658      微信

GenerateDataKey__API 参考_密钥管理服务-阿里云

生成一个密钥，你可以用这个密钥进行本地数据的加密。这个API返回一个DataKey的明文Plaintext以及DataKey加密后的密文CiphertextBlob 。DataKey的加密是用keyid对应的主密钥加密的。可以调用Decrypt API进行解密。

• 注意

  • 我们建议您使用以下方式在本地进行数据加密：调用GenerateDataKey API ，使用返回的明文DataKey在本地加密数据，然后删除内存中的明文DataKey。存储加密过的密钥CiphertextBlob和加密后的数据
  • 解密数据时，调用Decrypt API，用CiphertextBlob作为参数，调用成功，会返回DataKey的明文Plaintext，用Plaintext对本地加密的数据进行解密

• 请求格式

    KeyId="string"&KeySpec="string"&NumberOfBytes=number&EncryptionContext=json

• 请求参数

  • KeyId
    • 含义 : key的全局唯一标识符
    • 类型 : String
    • 是否必须 : 是
  • KeySpec
    • 含义 : 指定生成Datakey的加密算法以及Datakey大小，目前支持AES_128 或者 AES_256
    • 类型: String
    • 有效值: AES_256 | AES_128
    • 是否必须 : 否
  • NumberOfBytes(同时指定NumberOfBytes和KeySpec时，以NumberOfBytes为准)
    • 含义 : 生成的DataKey的长度
    • 类型 : integer
    • 有效值: 1 到 1024
    • 是否必须 : 否
  • EncryptionContext
    • 含义: key/value对的json字符串，如果指定了该参数，则在调用Decrypt API时需要提供同样的参数，参见EncryptionContext说明
    • 类型: String
    • 有效值: EncryptionContext说明
    • 是否必须: 否

• 请求示例

https://kms.cn-hangzhou.aliyuncs.com/?Action=GenerateDataKey
&KeyId=<your-key-id>
&KeySpec=AES_256
&EncryptionContext={"Example":"Example"}
&<其他公共参数>

• 返回格式

{
    "CiphertextBlob": blob,  // blob为base64编码后的String
    "KeyId": "string",
    "Plaintext": blob, // blob为base64编码后的String
    "RequestId":"string"
}

• 返回参数

  • KeyId
    • 含义 : key的全局唯一标识符
    • 类型 : String
  • Plaintext
    • 含义 : 生成的DataKey的明文
    • 类型 : String
  • CiphertextBlob
    • 含义 : DataKey加密后的密文
    • 类型 : String
  • RequestId
    • 含义 : 随机的访问Id
    • 类型 : String

• 返回示例

//json response
{
    "CiphertextBlob": "CiphertextBlob",
    "KeyId": "KeyId",
    "Plaintext": "Plaintext",
    "RequestId": "7021b6ec-4be7-4d3c-8a68-1e85d4d515a0"
}
//xml response
<KMS>
    <CiphertextBlob>CiphertextBlob</CiphertextBlob>
    <KeyId>KeyId</KeyId>
    <Plaintext>Plaintext</Plaintext>
    <RequestId>7021b6ec-4be7-4d3c-8a68-1e85d4d515a0</RequestId>
</KMS>