Mise en cache des clés de données

La mise en cache des clés de données stocke les clés de données et les matériaux de chiffrement connexes dans un cache. Lorsque vous chiffrez ou déchiffrez des données, la AWS Encryption SDK clé de données correspondante est recherchée dans le cache. Si une correspondance est trouvée, il utilise la clé de données mise en cache au lieu d'en générer une nouvelle. La mise en cache des clés de données peut améliorer les performances, réduire les coûts et vous aider à respecter les limites de service lorsque votre application grandit.

Votre application peut tirer parti de la mise en cache des clés de données si :

elle peut réutiliser les clés de données ;
elle génère de nombreuses clés de données ;
vos opérations de chiffrement sont trop lentes, trop coûteuses, trop limitées ou utilisent trop de ressources.

La mise en cache peut réduire votre utilisation de services cryptographiques, tels que AWS Key Management Service ()AWS KMS. Si vous atteignez votre AWS KMS requests-per-secondlimite, la mise en cache peut vous aider. Votre application peut utiliser des clés mises en cache pour répondre à certaines de vos demandes de clés de données au lieu d'appeler AWS KMS. (Vous pouvez également créer un dossier dans le AWS Support Center pour augmenter la limite de votre compte.)

Il vous AWS Encryption SDK aide à créer et à gérer votre cache de clés de données. Il fournit un cache local et un gestionnaire de matériel cryptographique de mise en cache (CMM de mise en cache) qui interagit avec le cache et applique les seuils de sécurité que vous définissez. Associés, ces composants vous permettent de bénéficier de l'efficacité que génère la réutilisation des clés de données, tout en préservant la sécurité de votre système.

La mise en cache des clés de données est une fonctionnalité facultative AWS Encryption SDK que vous devez utiliser avec prudence. Par défaut, une nouvelle clé de données est générée pour chaque opération de chiffrement. AWS Encryption SDK Cette technique prend en charge les bonnes pratiques de chiffrement, ce qui dissuade de réutiliser excessivement les clés de données. En général, utilisez la mise en cache des clés de données uniquement lorsqu'elle est nécessaire pour atteindre vos objectifs de performance. Ensuite, utilisez les seuils de sécurité de la mise en cache des clés de données afin vous assurer que vous utilisez la quantité minimale de mise en cache requise pour atteindre vos objectifs de coûts et de performance.

Le CMM de mise en cache n'est pas pris en charge par le AWS Encryption SDK pour .NET. Version 3. x of the prend Kit SDK de chiffrement AWS pour Java uniquement en charge le CMM de mise en cache avec l'ancienne interface des fournisseurs de clés principales, et non avec l'interface keyring. Cependant, version 4. x du AWS Encryption SDK pour .NET et la version 3. x du Kit SDK de chiffrement AWS pour Java support le trousseau de clés AWS KMS hiérarchique, une solution alternative de mise en cache de matériaux cryptographiques. Le contenu chiffré avec le trousseau de clés AWS KMS hiérarchique ne peut être déchiffré qu'avec le trousseau de clés hiérarchique. AWS KMS

Pour une discussion détaillée de ces compromis en matière de sécurité, voir AWS Encryption SDK: Comment déterminer si la mise en cache des clés de données convient à votre application dans le blog sur la AWS sécurité.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Versions

Utilisation de la mise en cache des clés de données