Mise à jour en coursAWS KMSporte-clés - AWS Encryption SDK

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mise à jour en coursAWS KMSporte-clés

Dans laAWS KMSporte-clés dans leKit SDK de chiffrement AWS pour C, leAWS Encryption SDKpour .NET, et leKit SDK de chiffrement AWS pour JavaScriptsoutenirbonnes pratiquesen vous permettant de spécifier des clés d'encapsulation lors du chiffrement et du déchiffrement. Si vous créez unAWS KMSporte-clés Discovery, vous le faites de manière explicite.

Note

La version la plus ancienne duAWS Encryption SDKpour .NET, c'est la version 3.0.x. Toutes les versions duAWS Encryption SDKpour .NET, prenez en charge les meilleures pratiques de sécurité introduites dans la version 2.0.xde laAWS Encryption SDK. Vous pouvez passer à la dernière version en toute sécurité sans aucune modification du code ou des données.

Lorsque vous effectuez une mise à jour vers la dernière version 1.xversion duAWS Encryption SDK, vous pouvez utiliserfiltre de découvertepour limiter les clés d'encapsulation qu'unAWS KMSporte-clés DiscoveryouAWS KMSporte-clés Découverte régionaleutilisations lors du déchiffrement vers ceux en particulierComptes AWS. Le filtrage d'un trousseau de découverte est uneAWS Encryption SDK bonne pratique.

Les exemples de cette section vous montreront comment ajouter le filtre de découverte à unAWS KMSporte-clés de découverte régional.

En savoir plus sur la migration

Pour toutesAWS Encryption SDKutilisateurs, découvrez comment définir votre politique d'engagement dansDéfinition de votre politique d'engagement.

PourKit SDK de chiffrement AWS pour Java,Kit SDK de chiffrement AWS pour Python, etAWSUtilisateurs de la CLI de chiffrement, découvrez la mise à jour requise pour les fournisseurs de clés principales dansMise à jour des fournisseurs de clés AWS KMS principales.

 

Vous pouvez avoir du code comme celui-ci dans votre application. Cet exemple crée unAWS KMStrousseau de découverte régional qui ne peut utiliser les clés d'enrobage que dans la Région USA Ouest (Oregon) (us-west-2). Cet exemple représente le code dansAWS Encryption SDKversions antérieures à 1.7.x. Cependant, il est toujours valide dans les versions 1.7.xet plus tard.

C
struct aws_cryptosdk_keyring *kms_regional_keyring = Aws::Cryptosdk::KmsKeyring::Builder() .WithKmsClient(create_kms_client(Aws::Region::US_WEST_2)).BuildDiscovery());
JavaScript Browser
const clientProvider = getClient(KMS, { credentials }) const discovery = true const clientProvider = limitRegions(['us-west-2'], getKmsClient) const keyring = new KmsKeyringBrowser({ clientProvider, discovery })
JavaScript Node.js
const discovery = true const clientProvider = limitRegions(['us-west-2'], getKmsClient) const keyring = new KmsKeyringNode({ clientProvider, discovery })

À partir de la version 1.7.x, vous pouvez ajouter un filtre de découverte à n'importe quelAWS KMSporte-clés Discovery. Ce filtre de découverte limiteAWS KMS keysque leAWS Encryption SDKpeut être utilisé pour le déchiffrement de ceux qui se trouvent dans la partition et les comptes spécifiés. Avant d'utiliser ce code, modifiez la partition, si nécessaire, et remplacez les exemples d'ID de compte par des identifiants valides.

C

Pour obtenir un exemple complet, consultezkms_discovery.cpp.

std::shared_ptr<KmsKeyring::DiscoveryFilter> discovery_filter( KmsKeyring::DiscoveryFilter::Builder("aws") .AddAccount("111122223333") .AddAccount("444455556666") .Build()); struct aws_cryptosdk_keyring *kms_regional_keyring = Aws::Cryptosdk::KmsKeyring::Builder() .WithKmsClient(create_kms_client(Aws::Region::US_WEST_2)).BuildDiscovery(discovery_filter));
JavaScript Browser
const clientProvider = getClient(KMS, { credentials }) const discovery = true const clientProvider = limitRegions(['us-west-2'], getKmsClient) const keyring = new KmsKeyringBrowser(clientProvider, { discovery, discoveryFilter: { accountIDs: ['111122223333', '444455556666'], partition: 'aws' } })
JavaScript Node.js

Pour obtenir un exemple complet, consultezkms_filtered_discovery.ts.

const discovery = true const clientProvider = limitRegions(['us-west-2'], getKmsClient) const keyring = new KmsKeyringNode({ clientProvider, discovery, discoveryFilter: { accountIDs: ['111122223333', '444455556666'], partition: 'aws' } })