View a markdown version of this page

Uso do DynamoDB Encryption Client para Java - AWS SDK de criptografia de banco de dados
Criptografadores de itensAções de atributos em JavaSubstituir nomes de tabelas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Uso do DynamoDB Encryption Client para Java

nota

Nossa biblioteca de criptografia do lado do cliente foi renomeada como SDK de criptografia de banco de dados da AWS. O tópico a seguir fornece informações sobre as versões 1.x—2.x do DynamoDB Encryption Client para Java e versões 1.x—3x do DynamoDB Encryption Client para Python. Para obter mais informações, consulte SDK de criptografia de banco de dados da AWS para obter suporte à versão do DynamoDB.

Este tópico explica alguns dos recursos do DynamoDB Encryption Client para Java que talvez não sejam encontrados em outras implementações de linguagem de programação.

Para obter detalhes sobre a programação com o DynamoDB Encryption Client, consulte os exemplos em Java, os exemplos em GitHub on e o Javadoc para aws-dynamodb-encryption-java repository o DynamoDB Encryption Client.

Criptografadores de itens: DynamodbEncryptor

O DynamoDB Encryption Client em Java tem um criptografador de itens: o DynamoDBEncryptor de nível inferior

Ações de atributos em Java

As Ações de atributos determinam quais valores de atributo são criptografados e assinados, quais são apenas assinados e quais são ignorados.

Importante

Depois de usar as ações do atributo para criptografar os itens da tabela, adicionar ou remover atributos do modelo de dados poderá gerar um erro de validação de assinatura que impede a descriptografia dos dados. Para obter uma explicação detalhada, consulte Alterar seu modelo de dados.

Para especificar ações de atributos ao usar o DynamoDBEncryptor diretamente, crie um objeto HashMap em que pares de nome-valor representam os nomes de atributos e as ações especificadas.

Os valores válidos para as ações de atributo estão definidos no tipo enumerado de EncryptionFlags. Você pode usar ENCRYPT e SIGN juntos, usar SIGN isoladamente ou omitir os dois. No entanto, se você usar ENCRYPT sozinho, o DynamoDB Encryption Client gerará um erro. Você não pode criptografar um atributo que você não assine.

ENCRYPT
SIGN
Atenção

Não criptografe os atributos da chave primária. Eles devem permanecer em texto simples para que o DynamoDB possa encontrar o item sem executar uma varredura completa da tabela.

Se você especificar uma chave primária no contexto de criptografia e especificar ENCRYPT na ação de um atributo de chave primária, o DynamoDB Encryption Client gerará uma exceção.

Por exemplo, o código Java a seguir cria um actions HashMap que criptografa e assina todos os atributos no record item. As exceções são os atributos de chave de partição e de chave de classificação que são assinados, mas não criptografados, e o atributo test que não é assinado nem criptografado.

final EnumSet<EncryptionFlags> signOnly = EnumSet.of(EncryptionFlags.SIGN);
final EnumSet<EncryptionFlags> encryptAndSign = EnumSet.of(EncryptionFlags.ENCRYPT, EncryptionFlags.SIGN);
final Map<String, Set<EncryptionFlags>> actions = new HashMap<>();

for (final String attributeName : record.keySet()) {
  switch (attributeName) {
    case partitionKeyName: // no break; falls through to next case
    case sortKeyName:
      // Partition and sort keys must not be encrypted, but should be signed
      actions.put(attributeName, signOnly);
      break;
    case "test":
      // Don't encrypt or sign
      break;
    default:
      // Encrypt and sign everything else
      actions.put(attributeName, encryptAndSign);
      break;
  }
}

Ao chamar o método encryptRecord do DynamoDBEncryptor, especifique o mapa como o valor do parâmetro attributeFlags. Por exemplo, esta chamada para encryptRecord usa o mapa actions.

// Encrypt the plaintext record
final Map<String, AttributeValue> encrypted_record = encryptor.encryptRecord(record, actions, encryptionContext);

Substituir nomes de tabelas

No DynamoDB Encryption Client, o nome da tabela do DynamoDB é um elemento do contexto de criptografia do DynamoDB que é passado para os métodos de criptografia e de descriptografia. Quando você criptografa ou assina itens de tabela, o contexto de criptografia do DynamoDB, inclusive o nome da tabela, é vinculado criptograficamente ao texto cifrado. Se o contexto de criptografia do DynamoDB passado para o método de descriptografia não corresponder ao contexto de criptografia do DynamoDB passado para o método de criptografia, a operação de descriptografia falhará.

Ocasionalmente, o nome de uma tabela é alterado, como quando você faz backup de uma tabela ou executa uma recuperação point-in-time. Ao descriptografar ou verificar a assinatura desses itens, passe o mesmo contexto de criptografia do DynamoDB usado para criptografar e assinar os itens, inclusive o nome da tabela original. O nome da tabela atual não é necessário.

Quando você usa o DynamoDBEncryptor, você monta o contexto de criptografia do manualmente. Portanto, não use os operadores de substituição do nome da tabela se estiver usando o. DynamoDBEncryptor Em vez disso, crie um contexto de criptografia com o nome da tabela original e envie-o para o método de descriptografia.