對密文進行轉加密。即先將密文解密,然后將解密得到的數據或者數據密鑰使用新的主密鑰再次進行加密,返回加密結果。
注意事項
- 非KMS實例中的密鑰:進行密碼運算時,僅支持通過阿里云SDK調用OpenAPI。
- KMS實例中的密鑰:進行密碼運算時,支持如下兩種方式。
- 方式一(推薦):通過KMS實例SDK調用KMS實例API。詳細介紹,請參見KMS實例SDK、KMS實例API。
- 方式二:通過阿里云SDK調用OpenAPI,但認證方式僅支持可信實體為阿里云服務的RAM角色。詳細信息,請參見創建可信實體為阿里云服務的RAM角色。
QPS限制
本接口的單用戶QPS限制為750次/秒。超過限制,API調用將會被限流,這可能影響您的業務,請合理調用。
詳細說明
ReEncrypt使用場景如下:
- 主密鑰(CMK)進行輪轉后,使用輪轉后最新的密鑰版本對數據進行重新加密。自動輪轉密鑰詳情,請參見自動輪轉密鑰。
- 主密鑰不變,改變加密上下文的內容,進行重新加密。
- 將主密鑰加密的數據或者數據密鑰在KMS內部使用其它的主密鑰進行重新加密。
ReEncrypt權限設置如下:
- 需要有操作源主密鑰的kms:ReEncryptFrom權限。
- 需要有操作目的主密鑰的kms:ReEncryptTo權限。
- 可以設置kms:ReEncrypt*用于表示上述兩個操作的權限。
調試
您可以在OpenAPI Explorer中直接運行該接口,免去您計算簽名的困擾。運行成功后,OpenAPI Explorer可以自動生成SDK代碼示例。
請求參數
|
名稱 |
類型 |
是否必選 |
示例值 |
描述 |
| Action | String | 是 | ReEncrypt | 系統規定參數。取值:ReEncrypt。 |
| CiphertextBlob | String | 是 | ODZhOWVmZDktM2QxNi00ODk0LWJkNGYtMWZjNDNmM2YyYWJmS7FmDBBQ0BkKsQrtRnidtPwirmDcS0ZuJCU41xxAAWk4Z8qsADfbV0b+i6kQmlvj79dJdGOvtX69Uycs901q******** | 待轉加密的密文。 該參數可以為對稱加密或非對稱加密返回的密文數據。
|
| SourceKeyId | String | 否 | 5c438b18-05be-40ad-b6c2-3be6752c**** | 解密密文時使用的主密鑰ID。 主密鑰的全局唯一標識符。 說明 當CiphertextBlob是非對稱加密返回的公鑰加密數據時需要指定該參數。 |
| SourceKeyVersionId | String | 否 | 2ab1a983-7072-4bbc-a582-584b5bd8**** | 用于解密密文的密鑰版本標識符。 說明 當CiphertextBlob是非對稱加密返回的公鑰加密數據時需要指定該參數。 |
| SourceEncryptionAlgorithm | String | 否 | RSAES_OAEP_SHA_256 | CiphertextBlob是公鑰加密結果時,指定公鑰加密的算法。算法詳情,請參見AsymmetricDecrypt。 取值:
說明 當CiphertextBlob是非對稱加密返回的公鑰加密數據時需要指定該參數。 |
| SourceEncryptionContext | Map | 否 | {"Example":"Example"} | key/value的JSON字符串。如果在Encrypt、GenerateDataKey、GenerateDataKeyWithoutPlaintext或GenerateAndExportDataKey API中指定了該參數,則需要提供同樣的參數才能解密,詳情請參見EncryptionContext說明。 說明 當CiphertextBlob是對稱加密返回的密文數據時需要指定該參數。 |
| DestinationKeyId | String | 是 | 1234abcd-12ab-34cd-56ef-12345678**** | 對密文解密后再次加密時使用的對稱主密鑰ID。 |
| DestinationEncryptionContext | Map | 否 | {"Example":"Example"} | key/value的JSON字符串,用于目標主密鑰加密時的加密上下文。 |
| DryRun | String | 否 | false | 是否開啟DryRun模式。
DryRun模式用于測試API調用,驗證您是否具有相應資源的權限,以及請求參數是否配置正確。DryRun模式開啟后,KMS會始終返回失敗并提示失敗原因。失敗原因包含如下:
|
返回數據
名稱 |
類型 |
示例值 |
描述 |
| KeyId | String | 2ab1a983-7072-4bbc-a582-584b5bd8**** | 解密密文使用的主密鑰ID。 主密鑰的全局唯一標識符。 |
| KeyVersionId | String | 202b9877-5a25-46e3-a763-e20791b5**** | 主密鑰下用于解密密文的密鑰版本標識符。 |
| CiphertextBlob | String | DZhOWVmZDktM2QxNi00ODk0LWJkNGYtMWZjNDNmM2YyYWJmaaSl+TztSIMe43nbTH/Z1Wr4XfLftKhAciUmDQXuMRl4WTvKhxjMThjK**** | 使用指定的主密鑰進行再次加密得到的密文。 |
| RequestId | String | 207596a2-36d3-4840-b1bd-f87044699bd7 | 本次調用請求的ID,是由阿里云為該請求生成的唯一標識符,可用于排查和定位問題。 |
示例
請求示例
http(s)://[Endpoint]/?Action=ReEncrypt
&CiphertextBlob=ODZhOWVmZDktM2QxNi00ODk0LWJkNGYtMWZjNDNmM2YyYWJmS7FmDBBQ0BkKsQrtRnidtPwirmDcS0ZuJCU41xxAAWk4Z8qsADfbV0b+i6kQmlvj79dJdGOvtX69Uycs901q********
&SourceKeyId=5c438b18-05be-40ad-b6c2-3be6752c****
&SourceKeyVersionId=2ab1a983-7072-4bbc-a582-584b5bd8****
&SourceEncryptionAlgorithm=RSAES_OAEP_SHA_256
&DestinationKeyId=1234abcd-12ab-34cd-56ef-12345678****
&DryRun=false
&公共請求參數正常返回示例
XML格式
HTTP/1.1 200 OK
Content-Type:application/xml
<ReEncryptResponse>
<KeyId>2ab1a983-7072-4bbc-a582-584b5bd8****</KeyId>
<KeyVersionId>202b9877-5a25-46e3-a763-e20791b5****</KeyVersionId>
<CiphertextBlob>DZhOWVmZDktM2QxNi00ODk0LWJkNGYtMWZjNDNmM2YyYWJmaaSl+TztSIMe43nbTH/Z1Wr4XfLftKhAciUmDQXuMRl4WTvKhxjMThjK****</CiphertextBlob>
<RequestId>207596a2-36d3-4840-b1bd-f87044699bd7</RequestId>
</ReEncryptResponse>JSON格式
HTTP/1.1 200 OK
Content-Type:application/json
{
"KeyId" : "2ab1a983-7072-4bbc-a582-584b5bd8****",
"KeyVersionId" : "202b9877-5a25-46e3-a763-e20791b5****",
"CiphertextBlob" : "DZhOWVmZDktM2QxNi00ODk0LWJkNGYtMWZjNDNmM2YyYWJmaaSl+TztSIMe43nbTH/Z1Wr4XfLftKhAciUmDQXuMRl4WTvKhxjMThjK****",
"RequestId" : "207596a2-36d3-4840-b1bd-f87044699bd7"
}錯誤碼
|
HttpCode |
錯誤碼 |
錯誤信息 |
描述 |
| 400 | InvalidParameter | The specified parameter is not valid. | 參數非法。 |
| 404 | Forbidden.KeyNotFound | The specified Key is not found. | 指定的密鑰不存在。 |
| 500 | InternalFailure | Internal Failure. | 內部錯誤。建議重試,如果多次重試報錯請提交工單。 |
訪問錯誤中心查看更多錯誤碼。