本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 适用于 PHP 的 AWS SDK 版本 3 的 AWS Key Management Service 示例
AWS Key Management Service (AWS KMS) 是一项托管服务,可让您轻松创建和控制加密您的数据所用的加密密钥。有关 AWS KMS 的更多信息,请参阅 [Amazon KMS 文档](https://aws.amazon.com/documentation/kms/)。无论是编写安全 PHP 应用程序还是向其他 AWS 服务发送数据,AWS KMS 都可以帮助您控制哪些人可以使用密钥并访问您的加密数据。
[GitHub 上](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php/example_code)提供了 适用于 PHP 的 AWS SDK 版本 3 的所有示例代码。
**Topics**
+ [使用密钥](kms-example-keys.md)
+ [加密和解密数据密钥](kms-example-encrypt.md)
+ [使用密钥策略](kms-example-key-policy.md)
+ [处理授权](kms-example-grants.md)
+ [使用别名](kms-example-alias.md)
# 使用 AWS KMS API 和 适用于 PHP 的 AWS SDK 版本 3 处理密钥
AWS Key Management Service (AWS KMS) 中的主要资源是[AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)。您可以使用 KMS 密钥来加密数据。
以下示例演示如何:
+ 使用创建客户 KMS 密钥[CreateKey](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#createkey)。
+ 使用生成数据密钥[GenerateDataKey](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#generatedatakey)。
+ 使用查看 KMS 密钥[DescribeKey](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#describekey)。
+ 使用[ListKeys](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#listkeys)获取 KMS 密钥的密钥 IDs 和密钥 ARNS。
+ 使用启用 KMS 密钥[EnableKey](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#enablekey)。
+ 使用禁用 KMS 密钥[DisableKey](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#disablekey)。
的所有示例代码都可以在[此 适用于 PHP 的 AWS SDK 处找到 GitHub](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php/example_code)。
## 凭据
在运行示例代码之前,请配置您的 AWS 证书,如中所述[AWS 使用 适用于 PHP 的 AWS SDK 版本 3 进行身份验证](credentials.md)。然后导入 适用于 PHP 的 AWS SDK,如中所述[安装 适用于 PHP 的 AWS SDK 版本 3](getting-started_installation.md)。
有关使用 AWS Key Management Service (AWS KMS) 的更多信息,请参阅《[AWS KMS 开发者指南》](https://docs.aws.amazon.com/kms/latest/developerguide/)。
## 创建 KMS 密钥
要创建 [KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys),请使用[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)操作。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
//Creates a customer master key (CMK) in the caller's AWS account.
$desc = "Key for protecting critical data";
try {
$result = $KmsClient->createKey([
'Description' => $desc,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 生成数据密钥
要生成数据加密密钥,请使用[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)操作。该操作返回其创建的数据密钥的明文和加密副本。指定 AWS KMS key 生成数据密钥的。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$keySpec = 'AES_256';
try {
$result = $KmsClient->generateDataKey([
'KeyId' => $keyId,
'KeySpec' => $keySpec,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 查看 KMS 密钥
要获取有关 KMS 密钥的详细信息,包括 KMS 密钥的 Amazon 资源名称 (ARN) 和[密钥状态](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html),请使用操作。[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
`DescribeKey` 不会获取别名。要获取别名,请使用[ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)操作。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
try {
$result = $KmsClient->describeKey([
'KeyId' => $keyId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 获取 KMS 密钥 ARNs 的密钥 ID 和密钥
要获取 KMS 密钥的 ID 和 ARN,请使用操作。[ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$limit = 10;
try {
$result = $KmsClient->listKeys([
'Limit' => $limit,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 启用 KMS 密钥
要启用已禁用的 KMS 密钥,请使用[EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html)操作。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
try {
$result = $KmsClient->enableKey([
'KeyId' => $keyId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 禁用 KMS 密钥
要禁用 KMS 密钥,请使用[DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)操作。禁用 KMS 密钥可防止其被使用。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
try {
$result = $KmsClient->disableKey([
'KeyId' => $keyId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
# 使用版本 3 加密和解密 AWS KMS 数据密钥 适用于 PHP 的 AWS SDK
数据密钥 是可用于加密数据的加密密钥,包括大量数据和其他数据加密密钥。
您可以使用 AWS Key Management Service's (AWS KMS) [AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)生成、加密和解密数据密钥。
以下示例演示如何:
+ 使用 [Encrypt](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#encrypt) 加密数据密钥。
+ 使用 [Decrypt](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#decrypt) 解密数据密钥。
+ 使用[ReEncrypt](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#reencrypt)新的 KMS 密钥重新加密数据密钥。
的所有示例代码都可以在[此 适用于 PHP 的 AWS SDK 处找到 GitHub](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php/example_code)。
## 凭据
在运行示例代码之前,请配置您的 AWS 证书,如中所述[AWS 使用 适用于 PHP 的 AWS SDK 版本 3 进行身份验证](credentials.md)。然后导入 适用于 PHP 的 AWS SDK,如中所述[安装 适用于 PHP 的 AWS SDK 版本 3](getting-started_installation.md)。
有关使用 AWS Key Management Service (AWS KMS) 的更多信息,请参阅《[AWS KMS 开发者指南》](https://docs.aws.amazon.com/kms/latest/developerguide/)。
## Encrypt
[Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) 操作专用于加密数据密钥,但并不常用。[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)和[GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)操作返回加密的数据密钥。将加密的数据移到新的 AWS 区域并希望在新区域中使用 KMS 密钥来加密数据密钥时,可以使用 `Encypt` 方法。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$message = pack('c*', 1, 2, 3, 4, 5, 6, 7, 8, 9, 0);
try {
$result = $KmsClient->encrypt([
'KeyId' => $keyId,
'Plaintext' => $message,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## Decrypt
要解密数据密钥,请使用 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 操作。
您指定的必须`ciphertextBlob`是[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)、[GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)或 E [ncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) 响应中`CiphertextBlob`字段的值。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$ciphertext = 'Place your cipher text blob here';
try {
$result = $KmsClient->decrypt([
'CiphertextBlob' => $ciphertext,
]);
$plaintext = $result['Plaintext'];
var_dump($plaintext);
} catch (AwsException $e) {
// Output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 重新加密
要解密加密的数据密钥,然后立即使用其他 KMS 密钥重新加密数据密钥,请使用操作。[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)这些操作完全在服务器端执行 AWS KMS,因此它们永远不会将你的纯文本暴露在外面。 AWS KMS
您指定的必须`ciphertextBlob`是[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)、[GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html)或 E [ncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) 响应中`CiphertextBlob`字段的值。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$ciphertextBlob = 'Place your cipher text blob here';
try {
$result = $KmsClient->reEncrypt([
'CiphertextBlob' => $ciphertextBlob,
'DestinationKeyId' => $keyId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
# 使用 适用于 PHP 的 AWS SDK 版本 3 使用 AWS KMS 密钥策略
在创建 [AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys) 时,您可以确定能够使用和管理该 KMS 密钥的人员。这些权限包含在名为密钥策略的文档中。您可以随时使用密钥策略添加、移除或修改客户托管 KMS 密钥的权限,但不能编辑托 AWS 管 KMS 密钥的密钥策略。有关更多信息,请参阅 [AWS KMS的身份验证和访问控制](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)。
以下示例演示如何:
+ 使用列出密钥策略的名称[ListKeyPolicies](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#listkeypolicies)。
+ 使用获取密钥策略[GetKeyPolicy](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#getkeypolicy)。
+ 使用设置密钥策略[PutKeyPolicy](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#putkeypolicy)。
的所有示例代码都可以在[此 适用于 PHP 的 AWS SDK 处找到 GitHub](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php/example_code)。
## 凭据
在运行示例代码之前,请配置您的 AWS 证书,如中所述[AWS 使用 适用于 PHP 的 AWS SDK 版本 3 进行身份验证](credentials.md)。然后导入 适用于 PHP 的 AWS SDK,如中所述[安装 适用于 PHP 的 AWS SDK 版本 3](getting-started_installation.md)。
有关使用 AWS Key Management Service (AWS KMS) 的更多信息,请参阅《[AWS KMS 开发者指南》](https://docs.aws.amazon.com/kms/latest/developerguide/)。
## 列出所有密钥策略
要获取 KMS 密钥的密钥策略名称,请使用 `ListKeyPolicies` 操作。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$limit = 10;
try {
$result = $KmsClient->listKeyPolicies([
'KeyId' => $keyId,
'Limit' => $limit,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 检索密钥策略
要获取 KMS 密钥的密钥策略,请使用 `GetKeyPolicy` 操作。
`GetKeyPolicy` 需要策略名称。除非您在创建 KMS 密钥时已创建密钥策略,否则,唯一有效的策略名称为默认值。要了解更多信息,请参阅 *AWS Key Management Service 开发人员指南*中的[默认密钥策略](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html)。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$policyName = "default";
try {
$result = $KmsClient->getKeyPolicy([
'KeyId' => $keyId,
'PolicyName' => $policyName
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 设置密钥策略
要为 KMS 密钥建立或更改密钥策略,请使用 `PutKeyPolicy` 操作。
`PutKeyPolicy` 需要策略名称。除非您在创建 KMS 密钥时已创建密钥策略,否则,唯一有效的策略名称为默认值。要了解更多信息,请参阅 *AWS Key Management Service 开发人员指南*中的[默认密钥策略](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-default.html)。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$policyName = "default";
try {
$result = $KmsClient->putKeyPolicy([
'KeyId' => $keyId,
'PolicyName' => $policyName,
'Policy' => '{
"Version":"2012-10-17",
"Id": "custom-policy-2016-12-07",
"Statement": [
{ "Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal":
{ "AWS": "arn:aws:iam::111122223333:user/root" },
"Action": [ "kms:*" ],
"Resource": "*" },
{ "Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal":
{ "AWS": "arn:aws:iam::111122223333:user/ExampleUser" },
"Action": [
"kms:Encrypt*",
"kms:GenerateDataKey*",
"kms:Decrypt*",
"kms:DescribeKey*",
"kms:ReEncrypt*"
],
"Resource": "*" }
]
} '
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
# 使用 AWS KMS API 和 适用于 PHP 的 AWS SDK 版本 3 处理授权
授权 是提供权限的另一种机制。它是密钥策略的替代形式。您可以使用授权来授予长期访问权限,允许 AWS 委托人使用您的 AWS Key Management Service (AWS KMS) 客户[AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)管理的权限。有关更多信息,请参阅 *AWS Key Management Service 开发人员指南*中的 [AWS KMS中的授权](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。
以下示例演示如何:
+ 使用为 KMS 密钥创建授权[CreateGrant](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#creategrant)。
+ 使用查看 KMS 密钥的授权[ListGrants](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#listgrants)。
+ 使用取消对 KMS 密钥的授权[RetireGrant](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#retiregrant)。
+ 使用[RevokeGrant](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#revokegrant)撤销 KMS 密钥的授权。
的所有示例代码都可以在[此 适用于 PHP 的 AWS SDK 处找到 GitHub](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php/example_code)。
## 凭据
在运行示例代码之前,请配置您的 AWS 证书,如中所述[AWS 使用 适用于 PHP 的 AWS SDK 版本 3 进行身份验证](credentials.md)。然后导入 适用于 PHP 的 AWS SDK,如中所述[安装 适用于 PHP 的 AWS SDK 版本 3](getting-started_installation.md)。
有关使用 AWS Key Management Service (AWS KMS) 的更多信息,请参阅《[AWS KMS 开发者指南》](https://docs.aws.amazon.com/kms/latest/developerguide/)。
## 创建授权
要为创建授权 AWS KMS key,请使用[CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)操作。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$granteePrincipal = "arn:aws:iam::111122223333:user/Alice";
$operation = ['Encrypt', 'Decrypt']; // A list of operations that the grant allows.
try {
$result = $KmsClient->createGrant([
'GranteePrincipal' => $granteePrincipal,
'KeyId' => $keyId,
'Operations' => $operation
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 查看授权
要获取有关授予的详细信息 AWS KMS key,请使用[ListGrants](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListGrants.html)操作。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$limit = 10;
try {
$result = $KmsClient->listGrants([
'KeyId' => $keyId,
'Limit' => $limit,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 停用授权
要取消的授权 AWS KMS key,请使用[RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)操作。在使用完授权后,请停用授权以将其清除。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$grantToken = 'Place your grant token here';
try {
$result = $KmsClient->retireGrant([
'GrantToken' => $grantToken,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
//Can also identify grant to retire by a combination of the grant ID
//and the Amazon Resource Name (ARN) of the customer master key (CMK)
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$grantId = 'Unique identifier of the grant returned during CreateGrant operation';
try {
$result = $KmsClient->retireGrant([
'GrantId' => $grantToken,
'KeyId' => $keyId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 撤销授权
要撤消对的授权 AWS KMS key,请使用[RevokeGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RevokeGrant.html)操作。您可以撤销授予,以显式拒绝依赖它的操作。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$grantId = "grant1";
try {
$result = $KmsClient->revokeGrant([
'KeyId' => $keyId,
'GrantId' => $grantId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
# 使用 AWS KMS API 和 适用于 PHP 的 AWS SDK 版本 3 处理别名
AWS Key Management Service (AWS KMS) 为[AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)被叫的别名提供可选的显示名称。
以下示例演示如何:
+ 使用创建别名[CreateAlias](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#createalias)。
+ 使用查看别名[ListAliases](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#listaliases)。
+ 使用更新别名[UpdateAlias](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#updatealias)。
+ 使用删除别名[DeleteAlias](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#deletealias)。
的所有示例代码都可以在[此 适用于 PHP 的 AWS SDK 处找到 GitHub](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php/example_code)。
## 凭据
在运行示例代码之前,请配置您的 AWS 证书,如中所述[AWS 使用 适用于 PHP 的 AWS SDK 版本 3 进行身份验证](credentials.md)。然后导入 适用于 PHP 的 AWS SDK,如中所述[安装 适用于 PHP 的 AWS SDK 版本 3](getting-started_installation.md)。
有关使用 AWS Key Management Service (AWS KMS) 的更多信息,请参阅《[AWS KMS 开发者指南》](https://docs.aws.amazon.com/kms/latest/developerguide/)。
## 创建 别名
要为 KMS 密钥创建别名,请使用[CreateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateAlias.html)操作。别名在账户和 AWS 地区中必须是唯一的。如果为已有别名的 KMS 密钥创建别名,`CreateAlias` 会为同一 KMS 密钥创建另一个别名。它不会替换现有别名。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$aliasName = "alias/projectKey1";
try {
$result = $KmsClient->createAlias([
'AliasName' => $aliasName,
'TargetKeyId' => $keyId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 查看别名
要列出调用方 AWS 账户 和中的所有别名 AWS 区域,请使用[ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListAliases.html)操作。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$limit = 10;
try {
$result = $KmsClient->listAliases([
'Limit' => $limit,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 更新别名
要将现有别名与其他 KMS 密钥关联,请使用[UpdateAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateAlias.html)操作。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$aliasName = "alias/projectKey1";
try {
$result = $KmsClient->updateAlias([
'AliasName' => $aliasName,
'TargetKeyId' => $keyId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 删除别名
要删除别名,请使用[DeleteAlias](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteAlias.html)操作。删除别名不会影响底层 KMS 密钥。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$aliasName = "alias/projectKey1";
try {
$result = $KmsClient->deleteAlias([
'AliasName' => $aliasName,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```