Aggiornamento in corsoAWS KMSportachiavi

IlAWS KMSportachiavi inSDK di crittografia AWS per C, ilAWS Encryption SDKper .NETe ilSDK di crittografia AWS per JavaScriptsupportarebest practicepermettendo di specificare le chiavi di wrapping durante la crittografia e la decrittografia. Se crei unAWS KMSportachiavi discovery, lo fai esplicitamente.

Nota

La prima versione diAWS Encryption SDKfor .NET è versione 3.0.x. Tutte le versioni diAWS Encryption SDKper .NET supporta le migliori pratiche di sicurezza introdotte nella versione 2.0.xdelAWS Encryption SDK. Puoi passare in sicurezza alla versione più recente senza modifiche al codice o ai dati.

Quando esegui l'aggiornamento alla versione più recente 1.xversione delAWS Encryption SDK, puoi usare unfiltro di individuazioneper limitare le chiavi di involucro che unAWS KMSportachiavi discoveryoAWS KMSportachiavi di individuazione regionaleutilizza durante la decrittografia per quelli in particolareAccount AWS. Il filtraggio di un portachiavi di scoperta è unAWS Encryption SDK best practice.

Gli esempi in questa sezione mostrano come aggiungere il filtro di scoperta a unAWS KMSportachiavi Regional Discovery.

Ulteriori informazioni sulla migrazione

Per tuttiAWS Encryption SDKutenti, scopri come impostare la tua politica di impegno inImpostazione della politica di impegno.

PerSDK di crittografia AWS per Java,SDK di crittografia AWS per PythoneAWSUtenti di Encryption CLI, scoprite l'aggiornamento richiesto per i provider di chiavi master inAggiornamento dei provider di chiavi AWS KMS principali.

 

Potresti avere un codice simile al seguente nella tua applicazione. Questo esempio crea unAWS KMSportachiavi di individuazione regionale che può utilizzare solo chiavi di terminazione di terminata nella regione Stati Uniti occidentali (Oregon) (us-west-2). Questo esempio rappresenta il codice inAWS Encryption SDKversioni precedenti alla 1.7.x. Tuttavia, è ancora valido nelle versioni 1.7.xe dopo.

C

struct aws_cryptosdk_keyring *kms_regional_keyring = Aws::Cryptosdk::KmsKeyring::Builder()
       .WithKmsClient(create_kms_client(Aws::Region::US_WEST_2)).BuildDiscovery());

JavaScript Browser

const clientProvider = getClient(KMS, { credentials })

const discovery = true
const clientProvider = limitRegions(['us-west-2'], getKmsClient)
const keyring = new KmsKeyringBrowser({ clientProvider, discovery })

JavaScript Node.js

const discovery = true
const clientProvider = limitRegions(['us-west-2'], getKmsClient)
const keyring = new KmsKeyringNode({ clientProvider, discovery })

A partire dalla versione 1.7.x, puoi aggiungere un filtro di scoperta a qualsiasiAWS KMSportachiavi Discovery. Questo filtro di scoperta limita ilAWS KMS keysche ilAWS Encryption SDKpuò essere utilizzato per la decrittografia di quelli presenti nella partizione e negli account specificati. Prima di utilizzare questo codice, modificate la partizione, se necessario, e sostituite gli ID account di esempio con quelli validi.

C

Per un esempio, consultakms_discovery.cpp.

std::shared_ptr<KmsKeyring::DiscoveryFilter> discovery_filter(
    KmsKeyring::DiscoveryFilter::Builder("aws")
        .AddAccount("111122223333")
        .AddAccount("444455556666")
        .Build());

struct aws_cryptosdk_keyring *kms_regional_keyring = Aws::Cryptosdk::KmsKeyring::Builder()
       .WithKmsClient(create_kms_client(Aws::Region::US_WEST_2)).BuildDiscovery(discovery_filter));

JavaScript Browser

const clientProvider = getClient(KMS, { credentials })

const discovery = true
const clientProvider = limitRegions(['us-west-2'], getKmsClient)
const keyring = new KmsKeyringBrowser(clientProvider, {
    discovery,
    discoveryFilter: { accountIDs: ['111122223333', '444455556666'], partition: 'aws' }
})

JavaScript Node.js

Per un esempio, consultakms_filtered_discovery.ts.

const discovery = true
const clientProvider = limitRegions(['us-west-2'], getKmsClient)
const keyring = new KmsKeyringNode({
    clientProvider,
    discovery,
    discoveryFilter: { accountIDs: ['111122223333', '444455556666'], partition: 'aws' }
})