암호화 자료 공급자 선택 방법 - Amazon DynamoDB Encryption Client

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

암호화 자료 공급자 선택 방법

DynamoDB Encryption Client 사용 시 내려야 하는 가장 중요한 결정 중 하나는 암호화 자료 공급자(CMP)를 선택하는 일입니다. CMP는 암호화 자료를 조립하여 물품 암호기 에 반환합니다. 또한 암호화 및 서명 키가 생성되는 방법, 각 항목에 대해 새로운 키 자료가 생성되거나 재사용되는지 여부, 사용되는 암호화 및 서명 알고리즘을 결정합니다.

에서 제공된 구현에서 CMP를 선택할 수 있습니다. DynamoDB Encryption Client 호환 가능한 사용자 지정 CMP 을 구축합니다. CMP 선택은 사용하는 프로그래밍 언어에 따라 달라질 수도 있습니다.

이 항목에서는 가장 일반적인 CMP에 대해 설명하고 애플리케이션에 가장 적합한 CMP를 선택하는 데 도움이 되는 몇 가지 조언을 제공합니다.

Direct KMS Materials Provider

Direct KMS Materials Provider는 AWS KMS를 항상 암호화된 상태로 유지하는 AWS Key Management Service(AWS KMS) 고객 마스터 키(CMK)로 테이블 항목을 보호합니다. 애플리케이션에서 암호화 자료를 생성하거나 관리할 필요가 없습니다. CMK를 사용하여 각 항목마다 고유한 암호화 및 서명 키를 생성하므로 이 공급자는 항목을 암호화하거나 해독할 때마다 AWS KMS를 호출합니다.

AWS KMS를 사용하며 애플리케이션에서 트랜잭션마다 한 번의 AWS KMS 호출이 가능한 경우, 이 공급자가 적합합니다.

자세한 내용은 Direct KMS Materials Provider 단원을 참조하십시오.

Wrapped Materials Provider(Wrapped CMP)

Wrapped Materials Provider(Wrapped CMP)는 DynamoDB Encryption Client 외부에서 래핑 및 서명 키를 생성 및 관리할 수 있도록 해줍니다.

래핑된 CMP는 각 항목에 대해 고유한 암호화 키를 생성합니다. 그런 다음 를 제공하는 포장(또는 포장 풀기) 및 서명 키를 사용합니다. 따라서 포장 및 서명 키가 생성되는 방법과 각 품목에 고유한지 또는 재사용되는지 여부를 결정합니다. Wrapped CMP는 AWS KMS를 사용하지 않는 애플리케이션을 위한 Direct KMS Provider의 보안 대안으로 암호화 자료를 안전하게 관리할 수 있습니다.

자세한 내용은 Wrapped Materials Provider 단원을 참조하십시오.

Most Recent Provider

Most Recent Provider 은(는) 암호화 자료 제공자 (CMP)와 함께 작동하도록 설계된 공급자 매장. 공급자 저장소에서 CMP를 가져오고 CMP에서 반환하는 암호화 자료를 가져옵니다. Most Recent Provider는 일반적으로 각각의 CMP를 사용하여 암호화 자료에 대한 여러 요청을 충족하지만, 공급자 스토어의 기능을 사용하여 자료의 재사용 범위를 제어하고, CMP 교체 빈도를 결정하며, Most Recent Provider를 변경하지 않고 사용되는 CMP 유형도 변경합니다.

호환되는 모든 공급자 스토어에서 Most Recent Provider를 사용할 수 있습니다. 더 DynamoDB Encryption Client 에는 랩핑된 CMP를 반환하는 공급자 매장인 메타 저장소가 포함되어 있습니다.

Most Recent Provider는 관련 암호화 소스에 대한 호출을 최소화해야 하는 애플리케이션과, 보안 요구 사항을 위반하지 않으면서 일부 암호화 자료를 재사용할 수 있는 애플리케이션에 적합합니다. 예를 들면 항목을 암호화하거나 해독할 때마다 AWS KMS를 호출하지 않고 AWS Key Management Service(AWS KMS) 고객 마스터 키로 암호화 자료를 보호할 수 있습니다.

자세한 내용은 Most Recent Provider 단원을 참조하십시오.

Static Materials Provider

Static Materials Provider는 테스트, 개념 증명 데모 및 레거시 호환성 목적으로 설계되었습니다. 각 항목에 대해 고유한 암호화 자료를 생성하지 않습니다. 사용자가 제공하는 것과 동일한 암호화 및 서명 키를 반환하며, 이러한 키는 테이블 항목을 암호화, 해독 및 서명하는 데 직접 사용됩니다.

참고

Java 라이브러리의 Asymmetric Static Provider는 Static Provider가 아닙니다. 단순히 Wrapped CMP에 대한 대체 생성자를 제공할 뿐입니다. 생산용으로는 안전하지만 가능한 경우 랩핑된 CMP를 직접 사용해야 합니다.