Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrement côté client et côté serveur
| Notre bibliothèque de chiffrement côté client a été renommée AWS Database Encryption SDK. Ce guide du développeur fournit toujours des informations sur le client de chiffrement DynamoDB. |
Le SDK AWS Database Encryption pour DynamoDB prend en charge le chiffrement côté client, dans le cadre duquel vous chiffrez les données de votre table avant de les envoyer à votre base de données. DynamoDB fournit toutefois une fonctionnalité de chiffrement au repos côté serveur qui chiffre de manière transparente votre table lorsqu'elle est conservée sur disque et la déchiffre lorsque vous y accédez.
Les outils que vous choisissez dépendent de la sensibilité de vos données et des exigences de sécurité de votre application. Vous pouvez utiliser à la fois le SDK AWS de chiffrement de base de données pour DynamoDB et le chiffrement au repos. Lorsque vous envoyez des éléments chiffrés et signés à DynamoDB, DynamoDB ne reconnaît pas ces éléments comme étant protégés. Il détecte simplement les éléments de table classiques avec ses valeurs d'attribut binaires.
Chiffrement côté serveur au repos
DynamoDB prend en charge le chiffrement au repos, une fonctionnalité de chiffrement côté serveur grâce à laquelle DynamoDB chiffre vos tables de manière transparente pour vous lorsque la table est conservée sur disque, et les déchiffre lorsque vous accédez aux données de la table.
Lorsque vous utilisez un AWS SDK pour interagir avec DynamoDB, par défaut, vos données sont cryptées lors du transit via une connexion HTTPS, décryptées au niveau du point de terminaison DynamoDB, puis recryptées avant d'être stockées dans DynamoDB.
-
Chiffrement par défaut. DynamoDB chiffre et déchiffre de manière transparente toutes les tables lors de leur écriture. Aucune option ne permet d'activer ou de désactiver le chiffrement au repos.
-
DynamoDB crée et gère les clés cryptographiques.La clé unique de chaque table est protégée par une clé AWS KMS keyqui ne laisse jamais AWS Key Management Service(AWS KMS) non chiffrée. Par défaut, DynamoDB utilise une clé Clé détenue par AWSdans le compte de service DynamoDB, mais vous pouvez choisir une clé Clé gérée par AWSou une clé gérée par le client dans votre compte pour protéger certaines ou toutes vos tables.
-
Toutes les données des tables sont cryptées sur disque.Lorsqu'une table cryptée est enregistrée sur disque, DynamoDB chiffre toutes les données de la table, y compris la clé primaire et les index secondaires locaux et globaux. Si votre table a une clé de tri, certaines clés de tri qui marquent les limites de plage sont stockées en texte brut dans les métadonnées de la table.
-
Les objets liés aux tables sont également chiffrés. Le chiffrement au repos protège les flux DynamoDB, les tables globales et les sauvegardes chaque fois qu'ils sont écrits sur un support durable.
-
Vos articles sont déchiffrés lorsque vous y accédez.Lorsque vous accédez à la table, DynamoDB déchiffre la partie de la table qui inclut votre élément cible et vous renvoie l'élément en texte brut.
AWSSDK de chiffrement de base de données pour DynamoDB
Le chiffrement côté serveur fournit une protection de bout en bout à vos données, en transit et au repos, depuis sa source jusqu'au stockage dans DynamoDB. Vos données en texte brut ne sont jamais exposées à une partie tierce, AWS inclus. Vous pouvez utiliser le SDK AWS de chiffrement de base de données pour DynamoDB avec de nouvelles tables DynamoDB, ou vous pouvez migrer vos tables Amazon DynamoDB existantes vers la version 3. x de la bibliothèque de chiffrement Java côté client pour DynamoDB.
-
Vos données sont protégées en transit et au repos. Il n'est jamais exposé à des tiers, y comprisAWS.
-
Vous pouvez signer les éléments de vos tables. Vous pouvez demander au SDK AWS de chiffrement de base de données pour DynamoDB de calculer une signature sur tout ou partie d'un élément de table, y compris les attributs de clé primaire. Cette signature vous permet de détecter les modifications non autorisées sur l'élément comme un tout, y compris l'ajout ou la suppression d'attributs, ou le remplacement d'une valeur d'attribut par une autre.
-
Vous déterminez la manière dont vos données sont protégées en sélectionnant un porte-clés. Votre porte-clés détermine les clés d'encapsulation qui protègent vos clés de données et, en fin de compte, vos données. Utilisez les clés d'emballage les plus sûres et les plus pratiques pour votre tâche.
-
Le SDK AWS de chiffrement de base de données pour DynamoDB ne chiffre pas l'intégralité de la table. Vous choisissez les attributs qui seront chiffrés dans vos articles. Le SDK AWS de chiffrement de base de données pour DynamoDB ne chiffre pas l'intégralité d'un élément. Il ne chiffre pas les noms d'attribut, ou les noms ou valeurs des attributs de clé primaire (clé de partition et clé de tri).
AWS Encryption SDK
Si vous cryptez des données que vous stockez dans DynamoDB, nous vous recommandons d'utiliser le SDK de chiffrement de AWS base de données pour DynamoDB.
Le kit AWS Encryption SDK est une bibliothèque de chiffrement côté serveur qui vous aide à chiffrer et déchiffrer les données génériques. Même s'il peut protéger tout type de données, il n'est pas conçu pour fonctionner avec des données structurées, comme les enregistrements de base de données. Contrairement au SDK AWS de chiffrement de base de données pour DynamoDB, il AWS Encryption SDK ne peut pas fournir de vérification d'intégrité au niveau des éléments et ne dispose d'aucune logique permettant de reconnaître les attributs ou d'empêcher le chiffrement des clés primaires.
Si vous utilisez le AWS Encryption SDK pour chiffrer un élément de votre table, n'oubliez pas qu'il n'est pas compatible avec le SDK de chiffrement de AWS base de données pour DynamoDB. Vous ne pouvez pas chiffrer avec une bibliothèque et déchiffrer avec l'autre.
