Comment choisir un fournisseur CMP - Client de chiffrement Amazon DynamoDB

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment choisir un fournisseur CMP

L'une des plus importantes décisions que vous prenez lors de l'utilisation du client de chiffrement DynamoDB consiste à sélectionner unfournisseur de matériaux de chiffrement(CMP). Le fournisseur CMP assemble et retourne les matériaux de déchiffrement au chiffreur d'élément. Il détermine aussi la façon dont les clés de chiffrement et les clés de signature sont générées, que les nouveaux matériaux de clés soient générés pour chaque élément ou soient réutilisés, et les algorithmes de chiffrement et de signature qui sont utilisés.

Vous pouvez choisir un CMP parmi les implémentations fournies dans les bibliothèques DynamoDB Enchiffrement Client ou générer un CMP personnalisé compatible. Le choix du fournisseur CMP peut aussi dépendre du langage de programmation que vous utilisez.

Cette rubrique décrit les CMP les plus courants et propose quelques conseils pour vous aider à choisir le meilleur fournisseur pour votre application.

Fournisseur de matériaux KMS direct

Le fournisseur Direct KMS Materials Provider protège vos éléments de table sous uneAWS KMS keyqui ne part jamaisAWS Key Management Service(AWS KMS) non chiffré. Votre application n'a pas à générer ou gérer des matériaux de chiffrement. Comme il utilise la AWS KMS key pour générer des clés de chiffrement et de signature uniques pour chaque élément, ce fournisseur appelle AWS KMS chaque fois qu'il chiffre ou déchiffre un élément.

Si vous utilisez AWS KMS et qu'un appel AWS KMS par transaction convient à votre application, ce fournisseur constitue un bon choix.

Pour en savoir plus, consultez Fournisseur de matériaux KMS direct.

Fournisseur CMP encapsulé

Le fournisseur CMP encapsulé vous permet de générer et de gérer vos clés d'encapsulation et de signature en dehors du client de chiffrement DynamoDB.

Le fournisseur CMP encapsulé génère une clé de chiffrement unique pour chaque élément. Puis, il utilise les clés d'encapsulation (ou de désencapsulation) et de signature que vous fournissez. En tant que tel, vous déterminez de quelle façon les clés d'encapsulation et de signature sont générées, et si elles sont propres à chaque élément ou sont réutilisées. Le fournisseur CMP encapsulé constitue une alternative sécurisée au fournisseur KMS direct pour les applications qui n'utilisent pas AWS KMS et peuvent gérer de façon sécurisée les matériaux de chiffrement.

Pour en savoir plus, consultez Fournisseur de matériaux encapsulé.

À propos du fournisseur le plus récent

Le fournisseur le plus récent est un fournisseur CMP conçu pour travailler avec un magasin de fournisseur. Il obtient les fournisseurs CMP auprès d'un magasin de fournisseur et les matériaux de chiffrement qu'il retourne auprès des CMP. Le fournisseur le plus récent utilise généralement chaque fournisseur CMP pour satisfaire plusieurs demandes de matériaux de chiffrement, mais vous pouvez utiliser les fonctions du magasin de fournisseur pour contrôler l'étendue à laquelle les matériaux sont réutilisés, déterminer à quelle fréquence a lieu la rotation des fournisseurs CMP et, même, modifier le type de fournisseur CMP utilisé sans modifier le fournisseur le plus récent.

Vous pouvez utiliser le fournisseur le plus récent avec n'importe quel magasin de fournisseur compatible. Le DynamoDB de chiffrement inclut un métastore, lequel est un magasin de fournisseur qui retourne les CMP encapsulés.

Le fournisseur le plus récent constitue un bon choix pour les applications qui doivent minimiser les appels à leur source de chiffrement, et pour les applications qui peuvent réutiliser certains matériaux de chiffrement sans enfreindre leurs exigences de sécurité. Par exemple, il vous permet de protéger vos matériaux de chiffrement sous uneAWS KMS keydansAWS Key Management Service(AWS KMS) sans appelerAWS KMSchaque fois que vous chiffrez ou déchiffrez un élément.

Pour en savoir plus, consultez À propos du fournisseur le plus récent.

Fournisseur de matériaux statique

Le fournisseur CMP statique est destiné aux tests, aux démonstrations preuve de concept et à la compatibilité de l'existant. Il ne génère pas de matériaux de chiffrement uniques pour chaque élément. Il retourne les mêmes clés de chiffrement et de signature que vous fournissez, et ces clés sont utilisées directement pour chiffrer, déchiffrer et signer vos éléments de table.

Note

Le fournisseur statique asymétrique de la bibliothèque Java n'est pas un fournisseur statique. Il fournit juste d'autres constructeurs au fournisseur CMP encapsulé. Il est sûr pour une utilisation en production, mais vous devez utiliser directement le CMP encapsulé chaque fois que possible.