Développé dans des référentiels open source Support et maintenance Envoyer un commentaire

Qu'est-ce que le SDK AWS de chiffrement des bases de données ?

Notre bibliothèque de chiffrement côté client a été renommée SDK de chiffrement de AWS base de données. Ce guide du développeur fournit toujours des informations sur le client de chiffrement DynamoDB.

Le SDK AWS Database Encryption est un ensemble de bibliothèques logicielles qui vous permettent d'inclure le chiffrement côté client dans la conception de votre base de données. Le SDK AWS Database Encryption fournit des solutions de chiffrement au niveau des enregistrements. Vous spécifiez quels champs sont cryptés et quels champs sont inclus dans les signatures afin de garantir l'authenticité de vos données. Le chiffrement de vos données sensibles en transit et au repos permet de garantir que vos données en texte brut ne sont pas accessibles à des tiers, y compris. AWS Le SDK AWS de chiffrement de base de données est fourni gratuitement sous la licence Apache 2.0.

Ce guide du développeur fournit une présentation conceptuelle du SDK AWS Database Encryption, notamment une introduction à son architecture, des détails sur la façon dont il protège vos données, en quoi il diffère du chiffrement côté serveur et des conseils sur la sélection des composants essentiels de votre application afin de vous aider à démarrer.

Le SDK AWS Database Encryption prend en charge Amazon DynamoDB avec un chiffrement au niveau des attributs. Version 3. x de la bibliothèque de chiffrement côté client Java pour DynamoDB est une réécriture majeure du client de chiffrement DynamoDB pour Java. Il inclut de nombreuses mises à jour, telles qu'un nouveau format de données structuré, une prise en charge améliorée de la mutualisation, un chiffrement consultable et la prise en charge de modifications de schéma fluides.

Le SDK AWS de chiffrement de base de données présente les avantages suivants :

Conçu spécialement pour les applications de base de données

Il n'est pas nécessaire d'être un expert en cryptographie pour utiliser le SDK AWS Database Encryption. Les implémentations incluent des méthodes d'assistance conçues pour fonctionner avec vos applications existantes.

Après avoir créé et configuré les composants requis, le client de chiffrement chiffre et signe de manière transparente vos enregistrements lorsque vous les ajoutez à une base de données, puis les vérifie et les déchiffre lorsque vous les récupérez.

Inclut le chiffrement et la signature sécurisées

Le SDK AWS de chiffrement de base de données inclut des implémentations sécurisées qui chiffrent les valeurs des champs de chaque enregistrement à l'aide d'une clé de chiffrement des données unique, puis signent l'enregistrement pour le protéger contre les modifications non autorisées, telles que l'ajout ou la suppression de champs, ou l'échange de valeurs chiffrées.

Utilise les matériaux de chiffrement de n'importe quelle source

Le SDK AWS Database Encryption utilise des trousseaux de clés pour générer, chiffrer et déchiffrer la clé de chiffrement des données unique qui protège votre dossier. Les porte-clés déterminent les clés d'encapsulation qui chiffrent cette clé de données.

Vous pouvez utiliser des clés d'encapsulage provenant de n'importe quelle source, y compris des services de cryptographie tels que AWS Key Management Service(AWS KMS) ou AWS CloudHSM. Le SDK AWS de chiffrement de base de données ne nécessite Compte AWS aucun AWS service.

Support pour la mise en cache du matériel cryptographique

Le trousseau de clés AWS KMS hiérarchique est une solution de mise en cache des matériaux cryptographiques qui réduit le nombre d' AWS KMS appels en utilisant des clés de branche AWS KMS protégées conservées dans une table Amazon DynamoDB, puis en mettant en cache localement les éléments clés de branche utilisés dans les opérations de chiffrement et de déchiffrement. Il vous permet de protéger votre matériel cryptographique sous une clé KMS de chiffrement symétrique sans avoir à appeler AWS KMS chaque fois que vous chiffrez ou déchiffrez un enregistrement. Le porte-clés AWS KMS hiérarchique est un bon choix pour les applications qui doivent minimiser les appels à AWS KMS.

Chiffrement consultable

Vous pouvez concevoir des bases de données capables de rechercher des enregistrements chiffrés sans déchiffrer l'intégralité de la base de données. En fonction de votre modèle de menace et de vos exigences en matière de requêtes, vous pouvez utiliser le chiffrement consultable pour effectuer des recherches de correspondance exacte ou des requêtes complexes plus personnalisées sur votre base de données cryptée.

Support pour les schémas de base de données mutualisés

Le SDK AWS Database Encryption vous permet de protéger les données stockées dans des bases de données avec un schéma partagé en isolant chaque client avec des matériaux de chiffrement distincts. Si plusieurs utilisateurs effectuent des opérations de chiffrement dans votre base de données, utilisez l'un des trousseaux de AWS KMS clés pour fournir à chaque utilisateur une clé distincte à utiliser dans ses opérations cryptographiques. Pour plus d’informations, consultez Utilisation de bases de données mutualisées.

Support pour des mises à jour de schéma fluides

Lorsque vous configurez le SDK de chiffrement de AWS base de données, vous fournissez des actions cryptographiques qui indiquent au client les champs à chiffrer et à signer, les champs à signer (mais pas à chiffrer) et ceux à ignorer. Après avoir utilisé le SDK AWS de chiffrement de base de données pour protéger vos enregistrements, vous pouvez toujours apporter des modifications à votre modèle de données. Vous pouvez mettre à jour vos actions cryptographiques, telles que l'ajout ou la suppression de champs chiffrés, en un seul déploiement.

Développé dans des référentiels open source

Le SDK AWS Database Encryption est développé dans des référentiels open source sur. GitHub Vous pouvez utiliser ces référentiels pour consulter le code, lire et signaler les problèmes, et trouver des informations spécifiques à votre implémentation.

Le SDK AWS de chiffrement de base de données pour DynamoDB

Le dépôt aws-database-encryption-sdk-dynamodb est GitHub compatible avec la version 3. x et versions ultérieures du SDK de chiffrement AWS de base de données pour DynamoDB en Java et .NET.

Version 3. x du SDK de chiffrement de AWS base de données pour DynamoDB est un produit de Dafny, un langage de vérification dans lequel vous rédigez les spécifications, le code pour les implémenter et les preuves pour les tester. Le résultat est une bibliothèque qui implémente les fonctionnalités du SDK de chiffrement de AWS base de données pour DynamoDB dans une structure garantissant l'exactitude fonctionnelle.

Support et maintenance

Le SDK AWS Database Encryption utilise la même politique de maintenance que le AWS SDK et les outils, y compris ses phases de versionnement et de cycle de vie. En tant que bonne pratique, nous vous recommandons d'utiliser la dernière version disponible du SDK de chiffrement de base de données pour l'implémentation de votre AWS base de données, et de procéder à une mise à niveau à mesure que de nouvelles versions sont publiées.

Pour plus d'informations, consultez la politique de maintenance AWS des SDK et des outils dans le Guide de référence AWS des SDK et des outils.

Envoyer un commentaire

Nous apprécions vos commentaires. Si vous avez une question ou un commentaire, ou un problème à signaler, veuillez utiliser les ressources suivantes.

Si vous découvrez une faille de sécurité potentielle dans le SDK de chiffrement des AWS bases de données, veuillez en informer le service AWS de sécurité. Ne créez pas de GitHub problème public.

Pour émettre des commentaires sur cette documentation, utilisez le lien des commentaires sur n'importe quelle page.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Concepts