本文详解如何正确配置 aws dynamodb encryption client for java,实现对 pii 字段(如身份证号、社保号)的自动加密与签名,确保即使拥有表级读权限的用户也无法明文查看敏感数据。
在使用 DynamoDB Encryption Client for Java 时,仅初始化 AttributeEncryptor 并注入 DynamoDBMapper 是不够的——它不会自动加密任意字段。客户端默认不执行任何加密操作,必须显式声明每个属性的加密/签名策略(即 EncryptionFlags),否则所有数据均以明文写入。
✅ 正确做法:定义细粒度的加密动作映射
你需要为每列(attribute)指定其安全行为:ENCRYPT + SIGN(推荐用于敏感字段)、SIGN_ONLY(适用于主键,因加密后无法查询)、或 NONE(跳过处理)。以下是一个完整、可运行的配置示例:
// 1. 初始化底层客户端
AmazonDynamoDB client = AmazonDynamoDBClientBuilder.standard().build();
AWSKMS kmsClient = AWSKMSClientBuilder.standard().build();
// 2. 配置密钥提供者(使用 KMS CMK)
DirectKmsMaterialProvider materialProvider =
new DirectKmsMaterialProvider(kmsClient, "arn:aws:kms:us-east-1:123456789012:key/abcd1234-...");
// 3. 创建加密器
DynamoDBEncryptor encryptor = DynamoDBEncryptor.getInstance(materialProvider);
// 4. 定义加密策略:关键步骤!
String partitionKey = "customerI
d"; // 替换为你的实际分区键名
String sortKey = "createdAt"; // 若无排序键,设为 null 或空字符串
Map> encryptionActions = new HashMap<>();
// 主键必须签名但不可加密(否则无法条件查询)
if (partitionKey != null && !partitionKey.isEmpty()) {
encryptionActions.put(partitionKey, EnumSet.of(EncryptionFlags.SIGN));
}
if (sortKey != null && !sortKey.isEmpty()) {
encryptionActions.put(sortKey, EnumSet.of(EncryptionFlags.SIGN));
}
// 敏感字段(如 socialSecurityNumber、email、phone)必须 ENCRYPT + SIGN
encryptionActions.put("socialSecurityNumber",
EnumSet.of(EncryptionFlags.ENCRYPT, EncryptionFlags.SIGN));
encryptionActions.put("email",
EnumSet.of(EncryptionFlags.ENCRYPT, EncryptionFlags.SIGN));
// 其他非敏感字段可选择性签名或跳过
encryptionActions.put("name", EnumSet.of(EncryptionFlags.SIGN)); // 仅防篡改
// encryptionActions.put("status", Collections.emptySet()); // 完全不处理
// 5. 构建带策略的 AttributeEncryptor
AttributeEncryptor attributeEncryptor =
new AttributeEncryptor(encryptor, encryptionActions);
// 6. 绑定到 DynamoDBMapper
DynamoDBMapper mapper = new DynamoDBMapper(
client,
DynamoDBMapperConfig.builder()
.withSaveBehavior(SaveBehavior.PUT)
.build(),
attributeEncryptor
); 
⚠️ 注意事项与最佳实践
- 主键禁止加密:DynamoDB 查询依赖哈希/范围键的原始值,加密后将导致 Query 和 GetItem 失败;务必仅启用 SIGN。
- 必须显式声明敏感字段:框架不会扫描注解或类型自动识别 PII;socialSecurityNumber 这类字段需手动加入 encryptionActions。
- 签名不可省略:即使只加密,也应同时签名(ENCRYPT | SIGN),防止密文被替换或重放。
- KMS 权限检查:确保执行角色拥有 kms:Encrypt, kms:Decrypt, kms:GenerateDataKey 权限。
- 避免硬编码 ARN:生产环境应通过参数仓库(SSM Parameter Store)或环境变量注入 CMK ARN。
- 测试验证:保存后直接用 aws dynamodb get-item 查看原始项 —— 加密字段应显示为二进制 B 类型或 Base64 编码的 BLOB,而非明文字符串。
完成上述配置后,调用 mapper.save(customer) 即可自动完成:
? 对 socialSecurityNumber 等字段 AES-GCM 加密 + KMS 密钥封装;
? 对所有标记字段生成数字签名;
? 将密文、IV、签名、加密算法元数据等作为附加属性存入 DynamoDB(默认前缀 aws:dynamodb:)。
解密则完全透明:mapper.load(Customer.class, "some-id") 会自动调用 KMS 解密并校验签名,开发者无需干预加解密流程。这才是真正满足合规要求(如 HIPAA、GDPR)的端到端静态数据加密方案。
