cifrado del cliente o del lado del servidor - AWS SDK de cifrado de bases de datos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

cifrado del cliente o del lado del servidor

Nuestra biblioteca de cifrado del cliente pasó a llamarse SDK de cifrado de bases de datos de AWS. En esta guía para desarrolladores, se sigue proporcionando información sobre el cliente de cifrado de DynamoDB.

El SDK de cifrado de bases de datos de AWS para DynamoDB admite el cifrado del cliente, que permite cifrar los datos de la tabla antes de enviarlos a su base de datos. Sin embargo, admite una característica de cifrado en reposo que cifra de modo transparente la tabla cuando se almacena en disco y la descifra cuando accede a la tabla.

Las herramientas que elija dependen de la confidencialidad de sus datos y de los requisitos de seguridad de su aplicación. Puede usar tanto el SDK de cifrado de bases de datos de AWS para DynamoDB como el cifrado en reposo. Cuando envía elementos cifrados y firmados a , no reconoce los elementos como protegidos. Detecta elementos de tabla típicos con valores de atributo binario.

Cifrado del lado del servidor en reposo

DynamoDB admite el cifrado en reposo, una característica de cifrado del servidor en la que DynamoDB cifra de modo transparente las tablas cuando la tabla se almacena en disco y las descifra cuando se accede a los datos de la tabla.

Cuando usa un SDK de AWS para interactuar con DynamoDB, los datos se cifran en tránsito a través de una conexión HTTPS automáticamente, se descifran en el punto de conexión de DynamoDB y, a continuación, se vuelven a cifrar antes de almacenarse en DynamoDB.

  • Cifrado de forma predeterminada. DynamoDB cifra y descifra de forma transparente todas las tablas cuando se escriben. No existe la opción de habilitar o deshabilitar el cifrado en reposo.

  • DynamoDB crea y administra las claves criptográficas. La clave única de cada tabla está protegida por un AWS KMS key que nunca se deja AWS Key Management Service (AWS KMS) sin cifrar. De forma predeterminada, DynamoDB utiliza una Clave propiedad de AWS en la cuenta de servicio de DynamoDB, pero puede elegir una Clave administrada de AWS o una clave gestionada por el cliente en su cuenta para proteger algunas o todas sus tablas.

  • Todos los datos de la tabla se cifran en disco. Cuando una tabla cifrada se guarda en disco, cifra todos los datos de la tabla, incluida la clave principal y los índices secundarios locales y globales. Si la tabla tiene una clave de clasificación, algunas de las claves de ordenación que marcan los límites del rango se almacenan en texto no cifrado en los metadatos de la tabla.

  • Los objetos relacionados con las tablas también están cifrados. El cifrado en reposo protege los flujos de , las tablas globales y las copias de seguridad cada vez que se escriben en medios duraderos.

  • Sus elementos se descifran cuando accede a ellos. Cuando accede a la tabla, DynamoDB descifra la parte de la tabla que incluye el elemento de destino y le devuelve el elemento de texto no cifrado.

SDK de cifrado de bases de datos de AWS para DynamoDB

El cifrado del cliente proporciona protección integral para sus datos, en tránsito y en reposo, desde su origen al almacenamiento en DynamoDB. Sus datos de texto no cifrado no se exponen nunca a terceros, incluido AWS. Puede utilizar el SDK de cifrado de bases de datos de AWS para DynamoDB con nuevas tablas de DynamoDB o migrar las tablas existentes de Amazon DynamoDB a la versión 3. x de la biblioteca de cifrado del cliente de Java para DynamoDB.

  • Sus datos se protegen en tránsito y en reposo. Nunca se exponen a terceros, incluido AWS.

  • Puede firmar sus elementos de tabla. Puede dirigir el SDK de cifrado de bases de datos de AWS para DynamoDB para calcular una firma sobre todo o parte de un elemento de tabla, incluidos los atributos de clave principal y el nombre de la tabla. Esta firma permite detectar cambios no autorizados en el elemento en general, incluida la adición o eliminación de atributos o el cambio de valores de atributo.

  • Para determinar cómo se protegen los datos, seleccione un conjunto de claves. Su llavero determina las claves de encapsulación que protegen sus claves de datos y, en última instancia, sus datos. Utilice las claves de encapsulación más seguras que resulten prácticas para su tarea.

  • El SDK de cifrado de bases de datos de AWS para DynamoDB no cifra toda la tabla. Usted elige qué atributos se cifrarán en sus elementos. El SDK de cifrado de bases de datos de AWS para DynamoDB no cifra un elemento completo. No cifra nombres de atributo o los nombres o valores de los atributos de clave principal (clave de partición y clave de clasificación).

AWS Encryption SDK

Si va a cifrar los datos que almacena en DynamoDB, le recomendamos el SDK de cifrado de bases de datos de AWS para DynamoDB.

La AWS Encryption SDK es una biblioteca de cifrado del cliente que le ayuda a cifrar y descifrar datos genéricos. Aunque puede proteger cualquier tipo de datos, no se ha diseñado para funcionar con datos estructurados, como registros de base de datos. A diferencia del SDK de cifrado de bases de datos de AWS para DynamoDB, el AWS Encryption SDK no puede proporcionar comprobación de integridad de nivel de elemento y no tiene lógica para reconocer atributos o evitar el cifrado de claves principales.

Si utiliza el AWS Encryption SDK para cifrar cualquier elemento de su tabla, recuerde que no es compatible con el SDK de cifrado de bases de datos de AWS para DynamoDB. No puede cifrar con una biblioteca y descifrar con la otra.