本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
已包装的材料提供程序
注意
我们的客户端加密库已重命名为 AWS 数据库加密 SDK。以下主题提供有关适用于 Java 的 DynamoDB 加密客户端版本 1.x—2.x 以及适用于 Python 的 DynamoDB 加密客户端版本 1.x—3.x 的信息。有关更多信息,请参阅适用于 DynamoDB 的 AWS 数据库加密 SDK 版本支持。
利用已包装的材料提供程序(已包装的 CMP),您可以通过 DynamoDB 加密客户端的任何源使用包装密钥和签名密钥。已包装的 CMP 不依赖任何 AWS 服务。但是,必须在客户端之外生成和管理包装密钥与签名密钥,包括提供正确的密钥来验证和解密项目。
已包装的 CMP 将为每个项目生成一个唯一项目加密密钥。它使用提供的包装密钥包装项目加密密钥并将已包装的项目加密密钥保存在项目的材料描述属性中。由于包装密钥和签名密钥是您提供的,因此由您确定包装密钥和签名密钥的生成方式以及这些密钥对每个项目是否唯一或是否会重复使用。
已包装的 CMP 是安全实现,并且是可管理加密材料的应用程序的不二选择。
已包装的 CMP 是 DynamoDB 加密客户端支持的几个加密材料提供程序(CMP)之一。有关其他 CMP 的信息,请参阅加密材料提供程序。
有关示例代码,请参阅:
使用方法
要创建已包装的 CMP,请指定包装密钥(加密时需要)、解开包装密钥(解密时需要)以及签名密钥。加密和解密项目时,必须提供密钥。
包装密钥、解开包装密钥和签名密钥可以是对称密钥或非对称密钥对。
工作原理
已包装的 CMP 将为每个项目生成一个新的项目加密密钥。它将使用提供的包装密钥、解开包装密钥和签名密钥,如下图中所示。
获取加密材料
本部分详述了已包装的材料提供程序(已包装的 CMP)在收到加密材料请求时的输入、输出和处理。
输入(来自应用程序)
输入(来自项目加密程序)
输出(至项目加密程序):
处理
加密项目时,将传入包装密钥和签名密钥。解开包装密钥为可选项,将忽略。
-
已包装的 CMP 将为每个表项目生成一个唯一对称项目加密密钥。
-
它使用指定的包装密钥包装项目加密密钥。之后,它将尽快从内存中删除此密钥。
-
它将返回明文项目加密密钥、提供的签名密钥、包含已包装项目加密密钥的实际材料描述以及加密算法和包装算法。
-
项目加密程序将使用此明文加密密钥加密项目。它使用提供的签名密钥为项目签名。之后,它将尽快从内存中删除明文密钥。它将实际材料描述中的字段(包括已包装的加密密钥 (
amzn-ddb-env-key))复制到项目的材料描述属性中。
获取解密材料
本部分详述了已包装的材料提供程序(已包装的 CMP)在收到解密材料请求时的输入、输出和处理。
输入(来自应用程序)
输入(来自项目加密程序)
-
包含材料描述属性内容的 DynamoDB 加密上下文的副本。
输出(至项目加密程序)
-
明文项目加密密钥
-
签名密钥(保持不变)
处理
解密项目时,将传入解开包装密钥和签名密钥。包装密钥为可选项,将忽略。
-
已包装的 CMP 将从项目的材料描述属性中获取已包装的项目加密密钥。
-
它使用解开包装密钥和算法解开包装项目加密密钥。
-
它将明文项目加密密钥、签名密钥以及加密和签名算法返回项目加密程序。
-
项目加密程序将使用此签名密钥验证项目。如果验证成功,则项目加密程序将使用项目加密密钥解密项目。之后,它将尽快从内存中删除明文密钥。
