Mise en cache des clés de données - AWS Encryption SDK

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mise en cache des clés de données

La mise en cache des clés de données stocke les clés de données et les matériaux de chiffrement connexes dans un cache. Lorsque vous chiffrez ou déchiffrez les données, le kit AWS Encryption SDK recherche une clé de données correspondante dans le cache. Si une correspondance est trouvée, il utilise la clé de données mise en cache au lieu d'en générer une nouvelle. La mise en cache des clés de données peut améliorer les performances, réduire les coûts et vous aider à respecter les limites de service lorsque votre application grandit.

Votre application peut tirer parti de la mise en cache des clés de données si :

  • elle peut réutiliser les clés de données ;

  • elle génère de nombreuses clés de données ;

  • vos opérations de chiffrement sont trop lentes, trop coûteuses, trop limitées ou utilisent trop de ressources.

La mise en cache peut réduire votre utilisation des services de chiffrement, comme AWS Key Management Service (AWS KMS). Si vous atteignez votre AWS KMS requests-per-second limite, la mise en cache peut vous aider. Votre application peut utiliser les clés mises en cache pour répondre à certaines de vos demandes de clés de données au lieu d'appeler AWS KMS. (Vous pouvez également créer un dossier dans le AWSSupport Center pour augmenter la limite de votre compte.)

Le kit AWS Encryption SDK vous permet de créer et de gérer la mise en cache des clés de données. Il fournit un cache local et un gestionnaire de matériel cryptographique de mise en cache (CMM de mise en cache) qui interagit avec le cache et applique les seuils de sécurité que vous définissez. Associés, ces composants vous permettent de bénéficier de l'efficacité que génère la réutilisation des clés de données, tout en préservant la sécurité de votre système.

La mise en cache des clés de données est une fonction facultative du kit AWS Encryption SDK que vous devez utiliser avec précaution. Par défaut, le kit AWS Encryption SDK génère une nouvelle clé de données pour chaque opération de chiffrement. Cette technique prend en charge les bonnes pratiques de chiffrement, ce qui dissuade de réutiliser excessivement les clés de données. En général, utilisez la mise en cache des clés de données uniquement lorsqu'elle est nécessaire pour atteindre vos objectifs de performance. Ensuite, utilisez les seuils de sécurité de la mise en cache des clés de données afin vous assurer que vous utilisez la quantité minimale de mise en cache requise pour atteindre vos objectifs de coûts et de performance.

La mise en cache des clés de données n'est pas prise en charge par .NET. AWS Encryption SDK Version 3. x de Kit SDK de chiffrement AWS pour Java déconseille le CMM de mise en cache. Cependant, version 4. x du AWS Encryption SDK pour .NET et la version 3. x du Kit SDK de chiffrement AWS pour Java support le trousseau de clés AWS KMS hiérarchique, une solution alternative de mise en cache de matériaux cryptographiques.

Pour une discussion détaillée de ces compromis en matière de sécurité, voir AWS Encryption SDK: Comment déterminer si la mise en cache des clés de données convient à votre application dans le blog sur la AWS sécurité.