我在 DynamoDB 中有一個名為“Pin”的欄位,它是敏感資訊,用戶可以使用它來執行某些操作。不過,它不是密碼,如果用戶要求,我們確實需要在 UI 上顯示“Pin”的值(因此散列不起作用)。
我知道 DynamoDB 是靜態加密的。問題是我應該在將該值存盤在 DDB 之前對其進行加密并在將其發回之前對其進行解密嗎?這樣做有什么意義嗎?
還有什么我應該在這里做的嗎?
uj5u.com熱心網友回復:
@paulsm4 已經在他的評論中提到了一些有效的觀點,讓我擴展一下。
問題是你想保護自己免受什么傷害。
如果您需要防止有人竊取 SSD 存盤的資料,以便能夠讀取資料或強制您進行靜態加密的任何其他型別的法規,則靜態加密就足夠了。
如果你想保護自己免受您的AWS管理員能夠在表中讀取資料,同時仍然能夠管理表本身,你可以添加明確的deny陳述句為dynamodb:Get*,dynamodb:Query,dynamodb:Scan和dynamodbBatchGetItem他們的作用。
如果您想對該特定屬性具有額外的安全級別,您可以在寫入之前使用對稱加密對其進行加密,并在向用戶顯示之前對其進行解密。您可以使用KMS來做到這一點。這樣您的管理員可以讀取表格但只能看到加密的 PIN。為了解密它,他們需要訪問用于加密該特定欄位的密鑰。
在這種情況下,您必須確保只允許您的軟體訪問密鑰以加密/解密 PIN,并強制執行適當的授權機制以阻止未經授權的用戶解密資料。
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/373660.html
上一篇:Pythonnmap不顯示主機