的屬性動作不同，則簽章驗證可能會失敗。這是一個特殊問題，出現於新屬性動作尚未傳播到所有主機的分散式應用程式中。

簽章驗證錯誤很難解決。如需協助防範其發生，請在變更資料模型時採取額外的預防措施。如需詳細資訊，請參閱變更您的資料模型。

問題：舊版 Amazon DynamoDB 全域資料表中的項目無法解密，因為簽章驗證失敗。

建議：設定屬性動作，使保留的複寫欄位不會加密或簽署。

詳細資訊

您可以將 DynamoDB 加密用戶端與 Dynam oDB 全域資料表搭配使用。我們建議您使用具有多區域KMS索引鍵的全域資料表，並將索KMS引鍵複寫到複寫全域資料表的所有 AWS 區域位置。

從 2019.11.21 版全域表開始，您可以將全域表與 DynamoDB 加密用戶端搭配使用，而無需任何特殊設定。但是，如果您使用全域資料表版本 2017.11.29，則必須確保保留的複寫欄位未加密或簽署。

如果您正在使用任何其他版本的全域表格，則不需要採取任何動作。