Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik terbaik enkripsi untuk AWS Encryption SDK
AWS Encryption SDKIni adalah pustaka enkripsi sisi klien open-source. Ini menggunakan standar industri dan praktik terbaik untuk mendukung implementasi dan interoperabilitas dalam beberapa bahasa pemrograman. AWS Encryption SDK mengenkripsi data dengan menggunakan algoritma kunci simetris yang aman, terautentikasi, dan menawarkan implementasi default yang mematuhi praktik terbaik kriptografi. Untuk informasi selengkapnya, lihat Suite algoritme yang didukung di AWS Encryption SDK.
Salah satu fitur utama dari AWS Encryption SDK ini adalah dukungan untuk mengenkripsi data yang digunakan. Dengan mengadopsi encrypt-then-use pendekatan, Anda dapat mengenkripsi data sensitif sebelum diproses oleh logika aplikasi Anda. Ini dapat membantu melindungi data dari potensi paparan atau gangguan, bahkan jika aplikasi itu sendiri dipengaruhi oleh peristiwa keamanan.
Pertimbangkan praktik terbaik berikut untuk layanan ini:
-
Patuhi semua rekomendasi dalam Praktik Terbaik untuk AWS Encryption SDK.
-
Pilih satu atau beberapa kunci pembungkus untuk membantu melindungi kunci data Anda. Untuk informasi selengkapnya, lihat Memilih kunci pembungkus.
-
Lewatkan
KeyId
parameter ke ReEncryptoperasi untuk membantu mencegah penggunaan KMS kunci yang tidak tepercaya. Untuk informasi selengkapnya, lihat Peningkatan enkripsi sisi klien: Komitmen eksplisit KeyIds dan kunci(AWS posting blog). -
Saat menggunakan AWS Encryption SDK with AWS KMS, gunakan
KeyId
penyaringan lokal. Untuk informasi selengkapnya, lihat Peningkatan enkripsi sisi klien: Komitmen eksplisit KeyIds dan kunci(AWS posting blog). -
Untuk aplikasi dengan volume lalu lintas besar yang memerlukan enkripsi atau dekripsi, atau jika akun Anda melebihi kuota AWS KMS permintaan, Anda dapat menggunakan fitur caching kunci data dari file. AWS Encryption SDK Perhatikan praktik terbaik berikut untuk caching kunci data:
-
Konfigurasikan ambang keamanan cache untuk membatasi berapa lama setiap kunci data cache digunakan dan berapa banyak data yang dilindungi di bawah setiap kunci data. Untuk rekomendasi saat mengonfigurasi ambang batas ini, lihat Menyetel ambang keamanan cache.
-
Batasi cache lokal ke jumlah terkecil kunci data yang diperlukan untuk mencapai peningkatan kinerja untuk kasus penggunaan aplikasi spesifik Anda. Untuk instruksi dan contoh konfigurasi batas untuk cache lokal, lihat Menggunakan caching kunci data:. Step-by-step
Untuk informasi lebih lanjut, lihat AWS Encryption SDK: Cara Memutuskan apakah Caching Kunci Data Tepat untuk Aplikasi Anda
(posting AWS blog). -