DynamoDB kryptering hvordan det fungerer, alternativer og konfigurasjon

DynamoDB er for tiden en av de mest produktive databasene for organisasjoner og bedrifter. Det gir svært holdbar og skalerbar lagringsinfrastruktur for primære og oppdragskritiske data. Med DynamoDBs krypteringsfunksjon kan team sikre at de holder seg til de vanligvis strenge datasikkerhets- og overholdelsesstandardene.

Denne opplæringen forklarer de forskjellige dynamoDB -krypteringsmekanismene du kan bruke i Amazon Web Service. Foruten krypteringsalternativene som vi vil diskutere, vil vi også gi deg en trinn-for-trinns guide for å sette opp krypteringen i DynamoDB.

Hvordan fungerer dynamoDB -kryptering

Den kraftige dynamoDB -krypteringsfunksjonen legger til et lag med sikkerhet for å sikre at dataene dine forblir utilgjengelige for tredjeparter eller uautorisert personell. Å forstå hvordan DynamoDB -kryptering fungerer begynner med å kjenne til hvilken type data eller innhold du kan kryptere.

For posten støtter DynamoDB -kryptering dataene i ro og dataene i transport transkripsjonsalternativer. Dette innebærer at du kan bruke den til kryptering av klientsiden og for å kryptere dataene i ro. I begge tilfeller må du kryptere og signere dataene før du lagrer dem i databasen.

Denne funksjonen gir dataene dine med en ende-til-ende-beskyttelse mot uautorisert tilgang eller endringer av en mann-i-midten. Enhver kryptert tabell i DynamoDB sikrer alle dataene, inkludert dens primære nøkkel, lokale sekundære indekser, globale sekundære indekser, strømmer, sikkerhetskopier, globale tabeller osv.

Hvordan du aktiverer dynamoDB -dataene ved hvilekryptering

Det er viktig å merke seg at du må integrere en nøkkeladministrasjonstjeneste (AWS KMS) for å administrere krypteringene dine. I DynamoDB kan du bruke tre typer nøkler for å kryptere dataene dine i ro:

• Amazon-styrte nøkler: Bare AWS administrerer disse nøklene og endrer dem automatisk, regelmessig. Du kan bruke dem i de fleste krypteringsscenarier fordi de krever minimalt oppsett og vedlikehold.
• Kundestyrte nøkler: Du har ansvaret for å administrere disse nøklene. Imidlertid lagrer Amazon Key Management Service (KMS) nøklene. Du er også ansvarlig for å lage, rotere og slette dem. Kundestyrte nøkler er egnet for scenarier der du trenger mer kontroll over nøkkelstyringsprosessen, eller du må bruke spesifikke nøkkelpolicyer eller rotasjonsplaner.
• AWS-eide nøkler: Disse nøklene eies av AWS og brukes til å kryptere dataene i ro i visse AWS -tjenester som EBS -volumer og RDS -forekomster. Du kan ikke bruke de AWS-eide nøklene for å kryptere DynamoDB-dataene i ro.

For å bruke noen av disse nøkkeltypene for å kryptere DynamoDB -dataene dine i ro, må du spesifisere nøkkeltypen og nøkkelidentifikatoren når du oppretter eller oppdaterer DynamoDB -tabellen. Du kan bruke DynamoDB Management Console, AWS CLI eller DynamoDB API for å spesifisere nøkkeltypen og nøkkelidentifikatoren.

Du kan sette opp DynamoDB -dataene ved hvilekryptering ved å bruke AWS CLI ved å bruke følgende trinn:

Trinn 1 - Opprett en Amazon Key Management Service (KMS) -nøkkel eller bruk en eksisterende nøkkel for å kryptere dataene i DynamoDB -tabellen din. KMS -tasten brukes til å kryptere og dekryptere dataene i ro i DynamoDB -tabellen din.

Steg 2 - Lag en DynamoDB -tabell og spesifiser krypteringstypen og KMS -tasten for dataene ved hvile -kryptering.

Trinn 3 - Last inn dataene i DynamoDB -tabellen. Dataene blir automatisk kryptert når de er skrevet til tabellen.

Her er et eksempel på hvordan du oppretter en DynamoDB -tabell med dataene ved hvilekryptering ved hjelp av AWS CLI:

aws dynamodb create-table \
--Bordnavn MytableName \
--attributtdefinisjoner AttributeName = ID, AttributeType = S \
--Key-Schema AttributeName = ID, KeyType = Hash \
--avsatt gjennomstrømningsreisningsenheter = 5, WriteCapacityUnits = 5 \
--SSE-spesifikasjon aktivert = True, SSEEnabled = True, Ssetype = KMS, KMSMasterKeyID =

I dette eksemplet Mytablename Tabell opprettes med aktiverte data ved hvilekryptering ved hjelp av KMS -tasten som er spesifisert av Kms_key_arn parameter. Dataene i tabellen er kryptert ved hjelp av KMS -tasten når de er skrevet til tabellen og dekryptert når den leses.

Du kan også aktivere dataene ved hvilekryptering for en eksisterende dynamoDB -tabell ved hjelp av oppdatering-tabell kommando:

AWS DynamoDB Update-Table \
--Bordnavn MytableName \
--SSE-spesifikasjon aktivert = True, SSEEnabled = True, Ssetype = KMS, KMSMasterKeyID =

Den forrige kommandoen aktiverer dataene ved hvilekryptering for Mytablename tabell ved hjelp av KMS -tasten som er spesifisert av Kms_key_arn parameter.

Du kan også aktivere kryptering for et nytt eller eksisterende bord ved å spesifisere BillingMode som PAY_PER_REQUEST og sette Ssespecification parameter til Aktivert Når du oppretter eller oppdaterer tabellen. Når krypteringen er aktivert, krypterer systemet alle dataene i tabellen din. Dessuten krypterer det også alle dataoverføringer mellom tabellen og klienten.

Spesielt gjelder dataene ved hvilekryptering bare de nye dataene som er skrevet på tabellen etter at de er aktivert. Systemet krypterer ikke eksisterende data i tabellen med mindre du utfører en tabellskanning og skriver om dataene.

Konklusjon

Det er viktig å merke seg at selv om dataene i ro er kryptert som standard, er dataene i transitt mellom klienten og DynamoDB ikke kryptert med mindre du spesifikt aktiverer SSL/TLS. For å aktivere SSL/TLS, kan du bruke Https protokoll når du spør om dynamoDB. Du kan også bruke AWS Management Console, de Aws cli, eller noe av AWS SDKS For å aktivere kryptering for DynamoDB -tabellene dine.