使用 keyring

我們的用戶端加密程式庫已重新命名為 AWS 資料庫加密 SDK。本開發人員指南仍提供 DynamoDB 加密用戶端的相關資訊。

資 AWS 料庫加密 SDK 使用金鑰環來執行信封加密。Keyring 會產生、加密及解密資料金鑰。金鑰圈會決定保護每個加密記錄的唯一資料金鑰來源，以及加密該資料金鑰的包裝金鑰。您可以在加密時指定 keyring，並在解密時指定相同或不同的 keyring。

您可以個別使用每個 keyring 或是結合 keyring 成為多重 keyring。雖然多數 keyring 可以產生、加密及解密資料金鑰，您可能想要建立僅執行一個特定操作的 keyring，例如只會產生資料金鑰的 keyring，並將該 keyring 與其他 keyring 結合使用。

我們建議您使用可保護包裝金鑰的金鑰圈，並在安全邊界內執行密碼編譯作業，例如使用永不離開 AWS Key Management Service()AWS KMS未加密 AWS KMS keys 的金 AWS KMS 鑰圈。您也可以撰寫使用儲存在硬體安全性模組 (HSM) 中或受其他主要金鑰服務保護的包裝金鑰環。

本主題說明如何使用資 AWS 料庫加密 SDK 的金鑰圈功能，以及如何選擇金鑰圈。

主題

• keyring 如何運作
• 選擇鑰匙圈