什麼是資 AWS 料庫加密 SDK? - AWS 資料庫加密 SDK

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是資 AWS 料庫加密 SDK?

我們的用戶端加密程式庫已重新命名為 AWS 資料庫加密 SDK。本開發人員指南仍提供 DynamoDB 加密用戶端的相關資訊。

資 AWS 料庫加密 SDK 是一組軟體程式庫,可讓您在資料庫設計中包含用戶端加密。 AWS 資料庫加密 SDK 提供記錄層級的加密解決方案。您可以指定要加密的欄位以及簽名中包含哪些欄位,以確保資料的真實性。對傳輸中和靜態的敏感資料進行加密,有助於確保您的純文字資料無法供任何第三方使用,包括. AWS數 AWS 據庫加密 SDK 是根據 Apache 2.0 許可證免費提供的。

本開發人員指南提供 AWS Database Encryption SDK 的概念性概觀,包括其架構簡介如何保護您的資料、與伺服器端加密有何不同之處,以及為應用程式選取關鍵元件以協助您開始使用的指引。

資 AWS 料庫加密開發套件支援具有屬性層級加密功能的 Amazon DynamoDB。版本 3. 適用於 DynamoDB 的 Java 用戶端加密程式庫的 x 是針對 Java 的 DynamoDB 加密用戶端的主要重新寫入。它包含許多更新,例如新的結構化資料格式、改進的多租戶支援、可搜尋的加密,以及無縫結構描述變更的支援。

資 AWS 料庫加密 SDK 具有以下優點:

專為資料庫應用程式設計

您不需要成為密碼編譯專家即可使用 AWS 資料庫加密 SDK。這些實現包括旨在與現有應用程序配合使用的幫助程序方法。

建立並設定必要元件之後,當您將記錄新增至資料庫時,加密用戶端會透明地加密和簽署記錄,並在擷取記錄時驗證和解密它們。

包含安全加密和簽署

AWS Database Encryption SDK 包含安全實作,這些實作會使用唯一的資料加密金鑰加密每筆記錄中的欄位值,然後簽署記錄以防止未經授權的變更,例如新增或刪除欄位,或交換加密值。

使用來自任何來源的密碼編譯資料

資料 AWS 庫加密 SDK 使用金鑰環來產生、加密和解密唯一的資料加密金鑰,以保護您的記錄。金鑰圈會決定加密該資料金鑰的包裝金鑰

您可以使用包裝來自任何來源的金鑰,包括密碼編譯服務,例如 AWS Key Management Service(AWS KMS) 或 AWS CloudHSM. 數 AWS 據庫加密 SDK 不需要 AWS 帳戶 或任何 AWS 服務。

Support 加密材料快取

AWS KMS 階層式金鑰圈是一種加密材料快取解決方案,可透過使用保存在 Amazon DynamoDB 表格中的 AWS KMS 受保護分支金鑰,然後在本機快取用於加密和解密作業的分支金鑰材料,以減少 AWS KMS 呼叫次數。它可讓您以對稱式加密 KMS 金鑰保護您的加密資料,而無需在 AWS KMS 每次加密或解密記錄時呼叫。 AWS KMS 分層式鑰匙圈對於需要盡量減少呼叫的應用程序來說是一個不錯的選擇。 AWS KMS

可搜索加密

您可以設計可以在不解密整個數據庫的情況下搜索加密記錄的數據庫。根據您的威脅模型和查詢需求,您可以使用可搜尋的加密,在加密的資料庫上執行完全比對搜尋或更自訂的複雜查詢。

Support 多租戶資料庫結構描述

資料 AWS 庫加密 SDK 可讓您使用不同的加密材料隔離每個租用戶,以共用結構描述保護儲存在資料庫中的資料。如果您有多個使用者在資料庫中執行加密作業,請使用其中一個金 AWS KMS 鑰環,為每位使用者提供不同的金鑰,以便在其密碼編譯作業中使用。如需詳細資訊,請參閱 使用多租戶資料庫

Support 無縫結構描述更新

當您設定 AWS 資料庫加密 SDK 時,您會提供密碼編譯動作,告訴用戶端要加密和簽署哪些欄位、要簽署 (但不加密) 的欄位,以及要忽略哪些欄位。使用資料 AWS 庫加密 SDK 保護記錄之後,您仍然可以對資料模型進行變更。您可以在單一部署中更新加密動作,例如新增或移除加密欄位。

在開源存儲庫中開發

數 AWS 據庫加密 SDK 是在開源存儲庫中開發的 GitHub。您可以使用這些存放庫來檢視程式碼、讀取和提交問題,以及尋找實作專屬的資訊。

適用於 DynamoDB 的 AWS 資料庫加密開發套件
  • 上的 aws-database-encryption-sdk-dynamodb 儲存庫 GitHub 支援第 3 版。 x 及更新版本的 AWS 資料庫加密開發 DynamoDB 適用於 Java 和 .NET)。

    版本 3. DynamoDB 的 AWS 資料庫加密 SDK 的 x 是 Dafny 的產品,Dafny 是您撰寫規格時所使用的驗證感知語言、實作規格的程式碼,以及測試它們的校樣。其結果是一個程式 AWS 庫,在可確保功能正確性的架構中實作適用於 DynamoDB 的資料庫加密 SDK 功能。

Support 與維護

資 AWS 料庫加密 SDK 使用與 AWS SDK 和工具使用的相同維護原則,包括其版本控制和生命週期階段。最佳作法是,建議您使用最新版本的 AWS 資料庫加密 SDK 來實作資料庫,並在新版本發行時升級。

如需詳細資訊,請參閱 AWS SDK 和工具參考指南中的 AWS SDK 和工具維護原則

傳送意見回饋

我們誠摯歡迎您提供意見回饋。如果您有問題或意見、問題或報告,請使用以下資源。

如果您在 AWS 資料庫加密 SDK 中發現潛在的安全漏洞,請通知 AWS 安全性。請勿建立公開 GitHub 問題。

若要提供有關此文件的意見回饋,請使用任何頁面上的意見回饋連結。