Fonctionnement du client de chiffrement DynamoDB - Client de chiffrement Amazon DynamoDB

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnement du client de chiffrement DynamoDB

Le client de chiffrement DynamoDB est spécifiquement conçu pour protéger les données que vous stockez dans DynamoDB. Les bibliothèques incluent les implémentations sécurisées que vous pouvez étendre ou utiliser inchangées. Et, la plupart des éléments sont représentés par des éléments abstraits afin que vous puissiez créer et utiliser des composants personnalisés compatibles.

Chiffrement et signature des éléments de table

Au cœur du client de chiffrement DynamoDB se trouve unChiffreur d'élémentqui chiffre, signe, vérifie et déchiffre des éléments de table. Il prend les informations sur les éléments de table et les instructions sur les éléments à chiffrer et signer. Il obtient les matériaux de chiffrement et les instructions sur leur utilisation auprès d'un fournisseur CMP que vous sélectionnez et configurez.

Le schéma suivant illustre un aperçu de haut niveau du processus.


      Chiffrement et signature des éléments dans le client de chiffrement DynamoDB

Pour chiffrer et signer un élément de table, a besoin des éléments suivants :

  • Informations sur la table. Il obtient les informations sur la table auprès d'unClient de chiffrement DynamoDBque vous fournissez. Certaines animations obtiennent les informations requises auprès de DynamoDB auprès de DynamoDB et créent automatiquement le contexte de chiffrement DynamoDB.

    Note

    LeClient de chiffrement DynamoDBdans DynamoDB Encryption Client n'est pas lié aucontexte de chiffrementdansAWS Key Management Service(AWS KMS) et leAWS Encryption SDK.

  • Attributs à chiffrer et signer. Il obtient ces informations à partir des actions d'attribut que vous fournissez.

  • Matériaux de chiffrement, clés de chiffrement et de signature incluses. Il obtient ces informations auprès d'un fournisseur CMP que vous sélectionnez et configurez.

  • Instructions pour le chiffrement et la signature de l'élément. Le fournisseur CMP ajoute les instructions sur l'utilisation des matériaux de chiffrement, algorithmes de chiffrement et de signature inclus, à la description du matériau réel.

Le chiffreur d'élément utilise tous ces éléments pour chiffrer et signer l'élément. Le chiffreur d'élément ajoute aussi deux attributs à l'élément : un attribut de description de matériau qui contient les instructions de chiffrement et de signature (description du matériau réel), et un attribut qui contient la signature. Vous pouvez interagir directement avec le chiffreur d'élément, ou utilisez les fonctions d'annotation qui interagissent avec le chiffreur d'élément pour que vous implémentiez le comportement par défaut sécurisé.

Il en résulte un élément DynamoDB contenant les données chiffrées et signées.

Vérification et déchiffrement des éléments de table

Ces composants fonctionnent aussi ensemble pour vérifier et déchiffrer votre élément, comme illustré dans le schéma suivant.


      Vérification et déchiffrement des éléments dans le client de chiffrement DynamoDB

Pour vérifier et déchiffrer un élément, a besoin des mêmes composants, de composants avec la même configuration ou de composants spécialement conçus pour déchiffrer les éléments, comme suit :

  • Informations sur la tableà partir desClient de chiffrement DynamoDB.

  • Attributs à vérifier et à déchiffrer. Il obtient ces informations à partir des actions d'attribut.

  • Matériaux de déchiffrement, clés de vérification et de déchiffrement incluses, depuis le fournisseur CMP que vous sélectionnez et configurez.

    L'élément chiffré n'inclut pas d'enregistrement du CMP qui a été utilisé pour le chiffrer. Vous devez fournir le même CMP, un CMP avec la même configuration ou un CMP qui a été conçu pour déchiffrer les éléments.

  • Informations sur la façon dont l'élément a été chiffré et signé, algorithmes de chiffrement et de signature inclus. Le client obtient ces informations à partir de l'attribut de description du matériau de l'élément.

Le chiffreur d'élément utilise tous ces éléments pour vérifier et déchiffrer l'élément. Il supprime aussi les attribut de description de matériau et de signature. Le résultat est un élément DynamoDB en texte brut.