調用GenerateAndExportDataKey接口隨機生成一個數據密鑰,通過您指定的KMS密鑰和公鑰加密后,返回使用KMS加密后的數據密鑰密文,以及使用公鑰加密后的數據密鑰密文。
注意事項
- 非KMS實例中的密鑰:進行密碼運算時,僅支持通過阿里云SDK調用OpenAPI。
- KMS實例中的密鑰:進行密碼運算時,支持如下兩種方式。
- 方式一(推薦):通過KMS實例SDK調用KMS實例API。詳細介紹,請參見KMS實例SDK、KMS實例API。
- 方式二:通過阿里云SDK調用OpenAPI,但認證方式僅支持可信實體為阿里云服務的RAM角色。詳細信息,請參見創建可信實體為阿里云服務的RAM角色。
QPS限制
本接口的單用戶QPS限制為750次/秒。超過限制,API調用將會被限流,這可能影響您的業務,請合理調用。
詳細說明
建議您使用以下方式將數據密鑰導入到密碼模塊中,用于數據加密和數據解密:
1.調用GenerateAndExportDataKey接口,獲得KMS密鑰加密和指定公鑰加密的數據密鑰。
2.將KMS密鑰加密數據密鑰得到的密文保存在KMS,或者云數據庫等存儲服務中,用于密鑰的備份和恢復。
3.將公鑰加密數據密鑰的密文,導入到公鑰對應私鑰所在的密碼模塊,實現KMS到密碼模塊的密鑰分發,使用數據密鑰對相應的數據進行加解密運算。
說明 在請求中指定的KMS密鑰,僅會被用作數據密鑰的加密,和數據密鑰的生成沒有關系。KMS也不會記錄或存儲隨機生成的數據密鑰,您需要負責記錄數據密鑰或數據密鑰的密文。
調試
您可以在OpenAPI Explorer中直接運行該接口,免去您計算簽名的困擾。運行成功后,OpenAPI Explorer可以自動生成SDK代碼示例。
請求參數
|
名稱 |
類型 |
是否必選 |
示例值 |
描述 |
| Action | String | 是 | GenerateAndExportDataKey | 系統規定參數。取值:GenerateAndExportDataKey。 |
| KeyId | String | 是 | 1234abcd-12ab-34cd-56ef-12345678**** | 密鑰的ID,也可以指定為密鑰別名或密鑰資源名稱(ARN)。關于別名的詳細介紹,請參見管理密鑰別名。 說明 訪問其他阿里云賬號下的密鑰時,必須輸入密鑰ARN。密鑰ARN的格式為 acs:kms:${region}:${account}:key/${keyid}。 |
| KeySpec | String | 否 | AES_256 | 指定生成的數據密鑰的長度,取值:
說明 建議使用KeySpec或者NumberOfBytes來指定數據密鑰長度。如果兩者都不指定,KMS生成256位的數據密鑰;如果兩者都被指定,KMS會忽略KeySpec參數。 |
| NumberOfBytes | Integer | 否 | 32 | 指定生成的數據密鑰的長度。 取值:1~1024。 單位:字節。 |
| EncryptionContext | Map | 否 | {"Example":"Example"} | key/value對的JSON字符串,如果指定了該參數,則在解密或者使用其他密鑰轉加密時需要提供同樣的參數,詳情請參見EncryptionContext說明。 |
| PublicKeyBlob | String | 是 | MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAndKfC2ReLL2+y8a0+ZBBeAft/uBYo86GZiYJuflqgUzKxpyuvlo3uQkBv6b+nx+0tz8g8v7GhpPWMSW5L9mNHYsvYFsa7jTxsYdt17yj6GlUHPuMIs8hr5qbwl38IHU1iIa7nYWwE2fb3ePOvLDACRJVgGpU0yxioW80d2QD+9aU4jF5dlAahcfgsNzo2CXzCUc1+xbmNuq7Rp+H9VJB9dyYOwqnW3RhOLBo21FzpORapf0UiRlrHRpk1V6ez+aE1dofaYh/9bh0m6ioxj7j5hpZbWccuEZTMBKd+cbuBkRhJzc6Tti6qwZbDiu4fUwbZS0Tqpuo1UadiyxMW******** | Base64編碼的公鑰。 |
| WrappingKeySpec | String | 是 | RSA_2048 | PublicKeyBlob密鑰的類型。密鑰類型詳情,請參見非對稱密鑰簡介。 取值:
|
| WrappingAlgorithm | String | 是 | RSAES_OAEP_SHA_256 | 使用PublicKeyBlob所指定的公鑰,加密(Wrap)數據密鑰時的加密算法。算法詳情,請參見AsymmetricDecrypt。 取值:
|
| DryRun | String | 否 | false | 是否開啟DryRun模式。
DryRun模式用于測試API調用,驗證您是否具有相應資源的權限,以及請求參數是否配置正確。DryRun模式開啟后,KMS會始終返回失敗并提示失敗原因。失敗原因包含如下:
|
返回數據
名稱 |
類型 |
示例值 |
描述 |
| KeyVersionId | String | 2ab1a983-7072-4bbc-a582-584b5bd8**** | 用于加密明文的密鑰版本標識符。是指定KMS密鑰的主版本。 |
| KeyId | String | 599fa825-17de-417e-9554-bb032cc6**** | 密鑰ID。如果請求中的KeyId參數使用的是密鑰別名、密鑰ARN,在響應中也會返回密鑰ID。 |
| CiphertextBlob | String | ODZhOWVmZDktM2QxNi00ODk0LWJkNGYtMWZjNDNmM2YyYWJmS7FmDBBQ0BkKsQrtRnidtPwirmDcS0ZuJCU41xxAAWk4Z8qsADfbV0b+i6kQmlvj79dJdGOvtX69Uycs901qOjop4bTS**** | 數據密鑰被指定KMS密鑰的主版本加密后的密文。 |
| RequestId | String | 7021b6ec-4be7-4d3c-8a68-1e85d4d515a0 | 本次調用請求的ID,是由阿里云為該請求生成的唯一標識符,可用于排查和定位問題。 |
| ExportedDataKey | String | BQKP+1zK6+ZEMxTP5qaVzcsgXtWplYBKm0NXdSnB5FzliFxE1bSiu4dnEIlca2JpeH7yz1/S6fed630H+hIH6DoM25fTLNcKj+mFB0Xnh9m2+HN59Mn4qyTfcUeadnfCXSWcGBouhXFwcdd2rJ3n337bzTf4jm659gZu3L0i6PLuxM9p7mqdwO0cKJPfGVfhnfMz+f4alMg79WB/NNyE2lyX7/qxvV49ObNrrJbKSFiz8Djocaf0IESNLMbfYI5bXjWkJlX92DQbKhibtQW8ZOJ//ZC6t0AWcUoKL6QDm/dg5koQalcleRinpB+QadFm894sLbVZ9+N4GVs******* | 公鑰加密保護導出的數據密鑰。 |
示例
請求示例
http(s)://[Endpoint]/?Action=GenerateAndExportDataKey
&KeyId=1234abcd-12ab-34cd-56ef-12345678****
&KeySpec=AES_256
&NumberOfBytes=32
&PublicKeyBlob=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAndKfC2ReLL2+y8a0+ZBBeAft/uBYo86GZiYJuflqgUzKxpyuvlo3uQkBv6b+nx+0tz8g8v7GhpPWMSW5L9mNHYsvYFsa7jTxsYdt17yj6GlUHPuMIs8hr5qbwl38IHU1iIa7nYWwE2fb3ePOvLDACRJVgGpU0yxioW80d2QD+9aU4jF5dlAahcfgsNzo2CXzCUc1+xbmNuq7Rp+H9VJB9dyYOwqnW3RhOLBo21FzpORapf0UiRlrHRpk1V6ez+aE1dofaYh/9bh0m6ioxj7j5hpZbWccuEZTMBKd+cbuBkRhJzc6Tti6qwZbDiu4fUwbZS0Tqpuo1UadiyxMW********
&WrappingKeySpec=RSA_2048
&WrappingAlgorithm=RSAES_OAEP_SHA_256
&DryRun=false
&公共請求參數正常返回示例
XML格式
HTTP/1.1 200 OK
Content-Type:application/xml
<GenerateAndExportDataKeyResponse>
<KeyVersionId>2ab1a983-7072-4bbc-a582-584b5bd8****</KeyVersionId>
<KeyId>599fa825-17de-417e-9554-bb032cc6****</KeyId>
<CiphertextBlob>ODZhOWVmZDktM2QxNi00ODk0LWJkNGYtMWZjNDNmM2YyYWJmS7FmDBBQ0BkKsQrtRnidtPwirmDcS0ZuJCU41xxAAWk4Z8qsADfbV0b+i6kQmlvj79dJdGOvtX69Uycs901qOjop4bTS****</CiphertextBlob>
<RequestId>7021b6ec-4be7-4d3c-8a68-1e85d4d515a0</RequestId>
<ExportedDataKey>BQKP+1zK6+ZEMxTP5qaVzcsgXtWplYBKm0NXdSnB5FzliFxE1bSiu4dnEIlca2JpeH7yz1/S6fed630H+hIH6DoM25fTLNcKj+mFB0Xnh9m2+HN59Mn4qyTfcUeadnfCXSWcGBouhXFwcdd2rJ3n337bzTf4jm659gZu3L0i6PLuxM9p7mqdwO0cKJPfGVfhnfMz+f4alMg79WB/NNyE2lyX7/qxvV49ObNrrJbKSFiz8Djocaf0IESNLMbfYI5bXjWkJlX92DQbKhibtQW8ZOJ//ZC6t0AWcUoKL6QDm/dg5koQalcleRinpB+QadFm894sLbVZ9+N4GVs*******</ExportedDataKey>
</GenerateAndExportDataKeyResponse>JSON格式
HTTP/1.1 200 OK
Content-Type:application/json
{
"KeyVersionId" : "2ab1a983-7072-4bbc-a582-584b5bd8****",
"KeyId" : "599fa825-17de-417e-9554-bb032cc6****",
"CiphertextBlob" : "ODZhOWVmZDktM2QxNi00ODk0LWJkNGYtMWZjNDNmM2YyYWJmS7FmDBBQ0BkKsQrtRnidtPwirmDcS0ZuJCU41xxAAWk4Z8qsADfbV0b+i6kQmlvj79dJdGOvtX69Uycs901qOjop4bTS****",
"RequestId" : "7021b6ec-4be7-4d3c-8a68-1e85d4d515a0",
"ExportedDataKey" : "BQKP+1zK6+ZEMxTP5qaVzcsgXtWplYBKm0NXdSnB5FzliFxE1bSiu4dnEIlca2JpeH7yz1/S6fed630H+hIH6DoM25fTLNcKj+mFB0Xnh9m2+HN59Mn4qyTfcUeadnfCXSWcGBouhXFwcdd2rJ3n337bzTf4jm659gZu3L0i6PLuxM9p7mqdwO0cKJPfGVfhnfMz+f4alMg79WB/NNyE2lyX7/qxvV49ObNrrJbKSFiz8Djocaf0IESNLMbfYI5bXjWkJlX92DQbKhibtQW8ZOJ//ZC6t0AWcUoKL6QDm/dg5koQalcleRinpB+QadFm894sLbVZ9+N4GVs*******"
}錯誤碼
|
HttpCode |
錯誤碼 |
錯誤信息 |
描述 |
| 400 | InvalidParameter | The specified parameter is not valid. | 參數非法。 |
| 404 | Forbidden.KeyNotFound | The specified Key is not found. | 指定的密鑰不存在。 |
訪問錯誤中心查看更多錯誤碼。
文檔內容是否對您有幫助?