Clientseitige und serverseitige Verschlüsselung - AWS SDK für Datenbankverschlüsselung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Clientseitige und serverseitige Verschlüsselung

Unsere clientseitige Verschlüsselungsbibliothek wurde in AWS Database Encryption SDK umbenannt. Dieses Entwicklerhandbuch enthält weiterhin Informationen zum DynamoDB Encryption Client.

Das AWS Datenbankverschlüsselungs-SDK für DynamoDB unterstützt die clientseitige Verschlüsselung, bei der Sie Ihre Tabellendaten verschlüsseln, bevor Sie sie an Ihre Datenbank senden. DynamoDB bietet jedoch eine serverseitige Funktion zur Verschlüsselung im Ruhezustand, die Ihre Tabelle transparent verschlüsselt, wenn sie auf der Festplatte gespeichert wird, und sie entschlüsselt, wenn Sie auf die Tabelle zugreifen.

Welche Tools Sie wählen, hängt von der Sensibilität Ihrer Daten und den Sicherheitsanforderungen Ihrer Anwendung ab. Sie können sowohl das AWS Database Encryption SDK für DynamoDB als auch Verschlüsselung im Speicher verwenden. Wenn Sie verschlüsselte und signierte Elemente an DynamoDB senden, erkennt DynamoDB die Elemente nicht als geschützt. Er erkennt nur typische Tabellenelemente mit binären Attributwerten.

Serverseitige Verschlüsselung im Ruhezustand

DynamoDB unterstützt Encryption at Rest, eine serverseitige Verschlüsselungsfunktion, bei der DynamoDB Ihre Tabellen transparent für Sie verschlüsselt, wenn die Tabelle auf der Festplatte gespeichert wird, und sie entschlüsselt, wenn Sie auf die Tabellendaten zugreifen.

Wenn Sie ein AWS SDK für die Interaktion mit DynamoDB verwenden, werden Ihre Daten standardmäßig bei der Übertragung über eine HTTPS-Verbindung verschlüsselt, am DynamoDB-Endpunkt entschlüsselt und dann erneut verschlüsselt, bevor sie in DynamoDB gespeichert werden.

  • Verschlüsselung standardmäßig. DynamoDB verschlüsselt und entschlüsselt auf transparente Weise alle Tabellen, wenn sie geschrieben werden. Es ist nicht möglich, die Verschlüsselung im Ruhezustand zu aktivieren oder zu deaktivieren.

  • DynamoDB erstellt und verwaltet die kryptografischen Schlüssel.Der eindeutige Schlüssel für jede Tabelle wird durch einen Schlüssel geschützt AWS KMS key, der niemals unverschlüsselt AWS Key Management Service(AWS KMS) verlässt. Standardmäßig verwendet DynamoDB ein AWS-eigener Schlüsselim DynamoDB-Dienstkonto, aber Sie können einen Von AWS verwalteter Schlüsseloder einen vom Kunden verwalteten Schlüssel in Ihrem Konto wählen, um einige oder alle Ihrer Tabellen zu schützen.

  • Alle Tabellendaten sind auf der Festplatte verschlüsselt.Wenn eine verschlüsselte Tabelle auf der Festplatte gespeichert wird, verschlüsselt DynamoDB alle Tabellendaten, einschließlich des Primärschlüssels und der lokalen und globalen Sekundärindizes. Wenn Ihre Tabelle einen Sortierschlüssel hat, werden einige der Sortierschlüssel, die Bereichsgrenzen markieren, in Klartext in den Metadaten der Tabelle gespeichert.

  • Objekte, die sich auf Tabellen beziehen, werden ebenfalls verschlüsselt. Encryption at Rest schützt DynamoDB-Streams, globale Tabellen und Backups, wann immer sie auf dauerhafte Medien geschrieben werden.

  • Ihre Artikel werden entschlüsselt, wenn Sie darauf zugreifen.Wenn Sie auf die Tabelle zugreifen, entschlüsselt DynamoDB den Teil der Tabelle, der Ihr Zielelement enthält, und gibt das Klartextelement an Sie zurück.

AWSDatenbankverschlüsselungs-SDK für DynamoDB

Die clientseitige Verschlüsselung bietet durchgängigen Schutz für Ihre Daten, während der Übertragung und im Ruhezustand, von der Quelle bis zur Speicherung in DynamoDB. Ihre Klartextdaten werden niemals an Dritte weitergegeben, einschließlich AWS. Sie können das AWS Database Encryption SDK für DynamoDB mit neuen DynamoDB-Tabellen verwenden oder Ihre vorhandenen Amazon DynamoDB-Tabellen auf Version 3 migrieren. x der clientseitigen Java-Verschlüsselungsbibliothek für DynamoDB.

  • Ihre Daten sind während des Transports und im Ruhezustand geschützt. Es wird niemals Dritten zugänglich gemacht, auch nichtAWS.

  • Sie können Ihre Tabellenelemente signieren. Sie können das AWS Datenbankverschlüsselungs-SDK für DynamoDB anweisen, eine Signatur für das gesamte oder einen Teil eines Tabellenelements zu berechnen, einschließlich der Primärschlüsselattribute. Mit dieser Signatur können Sie nicht autorisierte Änderungen am gesamten Element erkennen, einschließlich des Hinzufügens oder Löschens von Attributen oder des Vertauschens von Attributwerten.

  • Sie bestimmen, wie Ihre Daten geschützt werden, indem Sie einen Schlüsselbund auswählen. Ihr Schlüsselbund bestimmt die Verpackungsschlüssel, die Ihre Datenschlüssel und letztlich Ihre Daten schützen. Verwenden Sie die sichersten Verpackungsschlüssel, die für Ihre Aufgabe praktisch sind.

  • Das AWS Database Encryption SDK für DynamoDB verschlüsselt nicht die gesamte Tabelle. Sie wählen aus, welche Attribute in Ihren Artikeln verschlüsselt werden. Das AWS Datenbankverschlüsselungs-SDK für DynamoDB verschlüsselt kein ganzes Element. Es verschlüsselt weder Attributnamen noch die Namen oder Werte der Primärschlüsselattribute (Partitionsschlüssel und Sortierschlüssel).

AWS Encryption SDK

Wenn Sie Daten verschlüsseln, die Sie in DynamoDB speichern, empfehlen wir das AWS Database Encryption SDK für DynamoDB.

Die AWS Encryption SDK ist eine clientseitige Verschlüsselungsbibliothek, die Ihnen hilft, generische Daten zu verschlüsseln und zu entschlüsseln. Obwohl sie beliebige Datentypen schützen kann, ist sie nicht darauf ausgelegt, mit strukturierten Daten wie Datenbankeinträgen zu arbeiten. Im Gegensatz zum AWS Database Encryption SDK für DynamoDB AWS Encryption SDK kann es keine Integritätsprüfung auf Elementebene bereitstellen und es gibt keine Logik, um Attribute zu erkennen oder die Verschlüsselung von Primärschlüsseln zu verhindern.

Wenn Sie das verwendenAWS Encryption SDK, um ein Element Ihrer Tabelle zu verschlüsseln, denken Sie daran, dass es nicht mit dem AWS Database Encryption SDK for DynamoDB kompatibel ist. Sie können nicht mit einer Bibliothek verschlüsseln und mit einer anderen entschlüsseln.