翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
DynamoDB 暗号化クライアント for Java のサンプルコード
次の例では、DynamoDB 暗号化クライアントfor Java を使用して、アプリケーションの DynamoDB テーブル項目を保護する方法について説明します。その他の例については、を参照してください (独自の貢献など)例
DynamoDBEncryptor の使用
この例では、下位レベルの使用方法について説明します。DynamoDBEncryptor
任意の互換性を使用できます。暗号化マテリアルプロバイダー(CMP) とDynamoDBEncryptor、Direct KMS プロバイダをDynamoDBMapperそしてAttributeEncryptor。
完全なコードサンプルの参照: AwsKmsEncryptedItem.java
- ステップ 1: Direct KMS プロバイダーを作成する
-
指定されたリージョンを使用して AWS KMS クライアントのインスタンスを作成します。次に、クライアントインスタンスを使用して、任意の Direct KMS プロバイダーのインスタンスを作成します。AWS KMS key。
この例では、Amazon リソースネーム (ARN) を使用して、AWS KMS keyただし、を使用できます。任意の有効なキー識別子。
final String keyArn = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab' final String region = 'us-west-2' final AWSKMS kms = AWSKMSClientBuilder.standard().withRegion(region).build(); final DirectKmsMaterialProvider cmp = new DirectKmsMaterialProvider(kms,keyArn); - ステップ 2: 項目を作成する
-
この例では、サンプルテーブル項目を表す
recordHashMap を定義します。final String partitionKeyName = "partition_attribute"; final String sortKeyName = "sort_attribute"; final Map<String, AttributeValue> record = new HashMap<>(); record.put(partitionKeyName, new AttributeValue().withS("value1")); record.put(sortKeyName, new AttributeValue().withN("55")); record.put("example", new AttributeValue().withS("data")); record.put("numbers", new AttributeValue().withN("99")); record.put("binary", new AttributeValue().withB(ByteBuffer.wrap(new byte[]{0x00, 0x01, 0x02}))); record.put("test", new AttributeValue().withS("test-value")); - ステップ 3: DynamoDBEncryptor を作成する
-
Direct KMS プロバイダーを使用して
DynamoDBEncryptorのインスタンスを作成します。final DynamoDBEncryptor encryptor = DynamoDBEncryptor.getInstance(cmp); - ステップ 4: DynamoDB 暗号化コンテキストを作成する
-
-DynamoDB 暗号化コンテキストには、テーブル構造に関する情報と、暗号化および署名方法が含まれています。
DynamoDBMapperを使用する場合は、AttributeEncryptorで暗号化テキストが作成されます。final String tableName = "testTable"; final EncryptionContext encryptionContext = new EncryptionContext.Builder() .withTableName(tableName) .withHashKeyName(partitionKeyName) .withRangeKeyName(sortKeyName) .build(); - ステップ 5: 属性アクションオブジェクトを作成します
-
属性アクションでは、暗号化されて署名された項目の属性値、署名のみされた項目の属性値、暗号化も署名もされていない項目の属性値を指定します。
Java で属性アクションを指定するには、属性名と
EncryptionFlags値のペアの HashMap を作成します。たとえば、以下の Java コードでは、
actions項目のすべての属性を暗号化して署名するrecordHashMap を作成します。ただし、署名済みだが暗号化されていないパーティションキーおよびソートキー属性、暗号化されていない未署名のtest属性は除きます。final EnumSet<EncryptionFlags> signOnly = EnumSet.of(EncryptionFlags.SIGN); final EnumSet<EncryptionFlags> encryptAndSign = EnumSet.of(EncryptionFlags.ENCRYPT, EncryptionFlags.SIGN); final Map<String, Set<EncryptionFlags>> actions = new HashMap<>(); for (final String attributeName : record.keySet()) { switch (attributeName) { case partitionKeyName: // fall through to the next case case sortKeyName: // Partition and sort keys must not be encrypted, but should be signed actions.put(attributeName, signOnly); break; case "test": // Neither encrypted nor signed break; default: // Encrypt and sign all other attributes actions.put(attributeName, encryptAndSign); break; } } - ステップ 6: 項目を暗号化して署名する
-
テーブル項目を暗号化して署名するには、
encryptRecordのインスタンスでDynamoDBEncryptorメソッドを呼び出します。テーブル項目 (record)、属性アクション (actions)、暗号化テキスト (encryptionContext) を指定します。final Map<String, AttributeValue> encrypted_record = encryptor.encryptRecord(record, actions, encryptionContext); - ステップ 7: 項目を DynamoDB テーブルに配置する
-
最後に、暗号化された署名済みの項目を DynamoDB テーブルに追加します。
final AmazonDynamoDB ddb = AmazonDynamoDBClientBuilder.defaultClient(); ddb.putItem(tableName, encrypted_record);
DynamoDBMapper の使用
次の例は、DynamoDB マッパーヘルパークラスとDirect KMS プロバイダー。Direct KMS プロバイダーは、AWS KMS keyにAWS Key Management Service(AWS KMS) を指定します。
任意の互換性を使用できます。暗号化マテリアルプロバイダー(CMP) とDynamoDBMapperで直通 KMS プロバイダを下位レベルで使用できるDynamoDBEncryptor。
完全なコードサンプルの参照: AwsKmsEncryptedObject.java
- ステップ 1: Direct KMS プロバイダーを作成する
-
指定されたリージョンを使用して AWS KMS クライアントのインスタンスを作成します。次に、クライアントインスタンスを使用して、任意の Direct KMS プロバイダーのインスタンスを作成します。AWS KMS key。
この例では、Amazon リソースネーム (ARN) を使用して、AWS KMS keyただし、を使用できます。任意の有効なキー識別子。
final String keyArn = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab' final String region = 'us-west-2' final AWSKMS kms = AWSKMSClientBuilder.standard().withRegion(region).build(); final DirectKmsMaterialProvider cmp = new DirectKmsMaterialProvider(kms, keyArn); - ステップ 2: DynamoDB 暗号化と DynamoDBMapper を作成する
-
前のステップで作成した Direct KMS プロバイダーを使用して、DynamoDB Encryptor。DynamoDB マッパーを使用するには、下位レベルの DynamoDB 暗号化をインスタンス化する必要があります。
次に、DynamoDB データベースのインスタンスとマッパー設定を作成し、それらを使用して DynamoDB マッパーのインスタンスを作成します。
重要 を使用する場合
DynamoDBMapper署名済み (または暗号化および署名済み) アイテムを追加または編集するには、次のように設定します。保存動作を使用するまたはPUT次の例に示すように、すべての属性が含まれます。そのように設定しない場合、データを復号できないことがあります。final DynamoDBEncryptor encryptor = DynamoDBEncryptor.getInstance(cmp) final AmazonDynamoDB ddb = AmazonDynamoDBClientBuilder.standard().withRegion(region).build(); DynamoDBMapperConfig mapperConfig = DynamoDBMapperConfig.builder().withSaveBehavior(SaveBehavior.PUT).build(); DynamoDBMapper mapper = new DynamoDBMapper(ddb, mapperConfig, new AttributeEncryptor(encryptor)); - ステップ 3: DynamoDB テーブルの定義
-
次に、DynamoDB テーブルを定義します。注釈を使用して、属性アクションを指定します。この例では、DynamoDB テーブルを作成します。
ExampleTableであり、DataPoJoテーブル項目を表すクラス。このサンプルテーブルでは、プライマリキーの属性は署名されますが、暗号化されません。これは、
@DynamoDBHashKeyという注釈が付いたpartition_attributeに適用されます。また、@DynamoDBRangeKeyという注釈が付いたsort_attributeに適用されます。@DynamoDBAttributeという注釈が付いた属性 (some numbersなど) は暗号化されて署名されます。例外は、@DoNotEncrypt(記号のみ) または@DoNotTouchDynamoDB 暗号化クライアントで定義された (暗号化も署名もなし) 暗号化注釈です。たとえば、leave me属性には@DoNotTouch注釈が付いているため、暗号化も署名もされません。@DynamoDBTable(tableName = "ExampleTable") public static final class DataPoJo { private String partitionAttribute; private int sortAttribute; private String example; private long someNumbers; private byte[] someBinary; private String leaveMe; @DynamoDBHashKey(attributeName = "partition_attribute") public String getPartitionAttribute() { return partitionAttribute; } public void setPartitionAttribute(String partitionAttribute) { this.partitionAttribute = partitionAttribute; } @DynamoDBRangeKey(attributeName = "sort_attribute") public int getSortAttribute() { return sortAttribute; } public void setSortAttribute(int sortAttribute) { this.sortAttribute = sortAttribute; } @DynamoDBAttribute(attributeName = "example") public String getExample() { return example; } public void setExample(String example) { this.example = example; } @DynamoDBAttribute(attributeName = "some numbers") public long getSomeNumbers() { return someNumbers; } public void setSomeNumbers(long someNumbers) { this.someNumbers = someNumbers; } @DynamoDBAttribute(attributeName = "and some binary") public byte[] getSomeBinary() { return someBinary; } public void setSomeBinary(byte[] someBinary) { this.someBinary = someBinary; } @DynamoDBAttribute(attributeName = "leave me") @DoNotTouch public String getLeaveMe() { return leaveMe; } public void setLeaveMe(String leaveMe) { this.leaveMe = leaveMe; } @Override public String toString() { return "DataPoJo [partitionAttribute=" + partitionAttribute + ", sortAttribute=" + sortAttribute + ", example=" + example + ", someNumbers=" + someNumbers + ", someBinary=" + Arrays.toString(someBinary) + ", leaveMe=" + leaveMe + "]"; } } - ステップ 4: テーブル項目を暗号化して保存する
-
これで、テーブル項目を作成し、DynamoDB マッパーを使用して項目を保存すると、項目はテーブルに追加される前に自動的に暗号化されて署名されます。
この例では、
recordというテーブル項目を定義しています。この項目がテーブルに保存される前に、DataPoJoクラスの注釈に基づいて、その属性は暗号化されて署名されます。この場合、PartitionAttribute、SortAttribute、LeaveMeを除くすべての属性が暗号化されて署名されます。PartitionAttributeとSortAttributesは署名のみされます。LeaveMe属性は暗号化または署名されていません。record項目を暗号化して署名し、ExampleTableに追加するには、DynamoDBMapperクラスのsaveメソッドを呼び出します。DynamoDB マッパーは、PUT動作を保存すると、項目は更新されず、代わりに同じプライマリキーで置き換えられます。これにより、確実に署名が一致するようになり、その項目をテーブルからの取得時に復号化できます。DataPoJo record = new DataPoJo(); record.setPartitionAttribute("is this"); record.setSortAttribute(55); record.setExample("data"); record.setSomeNumbers(99); record.setSomeBinary(new byte[]{0x00, 0x01, 0x02}); record.setLeaveMe("alone"); mapper.save(record);
