本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

產生資料金鑰

資料金鑰是對稱金鑰，可用於加密資料，包括大量資料和其他資料加密金鑰。與無法下載的對稱KMS金鑰不同，資料金鑰會傳回給您，以便在 之外使用 AWS KMS。

當 AWS KMS 產生資料金鑰時，它會傳回純文字資料金鑰以供立即使用 （選用），以及您可以安全地與資料一起存放的資料金鑰加密副本。當您準備好解密資料時，您首先 AWS KMS 會要求解密加密的資料金鑰。

AWS KMS 會產生、加密和解密資料金鑰。不過， AWS KMS 不會儲存、管理或追蹤您的資料金鑰，或使用資料金鑰執行密碼編譯操作。您必須使用和管理 外部的資料金鑰 AWS KMS。如需安全使用資料金鑰的說明，請參閱 AWS Encryption SDK。

建立資料金鑰

若要建立資料金鑰，請呼叫 GenerateDataKey operation. AWS KMS generate the data key。然後，它會在您指定的對稱加密金鑰下加密資料KMS金鑰的複本。操作會傳回資料金鑰的純文字副本，以及KMS金鑰下加密的資料金鑰副本。下圖顯示此操作。

AWS KMS 也支援 GenerateDataKeyWithoutPlaintext操作，這只會傳回加密的資料金鑰。當您需要使用資料金鑰時，請 AWS KMS 將其解密。

密碼編譯操作與資料金鑰的運作方式

下列主題說明 GenerateDataKey或 GenerateDataKeyWithoutPlaintext操作所產生的資料金鑰的運作方式。

使用資料金鑰來加密資料

AWS KMS 無法使用資料金鑰加密資料。但是，您可以在 之外使用資料金鑰 AWS KMS，例如使用 OpenSSL 或密碼編譯程式庫，例如 AWS Encryption SDK。

使用純文字資料金鑰加密資料後，請盡快從記憶體中移除該金鑰。您可將加密的資料金鑰與加密的資料安全地存放在一起，以便用來隨需解密資料。

使用資料金鑰來解密資料

若要解密資料，請將加密的資料金鑰傳遞至 Decrypt 操作。 AWS KMS 使用您的KMS金鑰解密資料金鑰，然後傳回純文字資料金鑰。使用純文字資料金鑰來解密您的資料，然後盡快從記憶體中移除純文字資料金鑰。

下圖說明如何使用 Decrypt 操作來解密加密的資料金鑰。