Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques de chiffrement pour AWS Encryption SDK
L'AWS Encryption SDK est une bibliothèque de chiffrement côté client open source. Il utilise les normes du secteur et les meilleures pratiques pour prendre en charge la mise en œuvre et l'interopérabilité dans plusieurs langages de programmation. AWS Encryption SDK chiffre les données à l'aide d'un algorithme de clé symétrique sécurisé et authentifié et propose une implémentation par défaut conforme aux meilleures pratiques de cryptographie. Pour plus d'informations, veuillez consulter Supported algorithm suites in the AWS Encryption SDK.
L'une des principales caractéristiques du AWS Encryption SDK est la prise en charge du chiffrement des données en cours d'utilisation. En adoptant une encrypt-then-use approche, vous pouvez chiffrer les données sensibles avant qu'elles ne soient traitées par la logique de votre application. Cela permet de protéger les données contre toute exposition ou altération potentielle, même si l'application elle-même est affectée par un événement de sécurité.
Tenez compte des bonnes pratiques suivantes pour ce service :
-
Respectez toutes les recommandations de Best practices for the AWS Encryption SDK.
-
Sélectionnez une ou plusieurs clés d'encapsulage pour protéger vos clés de données. Pour plus d'informations, veuillez consulter Select wrapping keys.
-
Transmettez le
KeyIdparamètre à l'ReEncryptopération pour empêcher l'utilisation d'une clé KMS non fiable. Pour plus d'informations, voir Chiffrement amélioré côté client : engagement explicite KeyIds et clé(article de AWS blog). -
Lorsque vous utilisez le AWS Encryption SDK with AWS KMS, utilisez le
KeyIdfiltrage local. Pour plus d'informations, voir Chiffrement amélioré côté client : engagement explicite KeyIds et clé(article de AWS blog). -
Pour les applications dont le trafic nécessite un chiffrement ou un déchiffrement importants, ou si votre compte dépasse les quotas de AWS KMS demandes, vous pouvez utiliser la fonction de mise en cache des clés de données du. AWS Encryption SDK Notez les bonnes pratiques suivantes pour la mise en cache des clés de données :
-
Configurez des seuils de sécurité du cache pour limiter la durée d'utilisation de chaque clé de données mise en cache et la quantité de données protégée par chaque clé de données. Pour obtenir des recommandations concernant la configuration de ces seuils, veuillez consulter Setting cache security thresholds.
-
Limitez le cache local au plus petit nombre de clés de données nécessaires pour améliorer les performances de votre cas d'utilisation d'application spécifique. Pour obtenir des instructions et un exemple de configuration des limites pour le cache local, voir Utilisation de la mise en cache des clés de données : Step-by-step.
Pour plus d'informations, voir AWS Encryption SDK: Comment déterminer si la mise en cache des clés de données convient à votre application
(article de AWS blog). -
