Menggunakan pustaka enkripsi sisi klien .NET untuk DynamoDB - AWS Enkripsi Database SDK
Enkriptor itemTindakan atributKonfigurasi enkripsiMemperbarui item

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan pustaka enkripsi sisi klien .NET untuk DynamoDB

Topik ini menjelaskan beberapa fungsi dan kelas pembantu di versi 3. x dari pustaka enkripsi sisi klien .NET untuk DynamoDB.

Untuk detail tentang pemrograman dengan pustaka enkripsi sisi klien .NET untuk DynamoDB, lihat contoh.NET di repositori -dynamodb aktif. aws-database-encryption-sdk GitHub

Enkriptor item

Pada intinya, AWS Database Encryption SDK untuk DynamoDB adalah enkripsi item. Anda dapat menggunakan versi 3. x dari pustaka enkripsi sisi klien .NET untuk DynamoDB untuk mengenkripsi, menandatangani, memverifikasi, dan mendekripsi item tabel DynamoDB Anda dengan cara berikut.

SDK Enkripsi AWS Database tingkat rendah untuk DynamoDB API

Anda dapat menggunakan konfigurasi enkripsi tabel untuk membuat klien DynamoDB yang secara otomatis mengenkripsi dan menandatangani item sisi klien dengan permintaan DynamoDB Anda. PutItem Anda dapat menggunakan klien ini secara langsung, atau Anda dapat membuat model dokumen atau model persistensi objek.

Anda harus menggunakan SDK Enkripsi AWS Database tingkat rendah untuk DynamoDB API untuk menggunakan enkripsi yang dapat dicari.

Tingkat yang lebih rendah DynamoDbItemEncryptor

Tingkat yang lebih rendah DynamoDbItemEncryptor secara langsung mengenkripsi dan menandatangani atau mendekripsi dan memverifikasi item tabel Anda tanpa memanggil DynamoDB. Itu tidak membuat DynamoDB atau PutItem permintaanGetItem. Misalnya, Anda dapat menggunakan level yang lebih rendah DynamoDbItemEncryptor untuk langsung mendekripsi dan memverifikasi item DynamoDB yang telah Anda ambil. Jika Anda menggunakan tingkat yang lebih rendahDynamoDbItemEncryptor, sebaiknya gunakan model pemrograman tingkat rendah yang AWS SDK for .NET disediakan untuk berkomunikasi dengan DynamoDB.

Tingkat yang lebih rendah DynamoDbItemEncryptor tidak mendukung enkripsi yang dapat dicari.

Tindakan atribut dalam SDK Enkripsi AWS Database untuk DynamoDB

Tindakan atribut menentukan nilai atribut mana yang dienkripsi dan ditandatangani, yang hanya ditandatangani, yang ditandatangani dan disertakan dalam konteks enkripsi, dan mana yang diabaikan.

Untuk menentukan tindakan atribut dengan klien.NET, tentukan tindakan atribut secara manual menggunakan model objek. Tentukan tindakan atribut Anda dengan membuat Dictionary objek di mana pasangan nama-nilai mewakili nama atribut dan tindakan yang ditentukan.

Tentukan ENCRYPT_AND_SIGN untuk mengenkripsi dan menandatangani atribut. Tentukan SIGN_ONLY untuk menandatangani, tetapi tidak mengenkripsi, atribut. Tentukan SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT untuk menandatangani atribut dan sertakan dalam konteks enkripsi. Anda tidak dapat mengenkripsi atribut tanpa menandatanganinya juga. Tentukan DO_NOTHING untuk mengabaikan atribut.

Partisi dan atribut sortir harus salah satu SIGN_ONLY atauSIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT. Jika Anda mendefinisikan atribut apa pun sebagaiSIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT, maka atribut partisi dan sortir juga harusSIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT.

catatan

Setelah menentukan tindakan atribut, Anda harus menentukan atribut mana yang dikecualikan dari tanda tangan. Untuk mempermudah menambahkan atribut unsigned baru di masa mendatang, sebaiknya pilih awalan yang berbeda (seperti ":“) untuk mengidentifikasi atribut unsigned Anda. Sertakan awalan ini dalam nama atribut untuk semua atribut yang ditandai DO_NOTHING saat Anda menentukan skema DynamoDB dan tindakan atribut.

Model objek berikut menunjukkan cara menentukanENCRYPT_AND_SIGN,, SIGN_ONLYSIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT, dan DO_NOTHING atribut tindakan dengan klien.NET. Contoh ini menggunakan awalan ":" untuk mengidentifikasi DO_NOTHING atribut.

catatan

Untuk menggunakan tindakan SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT kriptografi, Anda harus menggunakan SDK Enkripsi AWS Database versi 3.3 atau yang lebih baru. Terapkan versi baru ke semua pembaca sebelum memperbarui model data Anda untuk disertakanSIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT.

var attributeActionsOnEncrypt = new Dictionary<string, CryptoAction>
{
    ["partition_key"] = CryptoAction.SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT, // The partition attribute must be signed
    ["sort_key"] = CryptoAction.SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT, // The sort attribute must be signed
    ["attribute1"] = CryptoAction.ENCRYPT_AND_SIGN,
    ["attribute2"] = CryptoAction.SIGN_ONLY,
    ["attribute3"] = CryptoAction.SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT,
    [":attribute4"] = CryptoAction.DO_NOTHING
};

Konfigurasi enkripsi dalam SDK Enkripsi AWS Database untuk DynamoDB

Bila Anda menggunakan AWS Database Encryption SDK, Anda harus secara eksplisit menentukan konfigurasi enkripsi untuk tabel DynamoDB Anda. Nilai yang diperlukan dalam konfigurasi enkripsi Anda bergantung pada apakah Anda mendefinisikan tindakan atribut secara manual atau dengan kelas data beranotasi.

Cuplikan berikut mendefinisikan konfigurasi enkripsi tabel DynamoDB menggunakan SDK AWS Enkripsi Database tingkat rendah untuk DynamoDB API dan mengizinkan atribut unsigned yang ditentukan oleh awalan yang berbeda.

Dictionary<String, DynamoDbTableEncryptionConfig> tableConfigs =
    new Dictionary<String, DynamoDbTableEncryptionConfig>();
DynamoDbTableEncryptionConfig config = new DynamoDbTableEncryptionConfig
{
    LogicalTableName = ddbTableName,
    PartitionKeyName = "partition_key",
    SortKeyName = "sort_key",
    AttributeActionsOnEncrypt = attributeActionsOnEncrypt,
    Keyring = kmsKeyring,
    AllowedUnsignedAttributePrefix = unsignAttrPrefix,
    // Optional: SearchConfig only required if you use beacons
    Search = new SearchConfig
    {
        WriteVersion = 1, // MUST be 1
        Versions = beaconVersions
    }    
};
tableConfigs.Add(ddbTableName, config);
Nama tabel logis

Sebuah nama tabel logis untuk tabel DynamoDB Anda.

Nama tabel logis terikat secara kriptografis ke semua data yang disimpan dalam tabel untuk menyederhanakan operasi pemulihan DynamoDB. Kami sangat menyarankan untuk menentukan nama tabel DynamoDB Anda sebagai nama tabel logis saat Anda pertama kali menentukan konfigurasi enkripsi Anda. Anda harus selalu menentukan nama tabel logis yang sama. Agar dekripsi berhasil, nama tabel logis harus sesuai dengan nama yang ditentukan pada enkripsi. Jika nama tabel DynamoDB Anda berubah setelah memulihkan tabel DynamoDB Anda dari cadangan, nama tabel logis memastikan bahwa operasi dekripsi masih mengenali tabel.

Atribut yang tidak ditandatangani yang diizinkan

Atribut yang ditandai DO_NOTHING dalam tindakan atribut Anda.

Atribut unsigned yang diizinkan memberi tahu klien atribut mana yang dikecualikan dari tanda tangan. Klien mengasumsikan bahwa semua atribut lainnya termasuk dalam tanda tangan. Kemudian, saat mendekripsi catatan, klien menentukan atribut mana yang perlu diverifikasi dan mana yang harus diabaikan dari atribut unsigned yang diizinkan yang Anda tentukan. Anda tidak dapat menghapus atribut dari atribut yang tidak ditandatangani yang diizinkan.

Anda dapat menentukan atribut unsigned yang diizinkan secara eksplisit dengan membuat array yang mencantumkan semua atribut Anda. DO_NOTHING Anda juga dapat menentukan awalan yang berbeda saat menamai DO_NOTHING atribut Anda dan menggunakan awalan untuk memberi tahu klien atribut mana yang tidak ditandatangani. Kami sangat menyarankan untuk menentukan awalan yang berbeda karena menyederhanakan proses penambahan DO_NOTHING atribut baru di masa depan. Untuk informasi selengkapnya, lihat Memperbarui model data Anda.

Jika Anda tidak menentukan awalan untuk semua DO_NOTHING atribut, Anda dapat mengonfigurasi allowedUnsignedAttributes array yang secara eksplisit mencantumkan semua atribut yang diharapkan klien tidak ditandatangani saat bertemu dengan mereka pada dekripsi. Anda hanya harus secara eksplisit mendefinisikan atribut unsigned yang diizinkan jika benar-benar diperlukan.

Konfigurasi Pencarian (Opsional)

SearchConfigMendefinisikan versi beacon.

SearchConfigHarus ditentukan untuk menggunakan enkripsi yang dapat dicari atau suar yang ditandatangani.

Suite Algoritma (Opsional)

algorithmSuiteIdMendefinisikan algoritma mana yang sesuai dengan AWS Database Encryption SDK yang digunakan.

Kecuali Anda secara eksplisit menentukan rangkaian algoritme alternatif, SDK Enkripsi AWS Database menggunakan rangkaian algoritme default. Rangkaian algoritme default menggunakan algoritma AES-GCM dengan derivasi kunci, tanda tangan digital, dan komitmen kunci. Meskipun rangkaian algoritme default kemungkinan cocok untuk sebagian besar aplikasi, Anda dapat memilih rangkaian algoritme alternatif. Misalnya, beberapa model kepercayaan akan dipenuhi oleh rangkaian algoritma tanpa tanda tangan digital. Untuk informasi tentang rangkaian algoritme yang didukung SDK Enkripsi AWS Database, lihatRangkaian algoritme yang didukung di SDK Enkripsi AWS Database.

Untuk memilih rangkaian algoritma AES-GCM tanpa tanda tangan digital ECDSA, sertakan cuplikan berikut dalam konfigurasi enkripsi tabel Anda.

AlgorithmSuiteId = DBEAlgorithmSuiteId.ALG_AES_256_GCM_HKDF_SHA512_COMMIT_KEY_SYMSIG_HMAC_SHA384

Memperbarui item dengan AWS Database Encryption SDK

SDK Enkripsi AWS Database tidak mendukung ddb: UpdateItem untuk item yang menyertakan atribut terenkripsi atau ditandatangani. Untuk memperbarui atribut terenkripsi atau ditandatangani, Anda harus menggunakan ddb:. PutItem Saat Anda menentukan kunci utama yang sama dengan item yang ada dalam PutItem permintaan Anda, item baru sepenuhnya menggantikan item yang ada. Anda juga dapat menggunakan CLOBBER untuk menghapus dan mengganti semua atribut yang disimpan setelah memperbarui item Anda.