Java 예제 - AWS 데이터베이스 암호화 SDK
DynamoDB Enhanced Client 사용하위 수준 DynamoDB API 사용하위 수준 사용 DynamoDbItemEncryptor

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Java 예제

클라이언트 측 암호화 라이브러리는 AWS 데이터베이스 암호화 SDK로 이름이 변경되었습니다. 이 개발자 안내서는 여전히 DynamoDB Encryption Client에 대한 정보를 제공합니다.

다음 예제에서는 DynamoDB용 Java 클라이언트측 암호화 라이브러리를 사용하여 애플리케이션의 테이블 항목을 보호하는 방법을 보여줍니다. -dynamodb 리포지토리의 Java 예제에서 더 많은 예제를 찾고 직접 제공할 수 있습니다. aws-database-encryption-sdk GitHub

다음 예제는 채워지지 않은 새 Amazon DynamoDB 테이블에서 DynamoDB용 Java 클라이언트측 암호화 라이브러리를 구성하는 방법을 보여줍니다. 클라이언트측 암호화를 위해 기존 Amazon DynamoDB 테이블을 구성하려면 기존 테이블에 버전 3.x 추가 섹션을 참조하세요.

DynamoDB Enhanced Client 사용

다음 예제는 DynamoDB API 호출의 일부로 DynamoDB Enhanced Client와 AWS KMS 키링을 포함한 DynamoDbEncryptionInterceptor을 사용하여 DynamoDB 테이블 항목을 암호화하는 방법을 보여줍니다.

DynamoDB 향상된 클라이언트에서는 지원되는 모든 키링을 사용할 수 있지만 가능하면 키링 중 AWS KMS 하나를 사용하는 것이 좋습니다.

참고

DynamoDB Enhanced Client는 검색 가능한 암호화를 지원하지 않습니다. 하위 수준 DynamoDB API와 함께 DynamoDbEncryptionInterceptor을 사용하여 검색 가능한 암호화를 사용할 수 있습니다.

전체 코드 샘플을.java를 참조하십시오. EnhancedPutGetExample

1단계: 키링 생성 AWS KMS

다음 예에서는 대칭 암호화 KMS 키를 사용하여 AWS KMS 키링을 생성하는 CreateAwsKmsMrkMultiKeyring 데 사용합니다. 이 CreateAwsKmsMrkMultiKeyring 방법을 사용하면 키링이 단일 리전 키와 다중 리전 키를 모두 올바르게 처리할 수 있습니다.

final MaterialProviders matProv = MaterialProviders.builder()
        .MaterialProvidersConfig(MaterialProvidersConfig.builder().build())
        .build();
final CreateAwsKmsMrkMultiKeyringInput keyringInput = CreateAwsKmsMrkMultiKeyringInput.builder()
        .generator(kmsKeyId)
        .build();
final IKeyring kmsKeyring = matProv.CreateAwsKmsMrkMultiKeyring(keyringInput);
2단계: 주석이 달린 데이터 클래스에서 테이블 스키마 생성

다음 예제에서는 주석이 달린 데이터 클래스를 사용하여 TableSchema를 만듭니다.

이 예에서는 주석이 달린 데이터 클래스 및 속성 작업이.java를 사용하여 정의되었다고 가정합니다. SimpleClass 속성 작업에 주석을 다는 방법에 대한 자세한 지침은 주석이 달린 데이터 클래스 사용을 참조하세요.

참고

AWS 데이터베이스 암호화 SDK는 중첩된 속성에 대한 주석을 지원하지 않습니다.

final TableSchema<SimpleClass> schemaOnEncrypt = TableSchema.fromBean(SimpleClass.class);
3단계: 시그니처에서 제외할 속성을 정의합니다.

다음 예제에서는 모든 DO_NOTHING 속성이 고유한 접두사 ":“를 공유한다고 가정하고 이 접두사를 사용하여 허용된 서명되지 않은 속성을 정의합니다. 클라이언트는 접두사가 ":"인 모든 속성 이름이 서명에서 제외된다고 가정합니다. 자세한 정보는 허용된 무서명 속성을 참조하세요.

final String unsignedAttrPrefix = ":";
4단계: 암호화 구성 생성

다음 예제는 DynamoDB 테이블의 암호화 구성을 나타내는 tableConfigs 맵을 정의합니다.

이 예제에서는 DynamoDB 테이블 이름을 논리적 테이블 이름으로 지정합니다. 암호화 구성을 처음 정의할 때 DynamoDB 테이블 이름을 논리적 테이블 이름으로 지정하는 것이 좋습니다. 자세한 정보는 AWS Database Encryption SDK for DynamoDB의 암호화 구성을 참조하세요.

참고

검색 가능한 암호화 또는 서명된 비컨을 사용하려면 암호화 구성에도 SearchConfig을 포함해야 합니다.

final Map<String, DynamoDbEnhancedTableEncryptionConfig> tableConfigs = new HashMap<>();
tableConfigs.put(ddbTableName,
    DynamoDbEnhancedTableEncryptionConfig.builder()
        .logicalTableName(ddbTableName)
        .keyring(kmsKeyring)
        .allowedUnsignedAttributePrefix(unsignedAttrPrefix)
        .schemaOnEncrypt(tableSchema)
        .build());
5단계: DynamoDbEncryptionInterceptor 생성

다음 예제에서는 4단계tableConfigs를 사용하여 새 DynamoDbEncryptionInterceptor을 만듭니다.

final DynamoDbEncryptionInterceptor interceptor =
    DynamoDbEnhancedClientEncryption.CreateDynamoDbEncryptionInterceptor(
        CreateDynamoDbEncryptionInterceptorInput.builder()
            .tableEncryptionConfigs(tableConfigs)
            .build()
    );
6단계: 새 AWS SDK DynamoDB 클라이언트 생성

다음 예제에서는 5단계의 명령을 사용하여 interceptor 새 AWS SDK DynamoDB 클라이언트를 생성합니다.

final DynamoDbClient ddb = DynamoDbClient.builder()
        .overrideConfiguration(
                ClientOverrideConfiguration.builder()
                       .addExecutionInterceptor(interceptor)
                       .build())
        .build();
7단계: DynamoDB Enhanced Client 생성 및 테이블 생성

다음 예제는 6단계에서 생성한 AWS SDK DynamoDB client를 사용하여 DynamoDB Enhanced Client를 생성하고 주석이 달린 데이터 클래스를 사용하여 테이블을 생성합니다.

final DynamoDbEnhancedClient enhancedClient = DynamoDbEnhancedClient.builder()
        .dynamoDbClient(ddb)
        .build();
final DynamoDbTable<SimpleClass> table = enhancedClient.table(ddbTableName, tableSchema);
8단계: 테이블 항목 암호화 및 서명

다음 예제는 DynamoDB Enhanced Client를 사용하여 DynamoDB 테이블에 항목을 추가합니다. 항목은 DynamoDB로 전송되기 전에 클라이언트측에서 암호화되고 서명됩니다.

final SimpleClass item = new SimpleClass();
item.setPartitionKey("EnhancedPutGetExample");
item.setSortKey(0);
item.setAttribute1("encrypt and sign me!");
item.setAttribute2("sign me!");
item.setAttribute3("ignore me!");

table.putItem(item);
더보기간략히 보기

하위 수준 DynamoDB API 사용

다음 예제는 AWS KMS 키링이 있는 하위 수준 DynamoDB API를 사용하여 DynamoDB PutItem 요청으로 클라이언트측에서 항목을 자동으로 암호화하고 서명하는 방법을 보여줍니다.

지원되는 모든 키링을 사용할 수 있지만 가능하면 키링 중 하나를 사용하는 것이 좋습니다. AWS KMS

전체 코드 샘플을.java를 참조하십시오. BasicPutGetExample

1단계: 키링 생성 AWS KMS

다음 예에서는 대칭 암호화 KMS 키를 사용하여 AWS KMS 키링을 생성하는 CreateAwsKmsMrkMultiKeyring 데 사용합니다. 이 CreateAwsKmsMrkMultiKeyring 방법을 사용하면 키링이 단일 리전 키와 다중 리전 키를 모두 올바르게 처리할 수 있습니다.

final MaterialProviders matProv = MaterialProviders.builder()
         .MaterialProvidersConfig(MaterialProvidersConfig.builder().build())
         .build();
final CreateAwsKmsMrkMultiKeyringInput keyringInput = CreateAwsKmsMrkMultiKeyringInput.builder()
        .generator(kmsKeyId)
        .build();
final IKeyring kmsKeyring = matProv.CreateAwsKmsMrkMultiKeyring(keyringInput);
2단계: 속성 작업 구성

다음 예제에서는 테이블 항목에 대한 샘플 속성 작업을 나타내는 attributeActionsOnEncrypt 맵을 정의합니다.

참고

다음 예에서는 어떤 속성도 로 정의하지 않습니다. SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT속성을 지정하는 경우 파티션 및 정렬 속성도 지정해야 합니다SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT.

final Map<String, CryptoAction> attributeActionsOnEncrypt = new HashMap<>();
// The partition attribute must be SIGN_ONLY
attributeActionsOnEncrypt.put("partition_key", CryptoAction.SIGN_ONLY); 
// The sort attribute must be SIGN_ONLY
attributeActionsOnEncrypt.put("sort_key", CryptoAction.SIGN_ONLY); 
attributeActionsOnEncrypt.put("attribute1", CryptoAction.ENCRYPT_AND_SIGN);
attributeActionsOnEncrypt.put("attribute2", CryptoAction.SIGN_ONLY);
attributeActionsOnEncrypt.put(":attribute3", CryptoAction.DO_NOTHING);
3단계: 시그니처에서 제외할 속성을 정의합니다.

다음 예제에서는 모든 DO_NOTHING 속성이 고유한 접두사 ":“를 공유한다고 가정하고 이 접두사를 사용하여 허용된 서명되지 않은 속성을 정의합니다. 클라이언트는 접두사가 ":"인 모든 속성 이름이 서명에서 제외된다고 가정합니다. 자세한 정보는 허용된 무서명 속성을 참조하세요.

final String unsignedAttrPrefix = ":";
4단계: DynamoDB 테이블 암호화 구성 정의

다음 예제는 이 DynamoDB 테이블의 암호화 구성을 나타내는 tableConfigs 맵을 정의합니다.

이 예제에서는 DynamoDB 테이블 이름을 논리적 테이블 이름으로 지정합니다. 암호화 구성을 처음 정의할 때 DynamoDB 테이블 이름을 논리적 테이블 이름으로 지정하는 것이 좋습니다. 자세한 정보는 AWS Database Encryption SDK for DynamoDB의 암호화 구성을 참조하세요.

참고

검색 가능한 암호화 또는 서명된 비컨을 사용하려면 암호화 구성에도 SearchConfig을 포함해야 합니다.

final Map<String, DynamoDbTableEncryptionConfig> tableConfigs = new HashMap<>();
final DynamoDbTableEncryptionConfig config = DynamoDbTableEncryptionConfig.builder()
        .logicalTableName(ddbTableName)
        .partitionKeyName("partition_key")
        .sortKeyName("sort_key")
        .attributeActionsOnEncrypt(attributeActionsOnEncrypt)
        .keyring(kmsKeyring)
        .allowedUnsignedAttributePrefix(unsignedAttrPrefix)
        .build();
tableConfigs.put(ddbTableName, config);
5단계: DynamoDbEncryptionInterceptor 생성

다음 예제는 4단계tableConfigs를 사용하여 DynamoDbEncryptionInterceptor을 생성합니다.

DynamoDbEncryptionInterceptor interceptor = DynamoDbEncryptionInterceptor.builder()
        .config(DynamoDbTablesEncryptionConfig.builder()
                .tableEncryptionConfigs(tableConfigs)
                .build())
        .build();
6단계: 새 AWS SDK DynamoDB 클라이언트 생성

다음 예제에서는 5단계의 명령을 사용하여 interceptor 새 AWS SDK DynamoDB 클라이언트를 생성합니다.

final DynamoDbClient ddb = DynamoDbClient.builder()
        .overrideConfiguration(
                ClientOverrideConfiguration.builder()
                       .addExecutionInterceptor(interceptor)
                       .build())
        .build();
7단계: DynamoDB 테이블 항목 암호화 및 서명

다음 예제는 샘플 테이블 항목을 나타내는 item 맵을 정의하고 해당 항목을 DynamoDB 테이블에 배치합니다. 항목은 DynamoDB로 전송되기 전에 클라이언트측에서 암호화되고 서명됩니다.

final HashMap<String, AttributeValue> item = new HashMap<>();
item.put("partition_key", AttributeValue.builder().s("BasicPutGetExample").build());
item.put("sort_key", AttributeValue.builder().n("0").build());
item.put("attribute1", AttributeValue.builder().s("encrypt and sign me!").build());
item.put("attribute2", AttributeValue.builder().s("sign me!").build());
item.put(":attribute3", AttributeValue.builder().s("ignore me!").build());

final PutItemRequest putRequest = PutItemRequest.builder()
        .tableName(ddbTableName)
        .item(item)
        .build();

final PutItemResponse putResponse = ddb.putItem(putRequest);
더보기간략히 보기

하위 수준 사용 DynamoDbItemEncryptor

다음 예제는 AWS KMS 키링이 있는 하위 수준 DynamoDbItemEncryptor을 사용하여 테이블 항목을 직접 암호화하고 서명하는 방법을 보여줍니다. DynamoDbItemEncryptor는 DynamoDB 테이블에 항목을 배치하지 않습니다.

DynamoDB 향상된 클라이언트에서는 지원되는 모든 키링을 사용할 수 있지만 가능하면 키링 중 AWS KMS 하나를 사용하는 것이 좋습니다.

참고

하위 수준 DynamoDbItemEncryptor검색 가능한 암호화를 지원하지 않습니다. 하위 수준 DynamoDB API와 함께 DynamoDbEncryptionInterceptor을 사용하여 검색 가능한 암호화를 사용할 수 있습니다.

전체 코드 샘플을.java를 참조하십시오. ItemEncryptDecryptExample

1단계: 키링 생성 AWS KMS

다음 예에서는 대칭 암호화 KMS 키를 사용하여 AWS KMS 키링을 생성하는 CreateAwsKmsMrkMultiKeyring 데 사용합니다. 이 CreateAwsKmsMrkMultiKeyring 방법을 사용하면 키링이 단일 리전 키와 다중 리전 키를 모두 올바르게 처리할 수 있습니다.

final MaterialProviders matProv = MaterialProviders.builder()
         .MaterialProvidersConfig(MaterialProvidersConfig.builder().build())
         .build();
final CreateAwsKmsMrkMultiKeyringInput keyringInput = CreateAwsKmsMrkMultiKeyringInput.builder()
        .generator(kmsKeyId)
        .build();
final IKeyring kmsKeyring = matProv.CreateAwsKmsMrkMultiKeyring(keyringInput);
2단계: 속성 작업 구성

다음 예제에서는 테이블 항목에 대한 샘플 속성 작업을 나타내는 attributeActionsOnEncrypt 맵을 정의합니다.

참고

다음 예에서는 어떤 속성도 로 정의하지 않습니다. SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT속성을 지정하는 경우 파티션 및 정렬 속성도 지정해야 합니다SIGN_AND_INCLUDE_IN_ENCRYPTION_CONTEXT.

final Map<String, CryptoAction> attributeActionsOnEncrypt = new HashMap<>();
// The partition attribute must be SIGN_ONLY
attributeActionsOnEncrypt.put("partition_key", CryptoAction.SIGN_ONLY); 
// The sort attribute must be SIGN_ONLY
attributeActionsOnEncrypt.put("sort_key", CryptoAction.SIGN_ONLY); 
attributeActionsOnEncrypt.put("attribute1", CryptoAction.ENCRYPT_AND_SIGN);
attributeActionsOnEncrypt.put("attribute2", CryptoAction.SIGN_ONLY);
attributeActionsOnEncrypt.put(":attribute3", CryptoAction.DO_NOTHING);
3단계: 시그니처에서 제외할 속성을 정의합니다.

다음 예제에서는 모든 DO_NOTHING 속성이 고유한 접두사 ":“를 공유한다고 가정하고 이 접두사를 사용하여 허용된 서명되지 않은 속성을 정의합니다. 클라이언트는 접두사가 ":"인 모든 속성 이름이 서명에서 제외된다고 가정합니다. 자세한 정보는 허용된 무서명 속성을 참조하세요.

final String unsignedAttrPrefix = ":";
4단계: DynamoDbItemEncryptor 구성 정의

다음 예제에서는 DynamoDbItemEncryptor의 구성을 정의합니다.

이 예제에서는 DynamoDB 테이블 이름을 논리적 테이블 이름으로 지정합니다. 암호화 구성을 처음 정의할 때 DynamoDB 테이블 이름을 논리적 테이블 이름으로 지정하는 것이 좋습니다. 자세한 정보는 AWS Database Encryption SDK for DynamoDB의 암호화 구성을 참조하세요.

final DynamoDbItemEncryptorConfig config = DynamoDbItemEncryptorConfig.builder()
        .logicalTableName(ddbTableName)
        .partitionKeyName("partition_key")
        .sortKeyName("sort_key")
        .attributeActionsOnEncrypt(attributeActionsOnEncrypt)
        .keyring(kmsKeyring)
        .allowedUnsignedAttributePrefix(unsignedAttrPrefix)
        .build();
5단계: DynamoDbItemEncryptor 생성

다음 예제에서는 4단계config를 사용하여 새 DynamoDbItemEncryptor을 만듭니다.

final DynamoDbItemEncryptor itemEncryptor = DynamoDbItemEncryptor.builder()
        .DynamoDbItemEncryptorConfig(config)
        .build();
6단계: 테이블 항목을 직접 암호화하고 서명합니다.

다음 예제에서는 DynamoDbItemEncryptor를 사용하여 항목을 직접 암호화하고 서명합니다. DynamoDbItemEncryptor는 DynamoDB 테이블에 항목을 배치하지 않습니다.

final Map<String, AttributeValue> originalItem = new HashMap<>();
originalItem.put("partition_key", AttributeValue.builder().s("ItemEncryptDecryptExample").build());
originalItem.put("sort_key", AttributeValue.builder().n("0").build());
originalItem.put("attribute1", AttributeValue.builder().s("encrypt and sign me!").build());
originalItem.put("attribute2", AttributeValue.builder().s("sign me!").build());
originalItem.put(":attribute3", AttributeValue.builder().s("ignore me!").build());

final Map<String, AttributeValue> encryptedItem = itemEncryptor.EncryptItem(
        EncryptItemInput.builder()
                .plaintextItem(originalItem)
                .build()
).encryptedItem();
더보기간략히 보기