Szyfrowanie DynamoDB, jak to działa, opcje i konfiguracja

DynamODB jest obecnie jedną z najbardziej produktywnych baz danych dla organizacji i przedsiębiorstw. Zapewnia bardzo trwałą i skalowalną infrastrukturę pamięci masowej do danych podstawowych i krytycznych misji. Dzięki funkcji szyfrowania DynamODB zespoły mogą zapewnić, że przestrzegają zwykle ścisłych standardów bezpieczeństwa danych i zgodności.

Ten samouczek wyjaśnia różne mechanizmy szyfrowania DynamoDB, które można wykorzystać w usłudze Amazon Web Service. Oprócz opcji szyfrowania, które omówimy, zapewnimy również przewodnik krok po kroku po konfigurowaniu szyfrowania w DynamoDB.

Jak działa szyfrowanie DynamoDB

Potężna funkcja szyfrowania DynamoDB dodaje warstwę bezpieczeństwa, aby zapewnić, że Twoje dane pozostają niedostępne dla stron trzecich lub nieautoryzowanego personelu. Zrozumienie, jak działa szyfrowanie DynamoDB, zaczyna się od znajomości rodzaju danych lub treści, którą możesz zaszyfrować.

Dla rekordu szyfrowanie DynamoDB obsługuje dane w spoczynku i dane w opcjach transkrypcyjnych transkrypcji. Oznacza to, że możesz go użyć do szyfrowania po stronie klienta i do szyfrowania danych w spoczynku. W obu przypadkach musisz szyfrować i podpisać dane przed przechowywaniem w bazie danych.

Ta funkcja zawiera Twoje dane z kompleksową ochroną przed nieautoryzowanym dostępem lub zmianami przez man-in-the-middle. Każda szyfrowana tabela w DynamoDB zabezpiecza wszystkie dane, w tym klucz podstawowy, lokalne wtórne indeksy, globalne wskaźniki wtórne, strumienie, kopie zapasowe, tabele globalne itp.

Jak włączyć dane DynamoDB w szyfrowaniu REST

Ważne jest, aby pamiętać, że musisz zintegrować kluczową usługę zarządzania (AWS KM), aby zarządzać szyfrowaniem. W DynamoDB możesz użyć trzech rodzajów kluczy do szyfrowania danych w spoczynku:

• Klucze zarządzane przez Amazon: Tylko AWS zarządza tymi klawiszami i regularnie zmienia je automatycznie. Możesz ich użyć w większości scenariuszy szyfrowania, ponieważ wymagają one minimalnej konfiguracji i konserwacji.
• Klucze zarządzane przez klientów: Masz odpowiedzialność za zarządzanie tymi klawiszami. Jednak Amazon Key Management Service (KMS) przechowuje klucze. Jesteś również odpowiedzialny za ich tworzenie, obracanie i usuwanie. Klucze zarządzane przez klientów są odpowiednie do scenariuszy, w których potrzebujesz większej kontroli nad procesem zarządzania kluczami lub musisz użyć określonych kluczowych zasad lub harmonogramów rotacji.
• Klucze należące do AWS: Klucze te są własnością AWS i są używane do szyfrowania danych w spoczynku w niektórych usługach AWS, takich jak Wolume EBS i instancje RDS. Nie możesz użyć kluczy należących do AWS do szyfrowania danych DynamODB w spoczynku.

Aby użyć dowolnego z tych typów kluczowych do szyfrowania danych DynamoDB w spoczynku, musisz określić typ klucza i identyfikator klucza podczas tworzenia lub aktualizacji tabeli DynamoDB. Możesz użyć konsoli zarządzania DynamoDB, AWS CLI lub API DynamoDB, aby określić typ klucza i identyfikator klucza.

Możesz skonfigurować dane DynamoDB w szyfrowaniu REST za pomocą CLI AWS za pomocą następujących kroków:

Krok 1 - Utwórz klucz Amazon Key Management Service (KMS) lub użyj istniejącego klucza do szyfrowania danych w tabeli DynamoDB. Klucz KMS służy do szyfrowania i odszyfrowania danych w spoczynku w tabeli DynamoDB.

Krok 2 - Utwórz tabelę DynamoDB i określ typ szyfrowania i klawisz KMS dla danych podczas szyfrowania REST.

Krok 3 - Załaduj dane do tabeli DynamoDB. Dane są automatycznie szyfrowane, gdy są zapisywane w tabeli.

Oto przykład, jak utworzyć tabelę DynamoDB z danymi w szyfrowaniu REST za pomocą AWS CLI:

AWS DynamoDB Treate-Table \
--nazwa tabeli MyTableName \
--atrybut-definitions atrybtuteName = id, atrybtuteType = s \
--Key-Schema atrybutename = ID, KeyType = Hash \
--Udostępniane przeczytane odczytAtumacitunits = 5, WriteCapacicitunits = 5 \
--SSE-specyfikacja włączona = true, sseenabled = true, sSeType = kms, kmsmasterkeyid =

W tym przykładzie MyTableName Tabela jest tworzona z włączonymi danymi w szyfrowaniu REST za pomocą klucza KMS, który jest określony przez Kms_key_arn parametr. Dane w tabeli są szyfrowane za pomocą klucza KMS, gdy są zapisane do tabeli i odszyfrowane po odczytaniu.

Możesz także włączyć dane w szyfrowaniu REST dla istniejącej tabeli DynamoDB za pomocą Tabela aktualizacji Komenda:

AWS DynamoDB Update-Table \
--nazwa tabeli MyTableName \
--SSE-specyfikacja włączona = true, sseenabled = true, sSeType = kms, kmsmasterkeyid =

Poprzednie polecenie włącza dane w szyfrowaniu REST dla MyTableName tabela za pomocą klucza KMS, który jest określony przez Kms_key_arn parametr.

Możesz także włączyć szyfrowanie nowej lub istniejącej tabeli, określając BillingMode Jak Pay_per_request i ustawienie SSESPECIFICation parametr do WŁĄCZONY Podczas tworzenia lub aktualizacji tabeli. Po włączeniu szyfrowania system szyfruje wszystkie dane w tabeli. Poza tym szyfruje również wszystkie transfery danych między tabelą a klientem.

W szczególności dane dotyczące szyfrowania REST mają zastosowanie tylko do nowych danych zapisanych w tabeli po jej włączeniu. System nie szyfruje istniejących danych w tabeli, chyba że wykonasz skanowanie tabeli i przepiszesz dane.

Wniosek

Należy zauważyć, że chociaż dane w spoczynku są domyślnie szyfrowane, dane w tranzycie między klientem a DynamiDB nie są szyfrowane, chyba że konkretnie włączysz SSL/TLS. Aby włączyć SSL/TLS, możesz użyć Https Protokół podczas zapytania DynamoDB. Możesz także użyć Konsola zarządzania AWS, AWS Cli, lub którykolwiek z AWS SDK Aby włączyć szyfrowanie tabel DynamoDB.