AWS Database Encryption SDK for DynamoDB を使用するように既存の DynamoDB テーブルを設定する - AWS データベース暗号化 SDK
ステップ 1: 暗号化された項目の読み取りと書き込みの準備をするステップ 2: 暗号化および署名された項目を書き込むステップ 3: 暗号化および署名された項目のみを読み取る

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Database Encryption SDK for DynamoDB を使用するように既存の DynamoDB テーブルを設定する

クライアント側の暗号化ライブラリの名前が AWS Database Encryption SDK に変更されました。このデベロッパーガイドでは、引き続き DynamoDB Encryption Client に関する情報を提供します。

DynamoDB 用の Java クライアント側の暗号化ライブラリのバージョン 3.x を使用すると、既存の Amazon DynamoDB テーブルをクライアント側の暗号化用に設定できます。このトピックでは、データが入力されている既存の DynamoDB テーブルにバージョン 3.x を追加するために必要な 3 つのステップについてのガイダンスを提供します。

前提条件

DynamoDB 用の Java クライアント側の暗号化ライブラリのバージョン 3.x では、 AWS SDK for Java 2.x で提供される DynamoDB Enhanced Client が必要です。それでも DynamoDBMapperを使用する場合は、DynamoDB 拡張クライアント AWS SDK for Java 2.x を使用するには に移行する必要があります。

AWS SDK for Javaのバージョン 1.x から 2.x に移行する手順に従います。

その後、DynamoDB Enhanced Client API の使用を開始するための手順に従います。

DynamoDB 用の Java クライアント側の暗号化ライブラリを使用するようにテーブルを設定する前に、アノテーション付きデータクラスを使用して TableSchema を生成し、拡張クライアントを作成する必要があります。

ステップ 1: 暗号化された項目の読み取りと書き込みの準備をする

Database Encryption SDK AWS クライアントが暗号化された項目を読み書きできるように準備するには、次のステップを実行します。次の変更をデプロイした後も、クライアントは引き続きプレーンテキスト項目の読み取りと書き込みを行います。テーブルに書き込まれる新しい項目の暗号化や署名は行いませんが、暗号化された項目が表示されるとすぐに復号できます。これらの変更により、クライアントが新しい項目の暗号化を開始するための準備が整います。次のステップに進む前に、次の変更を各リーダーにデプロイする必要があります。

1. 属性アクションを定義する

アノテーション付きデータクラスを更新して、どの属性値を暗号化して署名するか、どの属性値を署名のみにするか、どの属性値を無視するかを定義する属性アクションを含めます。

DynamoDB 拡張クライアント注釈の詳細については、 の GitHub aws-database-encryption-sdk-dynamodb リポジトリの「.SimpleClassjava」を参照してください。

デフォルトでは、プライマリキー属性は署名されてはいるが、暗号化されておらず (SIGN_ONLY)、他のすべての属性は暗号化されて署名されています (ENCRYPT_AND_SIGN)。例外を指定するには、DynamoDB 用の Java クライアント側の暗号化ライブラリで定義されている暗号化アノテーションを使用します。例えば、特定の属性を署名のみにしたい場合は、@DynamoDbEncryptionSignOnly アノテーションを使用します。特定の属性に署名して暗号化コンテキストに含める場合は、 @DynamoDbEncryptionSignAndIncludeInEncryptionContextアノテーションを使用します。特定の属性が署名も暗号化もされないようにしたい場合 (DO_NOTHING) は、@DynamoDbEncryptionDoNothing アノテーションを使用します。

注記

SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT 属性を指定する場合、パーティション属性とソート属性も である必要がありますSIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT。の定義に使用される注釈の例についてはSIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXTSimpleClass「4.java」を参照してください。

アノテーションの例については、「アノテーション付きデータクラスを使用する」を参照してください。

2. 署名から除外する属性を定義する

次の例では、すべての DO_NOTHING 属性が個別のプレフィックス「:」を共有し、そのプレフィックスを使用して、許可される署名なし属性を定義すると想定しています。クライアントは、「:」というプレフィックスが付いた属性名は署名から除外されると想定します。詳細については、「許可された署名なし属性」を参照してください。

final String unsignedAttrPrefix = ":";
3. キーリングを作成します。

次の例では AWS KMS キーリングを作成します。 AWS KMS キーリングは、対称暗号化または非対称 RSA AWS KMS keys を使用してデータキーを生成、暗号化、復号します。

この例では、CreateMrkMultiKeyring を使用して、対称暗号化 KMS キーで AWS KMS キーリングを作成します。CreateAwsKmsMrkMultiKeyring メソッドにより、キーリングは、単一リージョンのキーとマルチリージョンのキーの両方を確実に正しく処理します。

final MaterialProviders matProv = MaterialProviders.builder()
        .MaterialProvidersConfig(MaterialProvidersConfig.builder().build())
        .build();
final CreateAwsKmsMrkMultiKeyringInput keyringInput = CreateAwsKmsMrkMultiKeyringInput.builder()
        .generator(kmsKeyId)
        .build();
final IKeyring kmsKeyring = matProv.CreateAwsKmsMrkMultiKeyring(keyringInput);
4. DynamoDB テーブルの暗号化設定を定義する

次の例では、この DynamoDB テーブルの暗号化設定を表す tableConfigs マップを定義します。

この例では、DynamoDB テーブル名を論理テーブル名として指定します。最初に暗号化設定を定義する際に、DynamoDB テーブル名を論理テーブル名として指定することを強くお勧めします。詳細については、「AWS Database Encryption SDK for DynamoDB の暗号化設定」を参照してください。

プレーンテキストのオーバーライドとして FORCE_WRITE_PLAINTEXT_ALLOW_READ_PLAINTEXT を指定する必要があります。このポリシーは、プレーンテキスト項目の読み取りと書き込みを継続し、暗号化された項目を読み取り、クライアントが暗号化された項目を書き込むための準備を整えます。

final Map<String, DynamoDbTableEncryptionConfig> tableConfigs = new HashMap<>();
final DynamoDbTableEncryptionConfig config = DynamoDbTableEncryptionConfig.builder()
        .logicalTableName(ddbTableName)
        .partitionKeyName("partition_key")
        .sortKeyName("sort_key")
        .schemaOnEncrypt(tableSchema)
        .keyring(kmsKeyring)
        .allowedUnsignedAttributePrefix(unsignedAttrPrefix)
        .plaintextOverride(PlaintextOverride.FORCE_WRITE_PLAINTEXT_ALLOW_READ_PLAINTEXT)
        .build();
tableConfigs.put(ddbTableName, config);
5. DynamoDbEncryptionInterceptor の作成

次の例では、ステップ 3tableConfigs を使用して DynamoDbEncryptionInterceptor を作成します。

DynamoDbEncryptionInterceptor interceptor = DynamoDbEncryptionInterceptor.builder()
        .config(DynamoDbTablesEncryptionConfig.builder()
                .tableEncryptionConfigs(tableConfigs)                
                .build())
        .build();
表示を増やす表示を減らす

ステップ 2: 暗号化および署名された項目を書き込む

DynamoDbEncryptionInterceptor 設定内のプレーンテキストポリシーを更新して、クライアントが暗号化および署名された項目を書き込むことを許可します。次の変更をデプロイすると、クライアントはステップ 1 で設定した属性アクションに基づいて新しい項目を暗号化して署名します。クライアントは、プレーンテキストの項目と暗号化および署名された項目を読み取ることができるようになります。

ステップ 3 に進む前に、テーブル内の既存のすべてのプレーンテキスト項目を暗号化して署名する必要があります。既存のプレーンテキスト項目を迅速に暗号化するために実行できる単一のメトリクスやクエリはありません。システムにとって最も合理的なプロセスを使用してください。例えば、定義した属性アクションと暗号化設定を使用して、時間をかけてテーブルをスキャンし、項目を書き換える非同期プロセスを使用できます。テーブル内のプレーンテキスト項目を識別するには、 AWS Database Encryption SDK が暗号化および署名されたときに項目に追加する aws_dbe_headおよび aws_dbe_foot 属性を含まないすべての項目をスキャンすることをお勧めします。

次の例では、ステップ 1 のテーブル暗号化設定を更新します。プレーンテキストのオーバーライドを FORBID_WRITE_PLAINTEXT_ALLOW_READ_PLAINTEXT を使用して更新する必要があります。このポリシーはプレーンテキスト項目を引き続き読み取りますが、暗号化された項目の読み取りと書き込みも行います。更新された DynamoDbEncryptionInterceptorを使用して新しい を作成しますtableConfigs

final Map<String, DynamoDbTableEncryptionConfig> tableConfigs = new HashMap<>();
final DynamoDbTableEncryptionConfig config = DynamoDbTableEncryptionConfig.builder()
        .logicalTableName(ddbTableName)
        .partitionKeyName("partition_key")
        .sortKeyName("sort_key")
        .schemaOnEncrypt(tableSchema)
        .keyring(kmsKeyring)
        .allowedUnsignedAttributePrefix(unsignedAttrPrefix)
        .plaintextOverride(PlaintextOverride.FORBID_WRITE_PLAINTEXT_ALLOW_READ_PLAINTEXT)
        .build();
tableConfigs.put(ddbTableName, config);

ステップ 3: 暗号化および署名された項目のみを読み取る

すべての項目を暗号化して署名した後、DynamoDbEncryptionInterceptor 設定内のプレーンテキストオーバーライドを更新して、暗号化および署名された項目の読み取りと書き込みのみをクライアントに許可します。次の変更をデプロイすると、クライアントはステップ 1 で設定した属性アクションに基づいて新しい項目を暗号化して署名します。クライアントは、暗号化および署名された項目のみを読み取ることができます。

次の例では、ステップ 2 のテーブル暗号化設定を更新します。FORBID_WRITE_PLAINTEXT_FORBID_READ_PLAINTEXT を使用してプレーンテキストオーバーライドを更新することも、設定からプレーンテキストポリシーを削除することもできます。クライアントは、デフォルトでは、暗号化および署名された項目の読み取りと書き込みのみを行います。更新された DynamoDbEncryptionInterceptorを使用して新しい を作成しますtableConfigs

final Map<String, DynamoDbTableEncryptionConfig> tableConfigs = new HashMap<>();
final DynamoDbTableEncryptionConfig config = DynamoDbTableEncryptionConfig.builder()
        .logicalTableName(ddbTableName)
        .partitionKeyName("partition_key")
        .sortKeyName("sort_key")
        .schemaOnEncrypt(tableSchema)
        .keyring(kmsKeyring)
        .allowedUnsignedAttributePrefix(unsignedAttrPrefix)
        // Optional: you can also remove the plaintext policy from your configuration
        .plaintextOverride(PlaintextOverride.FORBID_WRITE_PLAINTEXT_FORBID_READ_PLAINTEXT)
        .build();
tableConfigs.put(ddbTableName, config);