本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
与 AWS SDK或GenerateDataKey
一起使用 CLI
以下代码示例演示如何使用 GenerateDataKey
。
- CLI
-
- AWS CLI
-
示例 1:生成 256 位对称数据密钥
以下
generate-data-key
示例请求一个 256 位的对称数据密钥以供外部使用。 AWS该命令返回一个供立即使用和删除的纯文本数据密钥,以及使用指定KMS密钥加密的该数据密钥的副本。您可以安全地将加密的数据密钥与加密的数据一起存储。要请求 256 位数据密钥,请使用值为
AES_256
的key-spec
参数。要请求 128 位数据密钥,请使用值为AES_128
的key-spec
参数。对于所有其他数据密钥长度,请使用number-of-bytes
参数。您指定的KMS密钥必须是对称加密KMS密钥,即KMS密钥规格值为 SYMMETRIC _ DEFAULT 的密钥。
aws kms generate-data-key \ --key-id
alias/ExampleAlias
\ --key-specAES_256
输出:
{ "Plaintext": "VdzKNHGzUAzJeRBVY+uUmofUGGiDzyB3+i9fVkh3piw=", "KeyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CiphertextBlob": "AQEDAHjRYf5WytIc0C857tFSnBaPn2F8DgfmThbJlGfR8P3WlwAAAH4wfAYJKoZIhvcNAQcGoG8wbQIBADBoBgkqhkiG9w0BBwEwHgYJYIZIAWUDBAEuMBEEDEFogLqPWZconQhwHAIBEIA7d9AC7GeJJM34njQvg4Wf1d5sw0NIo1MrBqZa+YdhV8MrkBQPeac0ReRVNDt9qleAt+SHgIRF8P0H+7U=" }
Plaintext
(明文数据密钥)和CiphertextBlob
(加密数据密钥)均以 base64 编码的格式返回。有关更多信息,请参阅《密钥管理服务开发人员指南》中的数据密钥 < https://docs.aws.amazon.com/kms/ latest/developerguide/concepts .html #data-AWS k eys。
示例 2:生成 512 位对称数据密钥
以下
generate-data-key
示例请求用于加密和解密的 512 位对称数据密钥。该命令返回一个供立即使用和删除的纯文本数据密钥,以及使用指定KMS密钥加密的该数据密钥的副本。您可以安全地将加密的数据密钥与加密的数据一起存储。要请求 128 或 256 位以外的密钥长度,请使用
number-of-bytes
参数。为了请求 512 位数据密钥,以下示例使用值为 64(字节)的number-of-bytes
参数。您指定的KMS密钥必须是对称加密KMS密钥,即KMS密钥规格值为 SYMMETRIC _ DEFAULT 的密钥。
NOTE:此示例输出中的值被截断以供显示。
aws kms generate-data-key \ --key-id
1234abcd-12ab-34cd-56ef-1234567890ab
\ --number-of-bytes64
输出:
{ "CiphertextBlob": "AQIBAHi6LtupRpdKl2aJTzkK6FbhOtQkMlQJJH3PdtHvS/y+hAEnX/QQNmMwDfg2korNMEc8AAACaDCCAmQGCSqGSIb3DQEHBqCCAlUwggJRAgEAMIICSgYJKoZ...", "Plaintext": "ty8Lr0Bk6OF07M2BWt6qbFdNB+G00ZLtf5MSEb4al3R2UKWGOp06njAwy2n72VRm2m7z/Pm9Wpbvttz6a4lSo9hgPvKhZ5y6RTm4OovEXiVfBveyX3DQxDzRSwbKDPk/...", "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }
Plaintext
(明文数据密钥)和CiphertextBlob
(加密数据密钥)均以 base64 编码的格式返回。有关更多信息,请参阅《密钥管理服务开发人员指南》中的数据密钥 < https://docs.aws.amazon.com/kms/ latest/developerguide/concepts .html #data-AWS k eys。
-
有关API详细信息,请参阅 “GenerateDataKey AWS CLI
命令参考”。
-
- Python
-
- SDK适用于 Python (Boto3)
-
注意
还有更多相关信息 GitHub。查找完整示例,学习如何在 AWS 代码示例存储库
中进行设置和运行。 class KeyManager: def __init__(self, kms_client): self.kms_client = kms_client self.created_keys = [] @classmethod def from_client(cls) -> "KeyManager": """ Creates a KeyManager instance with a default KMS client. :return: An instance of KeyManager initialized with the default KMS client. """ kms_client = boto3.client("kms") return cls(kms_client) def generate_data_key(self, key_id): """ Generates a symmetric data key that can be used for client-side encryption. """ answer = input( f"Do you want to generate a symmetric data key from key {key_id} (y/n)? " ) if answer.lower() == "y": try: data_key = self.kms_client.generate_data_key( KeyId=key_id, KeySpec="AES_256" ) except ClientError as err: logger.error( "Couldn't generate a data key for key %s. Here's why: %s", key_id, err.response["Error"]["Message"], ) else: pprint(data_key)
-
有关API详细信息,请参阅GenerateDataKey中的 AWS SDKPython (Boto3) API 参考。
-
- Rust
-
- SDK对于 Rust
-
注意
还有更多相关信息 GitHub。查找完整示例,学习如何在 AWS 代码示例存储库
中进行设置和运行。 async fn make_key(client: &Client, key: &str) -> Result<(), Error> { let resp = client .generate_data_key() .key_id(key) .key_spec(DataKeySpec::Aes256) .send() .await?; // Did we get an encrypted blob? let blob = resp.ciphertext_blob.expect("Could not get encrypted text"); let bytes = blob.as_ref(); let s = base64::encode(bytes); println!(); println!("Data key:"); println!("{}", s); Ok(()) }
-
有关API详细信息,请参见GenerateDataKey
中的 Rust AWS SDK API 参考。
-
有关 AWS SDK开发者指南和代码示例的完整列表,请参阅将此服务与 AWS SDK 结合使用。本主题还包括有关入门的信息以及有关先前SDK版本的详细信息。