GenerateDataKeyWithoutPlaintext 搭配 AWS SDK或 使用 CLI - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

GenerateDataKeyWithoutPlaintext 搭配 AWS SDK或 使用 CLI

下列程式碼範例示範如何使用 GenerateDataKeyWithoutPlaintext

CLI
AWS CLI

若要產生不含純文字金鑰的 256 位元對稱資料金鑰

下列generate-data-key-without-plaintext範例會請求 256 位元對稱資料金鑰的加密複本,以便在 之外使用 AWS。當您準備好使用資料金鑰時,您可以呼叫 AWS KMS 來解密資料金鑰。

若要請求 256 位元資料金鑰,請使用 值為 的 key-spec 參數AES_256。若要請求 128 位元資料金鑰,請使用 值為 的 key-spec 參數AES_128。對於所有其他資料金鑰長度,請使用 number-of-bytes 參數。

您指定的KMS金鑰必須是對稱加密KMS金鑰,亦即KMS金鑰規格值為 SYMMETRIC_ 的金鑰DEFAULT。

aws kms generate-data-key-without-plaintext \
    --key-id "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" \
    --key-spec AES_256

輸出:

{
    "CiphertextBlob": "AQEDAHjRYf5WytIc0C857tFSnBaPn2F8DgfmThbJlGfR8P3WlwAAAH4wfAYJKoZIhvcNAQcGoG8wbQIBADBoBgkqhkiG9w0BBwEwHgYJYIZIAWUDBAEuMBEEDEFogL",
    "KeyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}

CiphertextBlob (加密資料金鑰) 會以 base64 編碼格式傳回。

如需詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的資料金鑰

Rust
SDK for Rust
注意

還有更多 。 GitHub尋找完整範例,並了解如何在 AWS 程式碼範例儲存庫中設定和執行。

async fn make_key(client: &Client, key: &str) -> Result<(), Error> {
    let resp = client
        .generate_data_key_without_plaintext()
        .key_id(key)
        .key_spec(DataKeySpec::Aes256)
        .send()
        .await?;

    // Did we get an encrypted blob?
    let blob = resp.ciphertext_blob.expect("Could not get encrypted text");
    let bytes = blob.as_ref();

    let s = base64::encode(bytes);

    println!();
    println!("Data key:");
    println!("{}", s);

    Ok(())
}

如需開發人員指南和程式碼範例的完整清單 AWS SDK,請參閱 將此服務與 搭配使用 AWS SDK。本主題也包含有關入門的資訊,以及先前SDK版本的詳細資訊。