Fournisseur de matériel cryptographique

Note

Notre bibliothèque de chiffrement côté client a été renommée AWS Database Encryption SDK. La rubrique suivante fournit des informations sur les versions 1. x —2. x du client de chiffrement DynamoDB pour Java et versions 1. x —3. x du client de chiffrement DynamoDB pour Python. Pour plus d'informations, voir AWSDatabase Encryption SDK pour connaître la prise en charge des versions de DynamoDB.

L'une des décisions les plus importantes que vous prenez lorsque vous utilisez le client de chiffrement DynamoDB est de sélectionner un fournisseur de matériel cryptographique (CMP). Le fournisseur CMP assemble et retourne les matériaux de déchiffrement au chiffreur d'élément. Il détermine aussi la façon dont les clés de chiffrement et les clés de signature sont générées, que les nouveaux matériaux de clés soient générés pour chaque élément ou soient réutilisés, et les algorithmes de chiffrement et de signature qui sont utilisés.

Vous pouvez choisir un CMP parmi les implémentations fournies dans les bibliothèques du client de chiffrement DynamoDB ou créer un CMP personnalisé compatible. Le choix du fournisseur CMP peut aussi dépendre du langage de programmation que vous utilisez.

Cette rubrique décrit les CMP les plus courants et propose quelques conseils pour vous aider à choisir le meilleur fournisseur pour votre application.

Fournisseur de matériaux KMS direct

Le fournisseur de matériaux Direct KMS protège les éléments de votre table sous et AWS KMS keyqui ne sortent jamais AWS Key Management Service(AWS KMS) non chiffrés. Votre application n'a pas à générer ou gérer des matériaux de chiffrement. Comme il utilise la AWS KMS key pour générer des clés de chiffrement et de signature uniques pour chaque élément, ce fournisseur appelle AWS KMS chaque fois qu'il chiffre ou déchiffre un élément.

Si vous utilisez AWS KMS et qu'un appel AWS KMS par transaction convient à votre application, ce fournisseur constitue un bon choix.

Pour plus de détails, consultez Fournisseur de matériaux KMS direct.

Fournisseur CMP encapsulé

Le Wrapped Materials Provider (Wrapped CMP) vous permet de générer et de gérer vos clés d'encapsulation et de signature en dehors du client de chiffrement DynamoDB.

Le fournisseur CMP encapsulé génère une clé de chiffrement unique pour chaque élément. Puis, il utilise les clés d'encapsulation (ou de désencapsulation) et de signature que vous fournissez. En tant que tel, vous déterminez de quelle façon les clés d'encapsulation et de signature sont générées, et si elles sont propres à chaque élément ou sont réutilisées. Le fournisseur CMP encapsulé constitue une alternative sécurisée au fournisseur KMS direct pour les applications qui n'utilisent pas AWS KMS et peuvent gérer de façon sécurisée les matériaux de chiffrement.

Pour plus de détails, consultez Fournisseur de matériaux encapsulé.

À propos du fournisseur le plus récent

Le fournisseur le plus récent est un fournisseur CMP conçu pour travailler avec un magasin de fournisseur. Il obtient les fournisseurs CMP auprès d'un magasin de fournisseur et les matériaux de chiffrement qu'il retourne auprès des CMP. Le fournisseur le plus récent utilise généralement chaque fournisseur CMP pour satisfaire plusieurs demandes de matériaux de chiffrement, mais vous pouvez utiliser les fonctions du magasin de fournisseur pour contrôler l'étendue à laquelle les matériaux sont réutilisés, déterminer à quelle fréquence a lieu la rotation des fournisseurs CMP et, même, modifier le type de fournisseur CMP utilisé sans modifier le fournisseur le plus récent.

Vous pouvez utiliser le fournisseur le plus récent avec n'importe quel magasin de fournisseur compatible. Le client de chiffrement DynamoDB inclut unMetaStore, qui est un magasin fournisseur qui renvoie des CMP encapsulés.

Le fournisseur le plus récent constitue un bon choix pour les applications qui doivent minimiser les appels à leur source de chiffrement, et pour les applications qui peuvent réutiliser certains matériaux de chiffrement sans enfreindre leurs exigences de sécurité. Par exemple, il vous permet de protéger vos documents cryptographiques sous un AWS KMS keyin AWS Key Management Service(AWS KMS) sans appeler AWS KMS chaque fois que vous chiffrez ou déchiffrez un élément.

Pour plus de détails, consultez À propos du fournisseur le plus récent.

Fournisseur de matériaux statique

Le Static Materials Provider est conçu pour les tests, les proof-of-concept démonstrations et la compatibilité avec les anciens modèles. Il ne génère pas de matériaux de chiffrement uniques pour chaque élément. Il retourne les mêmes clés de chiffrement et de signature que vous fournissez, et ces clés sont utilisées directement pour chiffrer, déchiffrer et signer vos éléments de table.

Note

Le fournisseur statique asymétrique de la bibliothèque Java n'est pas un fournisseur statique. Il fournit juste d'autres constructeurs au fournisseur CMP encapsulé. Il est sûr pour une utilisation en production, mais vous devez utiliser directement le CMP encapsulé chaque fois que possible.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Concepts

Fournisseur KMS direct