GenerateDataKeyWithoutPlaintext 搭配 a AWS SDK 或 CLI 使用 - AWS SDK 程式碼範例

文件 AWS SDK AWS 範例 SDK 儲存庫中有更多可用的 GitHub 範例。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

GenerateDataKeyWithoutPlaintext 搭配 a AWS SDK 或 CLI 使用

下列程式碼範例示範如何使用 GenerateDataKeyWithoutPlaintext

CLI
AWS CLI

若要產生不含純文字金鑰的 256 位元對稱資料金鑰

下列generate-data-key-without-plaintext範例會請求 256 位元對稱資料金鑰的加密複本,以供 外部使用 AWS。您可以在準備好使用資料金鑰時,呼叫 AWS KMS 來解密資料金鑰。

若要請求 256 位元資料金鑰,請使用 值為 的 key-spec 參數AES_256。若要請求 128 位元資料金鑰,請使用 值為 的 key-spec 參數AES_128。對於所有其他資料金鑰長度,請使用 number-of-bytes 參數。

您指定的 KMS 金鑰必須是對稱加密的 KMS 金鑰,也就是具有 KMS_DEFAULT 金鑰規格值的 SYMMETRIC 金鑰。

aws kms generate-data-key-without-plaintext \
    --key-id "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" \
    --key-spec AES_256

輸出:

{
    "CiphertextBlob": "AQEDAHjRYf5WytIc0C857tFSnBaPn2F8DgfmThbJlGfR8P3WlwAAAH4wfAYJKoZIhvcNAQcGoG8wbQIBADBoBgkqhkiG9w0BBwEwHgYJYIZIAWUDBAEuMBEEDEFogL",
    "KeyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}

CiphertextBlob (加密的資料金鑰) 會以 base64 編碼格式傳回。

如需詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的資料金鑰

Rust
Rust 的 SDK
注意

還有更多 on GitHub。尋找完整範例,並了解如何在 AWS 程式碼範例儲存庫中設定和執行。

async fn make_key(client: &Client, key: &str) -> Result<(), Error> {
    let resp = client
        .generate_data_key_without_plaintext()
        .key_id(key)
        .key_spec(DataKeySpec::Aes256)
        .send()
        .await?;

    // Did we get an encrypted blob?
    let blob = resp.ciphertext_blob.expect("Could not get encrypted text");
    let bytes = blob.as_ref();

    let s = base64::encode(bytes);

    println!();
    println!("Data key:");
    println!("{}", s);

    Ok(())
}