Cifrado de dynamodb cómo funciona, opciones y configuración
Este tutorial explica los diversos mecanismos de cifrado de DynamodB que puede utilizar en el servicio web de Amazon. Además de las opciones de cifrado que discutiremos, también le proporcionaremos una guía paso a paso sobre cómo configurar el cifrado en Dynamodb.
¿Cómo funciona el cifrado de Dynamodb?
La potente función de cifrado de Dynamodb agrega una capa de seguridad para garantizar que sus datos sigan siendo inaccesibles para terceros o personal no autorizado. Comprender cómo funciona el cifrado de Dynamodb comienza con conocer el tipo de datos o contenido que puede cifrar.
Para el registro, el cifrado de DynamoDB admite los datos en REST y los datos en las opciones de transcripción de tránsito. Esto implica que puede usarlo para el cifrado del lado del cliente y para cifrar los datos en reposo. En ambos casos, debe cifrar y firmar los datos antes de almacenarlos en la base de datos.
Esta característica le da a sus datos una protección de extremo a extremo contra el acceso o los cambios no autorizados por un hombre en el medio. Cualquier tabla cifrada en DynamodB asegura todos los datos, incluida su clave principal, índices secundarios locales, índices secundarios globales, transmisiones, copias de seguridad, tablas globales, etc.
Cómo habilitar los datos de DynamodB en el cifrado REST
Es importante tener en cuenta que debe integrar un servicio de administración de claves (AWS KMS) para administrar sus encriptaciones. En DynamoDB, puede usar tres tipos de claves para cifrar sus datos en reposo:
- Llaves administradas por Amazon: Solo el AWS administra estas claves y las cambia automáticamente, regularmente. Puede usarlos en la mayoría de los escenarios de cifrado porque requieren una configuración y mantenimiento mínimos.
- Claves administradas por el cliente: Tienes la responsabilidad de administrar estas claves. Sin embargo, Amazon Key Management Service (KMS) almacena las claves. También eres responsable de crear, girarlos y eliminarlos. Las claves administradas por el cliente son adecuadas para escenarios en los que necesita más control sobre el proceso de administración de claves, o necesita usar políticas de clave específicas o horarios de rotación.
- Keys propiedad de AWS: Estas claves son propiedad de AWS y se utilizan para cifrar los datos en reposo en ciertos servicios de AWS, como los volúmenes de EBS y las instancias de RDS. No puede usar las claves propiedad de AWS para cifrar los datos de DynamoDB en reposo.
Para usar cualquiera de estos tipos de clave para cifrar sus datos de DynamodB en REST, debe especificar el tipo de clave y el identificador de clave cuando crea o actualiza su tabla DynamodB. Puede usar la consola de administración de Dynamodb, la AWS CLI o la API DynamoDB para especificar el tipo de clave y el identificador de teclas.
Puede configurar los datos de Dynamodb en el cifrado REST utilizando la CLI de AWS utilizando los siguientes pasos:
Paso 1 - Cree una clave del Servicio de Gestión de Clave de Amazon (KMS) o use una clave existente para cifrar los datos en su tabla DynamodB. La tecla KMS se usa para cifrar y descifrar los datos en reposo en su tabla Dynamodb.
Paso 2 - Cree una tabla DynamoDB y especifique el tipo de cifrado y la tecla KMS para los datos al cifrado REST.
Paso 3 - Cargue los datos en la tabla DynamodB. Los datos se cifran automáticamente cuando se escribe en la tabla.
Aquí hay un ejemplo sobre cómo crear una tabla DynamodB con los datos en el cifrado REST utilizando la AWS CLI:
AWS Dynamodb Create-Table \--nombre de mesa mytableName \
--ATTRIBUTE-DEFINICIONES ATRIBTENAME = id, attributeType = s \
--key-schema atributename = id, keyType = hash \
--ReadCapacityUnits de suministro provisional = 5, WriteCapacityUnits = 5 \
--SSE-Specification habilitado = true, sseEnabled = true, ssetype = kms, kmsmasterKeyid =
En este ejemplo, el MytableName La tabla se crea con los datos habilitados en el cifrado REST utilizando la tecla KMS que se especifica por el KMS_KEY_ARN parámetro. Los datos en la tabla se cifran utilizando la clave KMS cuando se escribe en la tabla y se descifra cuando se lee.
También puede habilitar los datos en el cifrado REST para una tabla DynamoDB existente utilizando el tabla de actualización dominio:
AWS Dynamodb Update-Table \--nombre de mesa mytableName \
--SSE-Specification habilitado = true, sseEnabled = true, ssetype = kms, kmsmasterKeyid =
El comando anterior habilita los datos en el cifrado de REST para el MytableName tabla utilizando la tecla KMS que es especificada por el KMS_KEY_ARN parámetro.
También puede habilitar el cifrado para una tabla nueva o existente especificando el Moderno como Pay_per_request y establecer el Ssespecificación parámetro ACTIVADO Cuando crea o actualiza la tabla. Una vez que el cifrado está habilitado, el sistema cifra todos los datos en su tabla. Además, también cifra todas las transferencias de datos entre la tabla y el cliente.
En particular, los datos en el cifrado REST solo se aplican a los nuevos datos que se escriben en la tabla después de que esté habilitado. El sistema no cifra los datos existentes en la tabla a menos que realice un escaneo de tabla y reescribe los datos.
Conclusión
Es importante tener en cuenta que, si bien los datos en reposo están encriptados de forma predeterminada, los datos en tránsito entre el cliente y DynamoDB no están encriptados a menos que habilite específicamente el SSL/TLS. Para habilitar el SSL/TLS, puede usar el Https Protocolo al consultar el Dynamodb. También puedes usar el Consola de gestión de AWS, el AWS CLI, o cualquiera de los AWS SDKS Para habilitar el cifrado para sus tablas Dynamodb.