에 대한 암호화 모범 사례 AWS Encryption SDK

AWS Encryption SDK는 오픈 소스의 클라이언트측 암호화 라이브러리입니다. 업계 표준 및 모범 사례를 사용하여 여러 프로그래밍 언어에서 구현 및 상호 운용성을 지원합니다.는 안전하고 인증된 대칭 키 알고리즘을 사용하여 데이터를 AWS Encryption SDK 암호화하고 암호화 모범 사례를 준수하는 기본 구현을 제공합니다. 자세한 내용은 AWS Encryption SDK에서 지원되는 알고리즘 세트를 참조하세요.

의 주요 기능 중 하나는 사용 중인 데이터 암호화를 지원하는 AWS Encryption SDK 것입니다. encrypt-then-use 접근 방식을 채택하면 애플리케이션 로직에서 민감한 데이터를 처리하기 전에 암호화할 수 있습니다. 이렇게 하면 애플리케이션 자체가 보안 이벤트의 영향을 받는 경우에도 잠재적 노출 또는 변조로부터 데이터를 보호할 수 있습니다.

이 서비스에 대해 다음 모범 사례를 고려하세요.

• Best practices for the AWS Encryption SDK의 모든 권장 사항을 준수합니다.

• 데이터 키를 보호하는 데 도움이 되는 래핑 키를 하나 이상 선택합니다. 자세한 내용은 Select wrapping keys를 참조하세요.

• 신뢰할 수 없는 KMS 키의 사용을 방지하는 데 도움이 되도록 KeyId 파라미터를 ReEncrypt 작업에 전달합니다. 자세한 내용은 향상된 클라이언트 측 암호화: 명시적 KeyIds.AWS

• 와 AWS Encryption SDK 함께를 사용하는 경우 로컬 KeyId 필터링을 AWS KMS사용합니다. 자세한 내용은 향상된 클라이언트 측 암호화: 명시적 KeyIds.AWS

• 암호화 또는 복호화가 필요한 대량의 트래픽이 있는 애플리케이션 또는 계정이 AWS KMS 요청 할당량을 초과하는 경우의 데이터 키 캐싱 기능을 사용할 수 있습니다 AWS Encryption SDK. 데이터 키 캐싱에 대한 다음 모범 사례를 참고하세요.

  • 캐시된 각 데이터 키가 사용되는 기간과 각 데이터 키에서 보호되는 데이터의 양을 제한하도록 캐시 보안 임곗값을 구성합니다. 이러한 임곗값을 구성할 때의 권장 사항은 다음캐시 보안 임계값 설정을 참조하세요.

  • 로컬 캐시를 특정 애플리케이션 사용 사례의 성능 향상을 달성하는 데 필요한 최소 데이터 키로 제한합니다. 로컬 캐시의 제한 구성 지침 및 예는 데이터 키 캐싱 사용: 단계별을 참조하세요.

  자세한 내용은 AWS Encryption SDK: 데이터 키 캐싱이 애플리케이션에 적합한지 결정하는 방법(블로그 게시물)을 참조하세요.AWS