本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
變更您的資料模型
每次加密或解密項目時,您需要提供屬性動作,告訴 DynamoDB Encryption Client 要加密和簽署的屬性、要簽署的屬性 (但不要加密),以及要忽略的屬性。屬性動作不會儲存在加密的項目中,DynamoDB Encryption Client 不會自動更新您的屬性動作。
DynamoDB Encryption Client 不支援對現有未加密的 DynamoDB 資料表資料進行加密。
每當您變更資料模型時,也就是,當您新增或移除資料表項目中的屬性時,就可能發生錯誤。如果您指定的屬性動作並未考量項目中的所有屬性,此項目便無法如您預期的方式進行加密和簽署。更重要的是,如果您在加密項目時提供的屬性動作與您在解密項目時提供的屬性動作不同,則簽章驗證可能會失敗。
例如,如果用來加密項目的屬性動作告知要簽署 test 屬性,則項目中的簽章會包含 test 屬性。但是如果用來解密項目的屬性動作並未考量 test 屬性,則驗證會因為用戶端嘗試驗證不包含 test 屬性的簽章而失敗。
當多個應用程式讀取和寫入相同的 DynamoDB 項目時,這是一個特別的問題,因為 DynamoDB Encryption Client 必須計算所有應用程式中項目的相同簽章。對於任何分散式應用程式來說,這也是一個問題,因為屬性動作的變更必須傳播到所有主機。即使您的 DynamoDB 資料表是由一個主機在一個程序中存取,如果專案變得越來越複雜,建立最佳實務程序將有助於防止錯誤。
若要避免使您無法讀取資料表項目的簽章驗證錯誤,請使用下列指導。
-
新增屬性 — 如果新屬性變更了您的屬性動作,請在項目中包含新屬性之前完全部署屬性動作變更。
-
移除屬性 — 如果您停止在項目中使用屬性,請勿變更屬性動作。
-
變更動作 — 使用屬性動作組態加密資料表項目之後,您無法安全地變更現有屬性的預設動作或動作,而無需重新加密資料表中的每個項目。
簽章驗證錯誤可能非常難以解決,因此最好的方法是避免這些錯誤的發生。
新增屬性
當您將新屬性新增至資料表項目時,您可能需要變更屬性動作。若要避免簽章驗證錯誤,我們建議您在兩階段的程序中實作此變更。在啟動第二個階段之前,請確認第一個階段已完成。
-
在所有讀取或寫入資料表的應用程式中變更屬性動作。部署這些變更,並確認更新已傳播到所有目的地主機。
-
將值寫入資料表項目中的新屬性。
這個兩階段的方法可確保所有應用程式和主機都具有相同的屬性動作,並在遇到新屬性之前計算相同的簽章。即使屬性的動作是不執行任何動作 (不加密或簽署),這個方法仍很重要,因為某些加密器的預設值是加密和簽署。
下列範例顯示此程序中第一個階段的程式碼。這些範例會新增項目屬性 link,此屬性會存放另一個資料表項目的連結。此連結必須維持純文字的形式,因此此範例會為其指派僅簽署動作。完全部署此變更,然後確認所有應用程式和主機都有新的屬性動作之後,您就可以開始在資料表項目中使用該 link 屬性。
- Java DynamoDB Mapper
-
使用 DynamoDB Mapper 和 AttributeEncryptor 時,主要索引鍵 (簽署但不加密) 以外,所有屬性都預設會進行加密和簽署。若要指定僅簽署動作,請使用 @DoNotEncrypt 註釋。
此範例會針對新 link 屬性使用 @DoNotEncrypt 註釋。
@DynamoDBTable(tableName = "ExampleTable")
public static final class DataPoJo {
private String partitionAttribute;
private int sortAttribute;
private String link;
@DynamoDBHashKey(attributeName = "partition_attribute")
public String getPartitionAttribute() {
return partitionAttribute;
}
public void setPartitionAttribute(String partitionAttribute) {
this.partitionAttribute = partitionAttribute;
}
@DynamoDBRangeKey(attributeName = "sort_attribute")
public int getSortAttribute() {
return sortAttribute;
}
public void setSortAttribute(int sortAttribute) {
this.sortAttribute = sortAttribute;
}
@DynamoDBAttribute(attributeName = "link")
@DoNotEncrypt
public String getLink() {
return link;
}
public void setLink(String link) {
this.link = link;
}
@Override
public String toString() {
return "DataPoJo [partitionAttribute=" + partitionAttribute + ",
sortAttribute=" + sortAttribute + ",
link=" + link + "]";
}
}
- Java DynamoDB encryptor
-
在較低層級的 DynamoDB 加密器中,您必須為每個屬性設定動作。此範例使用 switch 陳述式,其中預設值為 encryptAndSign,而且會針對分割索引鍵、排序索引鍵和新 link 屬性指定例外狀況。在此範例中,如果在使用連結屬性程式碼之前未將其完全部署,則某些應用程式會加密並簽署此連結屬性,但其他應用程式則僅簽署此連結屬性。
for (final String attributeName : record.keySet()) {
switch (attributeName) {
case partitionKeyName:
// fall through to the next case
case sortKeyName:
// partition and sort keys must be signed, but not encrypted
actions.put(attributeName, signOnly);
break;
case "link":
// only signed
actions.put(attributeName, signOnly);
break;
default:
// Encrypt and sign all other attributes
actions.put(attributeName, encryptAndSign);
break;
}
}
- Python
-
在 DynamoDB Encryption Client for Python 中,您可以為所有屬性指定預設動作,然後指定例外狀況。
若您使用的是 Python 用戶端協助程式類別,您不需要指定主索引鍵屬性的屬性動作。用戶端協助程式類別可防止您將主索引鍵加密。不過,如果您未使用用戶端協助程式類別,則必須在分割區金鑰上設定 SIGN_ONLY 動作並排序金鑰。如果您不小心加密了分割區或排序索引鍵,您將無法在沒有進行完整資料表掃描的情況下復原資料。
此範例會指定新 link 屬性 (取得 SIGN_ONLY 動作) 的例外狀況。
actions = AttributeActions(
default_action=CryptoAction.ENCRYPT_AND_SIGN,
attribute_actions={
'example': CryptoAction.DO_NOTHING,
'link': CryptoAction.SIGN_ONLY
}
)
移除屬性
如果您在使用 DynamoDB Encryption Client 加密的項目中不再需要 屬性,則可以停止使用 屬性。但是,請勿刪除或變更該屬性的動作。如果您這樣做,然後遇到具有該屬性的項目,則針對該項目計算的簽章將不符合原始簽章,且簽章驗證將會失敗。
雖然您可能想要從程式碼中移除屬性的所有追蹤,但請新增註解,指出該項目已不再使用,而不是將其刪除。即使您執行完整資料表掃描以刪除該屬性的所有執行個體,具有該屬性的加密項目可能會被快取或在組態中的某處處理中。
