Criptografia do DynamoDB Como funciona, opções e configuração
Este tutorial explica os vários mecanismos de criptografia do DynamoDB que você pode utilizar no serviço da Web da Amazon. Além das opções de criptografia que discutiremos, também forneceremos um guia passo a passo sobre a criação da criptografia no DynamoDB.
Como funciona a criptografia do DynamoDB
O poderoso recurso de criptografia do DynamoDB adiciona uma camada de segurança para garantir que seus dados permaneçam inacessíveis a terceiros ou pessoal não autorizado. Compreender como a criptografia do DynamoDB começa com o conhecimento do tipo de dados ou conteúdo que você pode criptografar.
Para o registro, a criptografia do DynamoDB suporta os dados em repouso e os dados nas opções de transcrição de trânsito. Isso implica que você pode usá-lo para criptografia do lado do cliente e para criptografar os dados em repouso. Nos dois casos, você deve criptografar e assinar os dados antes de armazená -los no banco de dados.
Esse recurso fornece aos seus dados uma proteção de ponta a ponta contra acesso não autorizado ou alterações por um homem no meio. Qualquer tabela criptografada no DynamoDB protege todos os dados, incluindo sua chave primária, índices secundários locais, índices secundários globais, fluxos, backups, tabelas globais, etc.
Como ativar os dados do dynamoDB na criptografia REST
É importante observar que você deve integrar um serviço de gerenciamento de chaves (AWS KMS) para gerenciar suas criptografias. No DynamoDB, você pode usar três tipos de chaves para criptografar seus dados em repouso:
- Chaves gerenciadas pela Amazon: Somente o AWS gerencia essas chaves e as altera automaticamente, regularmente. Você pode usá -los na maioria dos cenários de criptografia porque eles exigem configuração e manutenção mínimas.
- Chaves gerenciadas pelo cliente: Você tem a responsabilidade de gerenciar essas chaves. No entanto, o Amazon Key Management Service (KMS) armazena as chaves. Você também é responsável por criar, girar e excluí -los. As chaves gerenciadas pelo cliente são adequadas para cenários em que você precisa de mais controle sobre o processo de gerenciamento de chaves ou precisa usar políticas-chave específicas ou cronogramas de rotação.
- Chaves de propriedade da AWS: Essas chaves são de propriedade da AWS e são usadas para criptografar os dados em repouso em determinados serviços da AWS, como volumes de EBS e instâncias de RDS. Você não pode usar as chaves de propriedade da AWS para criptografar os dados do dynamoDB em repouso.
Para usar qualquer um desses tipos de chave para criptografar seus dados do DynamoDB em repouso, você precisa especificar o tipo de chave e o identificador de chave quando você cria ou atualiza sua tabela DynamoDB. Você pode usar o console de gerenciamento do DynamoDB, a AWS CLI ou a API do DynamoDB para especificar o tipo de chave e o identificador de chave.
Você pode configurar os dados do DynamoDB na Criptografia REST usando a CLI da AWS usando as seguintes etapas:
Passo 1 - Crie uma tecla Amazon Key Management Service (KMS) ou use uma chave existente para criptografar os dados em sua tabela DynamoDB. A chave KMS é usada para criptografar e descriptografar os dados em repouso na sua tabela DynamoDB.
Passo 2 - Crie uma tabela DynamoDB e especifique o tipo de criptografia e a tecla KMS para os dados na criptografia REST.
etapa 3 - Carregue os dados na tabela DynamoDB. Os dados são criptografados automaticamente quando são gravados na tabela.
Aqui está um exemplo de como criar uma tabela de dynamoDB com os dados na criptografia REST usando a AWS CLI:
AWS DynamoDB Create-Table \--nome de tabela mytablename \
--atributo-definições atributeName = id, atributeType = s \
--key-schema atributeName = id, keytype = hash \
--provisionou-throughput readCapacityUnits = 5, WriteCapacityUnits = 5 \
--especificação sse ativada = true, sseenabled = true, ssetype = kms, kmsmasterKeyId =
Neste exemplo, o MyTableName A tabela é criada com os dados ativados na criptografia REST usando a chave KMS, que é especificada pelo Kms_key_arn parâmetro. Os dados da tabela são criptografados usando a tecla KMS quando são gravados na tabela e descriptografados quando é lida.
Você também pode ativar os dados na criptografia REST para uma tabela de dynamoDB existente usando o Atualização-tabela comando:
AWS DynamoDB Update-Table \--nome de tabela mytablename \
--especificação sse ativada = true, sseenabled = true, ssetype = kms, kmsmasterKeyId =
O comando anterior permite os dados na criptografia de repouso para o MyTableName tabela usando a tecla KMS especificada pelo Kms_key_arn parâmetro.
Você também pode ativar a criptografia para uma tabela nova ou existente especificando o BillingMode como Pay_per_request e definir o SseSpecificação parâmetro para HABILITADO Quando você cria ou atualiza a tabela. Depois que a criptografia é ativada, o sistema criptografa todos os dados em sua tabela. Além disso, também criptografa todas as transferências de dados entre a tabela e o cliente.
Notavelmente, os dados da criptografia de repouso se aplicam apenas aos novos dados que são gravados na tabela após o fato de ser ativado. O sistema não criptografa os dados existentes na tabela, a menos que você execute uma tabela digitalize e reescreva os dados.
Conclusão
É importante observar que, embora os dados em repouso sejam criptografados por padrão, os dados em trânsito entre o cliente e o DynamoDB não são criptografados, a menos que você permita especificamente o SSL/TLS. Para ativar o SSL/TLS, você pode usar o Https protocolo ao consultar o dímodb. Você também pode usar o Console de gerenciamento da AWS, o AWS CLI, ou qualquer um dos AWS SDKS Para ativar a criptografia para suas tabelas de dynamoDB.