本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
GenerateDataKey 搭配 AWS SDK 或 CLI 使用
下列程式碼範例示範如何使用 GenerateDataKey。
- CLI
-
- AWS CLI
-
範例 1:產生 256 位元對稱資料金鑰
下列
generate-data-key範例會請求 256 位元對稱資料金鑰,以便在 外部使用 AWS。命令會傳回純文字資料金鑰,以供立即使用和刪除,以及在指定的 KMS 金鑰下加密的資料金鑰複本。加密的資料金鑰可以安全地跟加密資料一起存放。若要請求 256 位元資料金鑰,請使用 值為 的
key-spec參數AES_256。若要請求 128 位元資料金鑰,請使用 值為 的key-spec參數AES_128。對於所有其他資料金鑰長度,請使用number-of-bytes參數。您指定的 KMS 金鑰必須是對稱加密 KMS 金鑰,也就是金鑰規格值為 SYMMETRIC_DEFAULT 的 KMS 金鑰。
aws kms generate-data-key \ --key-idalias/ExampleAlias\ --key-specAES_256輸出:
{ "Plaintext": "VdzKNHGzUAzJeRBVY+uUmofUGGiDzyB3+i9fVkh3piw=", "KeyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CiphertextBlob": "AQEDAHjRYf5WytIc0C857tFSnBaPn2F8DgfmThbJlGfR8P3WlwAAAH4wfAYJKoZIhvcNAQcGoG8wbQIBADBoBgkqhkiG9w0BBwEwHgYJYIZIAWUDBAEuMBEEDEFogLqPWZconQhwHAIBEIA7d9AC7GeJJM34njQvg4Wf1d5sw0NIo1MrBqZa+YdhV8MrkBQPeac0ReRVNDt9qleAt+SHgIRF8P0H+7U=" }Plaintext(純文字資料金鑰) 和CiphertextBlob(加密資料金鑰) 會以 base64 編碼格式傳回。如需詳細資訊,請參閱 AWS 金鑰管理服務開發人員指南中的資料金鑰 <https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys。
範例 2:產生 512 位元對稱資料金鑰
下列
generate-data-key範例會請求 512 位元對稱資料金鑰以進行加密和解密。命令會傳回純文字資料金鑰,以供立即使用和刪除,以及在指定的 KMS 金鑰下加密的資料金鑰複本。加密的資料金鑰可以安全地跟加密資料一起存放。若要請求 128 或 256 位元以外的金鑰長度,請使用
number-of-bytes參數。若要請求 512 位元資料金鑰,下列範例會使用 值為 64 (位元組) 的number-of-bytes參數。您指定的 KMS 金鑰必須是對稱加密 KMS 金鑰,也就是金鑰規格值為 SYMMETRIC_DEFAULT 的 KMS 金鑰。
注意:此範例輸出中的值會截斷以顯示。
aws kms generate-data-key \ --key-id1234abcd-12ab-34cd-56ef-1234567890ab\ --number-of-bytes64輸出:
{ "CiphertextBlob": "AQIBAHi6LtupRpdKl2aJTzkK6FbhOtQkMlQJJH3PdtHvS/y+hAEnX/QQNmMwDfg2korNMEc8AAACaDCCAmQGCSqGSIb3DQEHBqCCAlUwggJRAgEAMIICSgYJKoZ...", "Plaintext": "ty8Lr0Bk6OF07M2BWt6qbFdNB+G00ZLtf5MSEb4al3R2UKWGOp06njAwy2n72VRm2m7z/Pm9Wpbvttz6a4lSo9hgPvKhZ5y6RTm4OovEXiVfBveyX3DQxDzRSwbKDPk/...", "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }Plaintext(純文字資料金鑰) 和CiphertextBlob(加密資料金鑰) 會以 base64 編碼格式傳回。如需詳細資訊,請參閱 AWS 金鑰管理服務開發人員指南中的資料金鑰 <https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys。
-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 GenerateDataKey
。
-
- Python
-
- SDK for Python (Boto3)
-
注意
GitHub 上提供更多範例。尋找完整範例,並了解如何在 AWS 程式碼範例儲存庫
中設定和執行。 class KeyManager: def __init__(self, kms_client): self.kms_client = kms_client self.created_keys = [] @classmethod def from_client(cls) -> "KeyManager": """ Creates a KeyManager instance with a default KMS client. :return: An instance of KeyManager initialized with the default KMS client. """ kms_client = boto3.client("kms") return cls(kms_client) def generate_data_key(self, key_id): """ Generates a symmetric data key that can be used for client-side encryption. """ answer = input( f"Do you want to generate a symmetric data key from key {key_id} (y/n)? " ) if answer.lower() == "y": try: data_key = self.kms_client.generate_data_key( KeyId=key_id, KeySpec="AES_256" ) except ClientError as err: logger.error( "Couldn't generate a data key for key %s. Here's why: %s", key_id, err.response["Error"]["Message"], ) else: pprint(data_key)-
如需 API 詳細資訊,請參閱 AWS SDK for Python (Boto3) API 參考中的 GenerateDataKey。
-
- Rust
-
- SDK for Rust
-
注意
GitHub 上提供更多範例。尋找完整範例,並了解如何在 AWS 程式碼範例儲存庫
中設定和執行。 async fn make_key(client: &Client, key: &str) -> Result<(), Error> { let resp = client .generate_data_key() .key_id(key) .key_spec(DataKeySpec::Aes256) .send() .await?; // Did we get an encrypted blob? let blob = resp.ciphertext_blob.expect("Could not get encrypted text"); let bytes = blob.as_ref(); let s = base64::encode(bytes); println!(); println!("Data key:"); println!("{}", s); Ok(()) }-
如需 API 詳細資訊,請參閱 AWS SDK for Rust API 參考中的 GenerateDataKey
。
-
如需 AWS SDK 開發人員指南和程式碼範例的完整清單,請參閱 將此服務與 搭配使用 AWS SDK。此主題也包含有關入門的資訊和舊版 SDK 的詳細資訊。
