调用GenerateAndExportDataKey接口随机生成一个数据密钥,通过您指定的主密钥(CMK)和公钥加密后,返回CMK加密数据密钥的密文和公钥加密数据密钥的密文。
建议您使用以下方式将数据密钥导入到密码模块中,用于数据加密和数据解密:
- 调用GenerateAndExportDataKey接口,获得CMK加密和指定公钥加密的数据密钥。
- 将CMK加密数据密钥得到的密文保存在KMS凭据管家,或者云数据库等存储服务中,用于密钥的备份和恢复。
- 将公钥加密数据密钥的密文,导入到公钥对应私钥所在的密码模块,实现KMS到密码模块的密钥分发,使用数据密钥对相应的数据进行加解密运算。
说明 在请求中指定的CMK,仅会被用作数据密钥的加密,和数据密钥的生成没有关系。KMS也不会记录或存储随机生成的数据密钥,您需要负责记录数据密钥或数据密钥的密文。
调试
您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。
请求参数
| 名称 | 类型 | 是否必选 | 示例值 | 描述 |
|---|---|---|---|---|
| Action | String | 是 | GenerateAndExportDataKey |
要执行的操作,取值:GenerateAndExportDataKey。 |
| KeyId | String | 是 | 1234abcd-12ab-34cd-56ef-12345678**** |
主密钥(CMK)的全局唯一标识符。该参数也可以被指定为CMK绑定的别名,详情请参见别名使用说明。 |
| PublicKeyBlob | String | 是 | MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAndKfC2ReLL2+y8a0+ZBBeAft/uBYo86GZiYJuflqgUzKxpyuvlo3uQkBv6b+nx+0tz8g8v7GhpPWMSW5L9mNHYsvYFsa7jTxsYdt17yj6GlUHPuMIs8hr5qbwl38IHU1iIa7nYWwE2fb3ePOvLDACRJVgGpU0yxioW80d2QD+9aU4jF5dlAahcfgsNzo2CXzCUc1+xbmNuq7Rp+H9VJB9dyYOwqnW3RhOLBo21FzpORapf0UiRlrHRpk1V6ez+aE1dofaYh/9bh0m6ioxj7j5hpZbWccuEZTMBKd+cbuBkRhJzc6Tti6qwZbDiu4fUwbZS0Tqpuo1UadiyxMW******** |
Base64编码的公钥。 |
| WrappingAlgorithm | String | 是 | RSAES_OAEP_SHA_256 |
使用PublicKeyBlob所指定的公钥,加密(Wrap)数据密钥时的加密算法。算法详情,请参见AsymmetricDecrypt。 取值:
|
| WrappingKeySpec | String | 是 | RSA_2048 |
PublicKeyBlob密钥的类型。密钥类型详情,请参见非对称密钥简介。 取值:
|
| KeySpec | String | 否 | AES_256 |
指定生成的数据密钥的长度,取值:
说明 建议使用KeySpec或者NumberOfBytes来指定数据密钥长度。如果两者都不指定,KMS生成256位的数据密钥;如果两者都被指定,KMS会忽略KeySpec参数。
|
| NumberOfBytes | Integer | 否 | 32 |
指定生成的数据密钥的长度。 取值:1~1024。 单位:字节。 |
| EncryptionContext | Json | 否 | {"Example":"Example"} |
key/value对的JSON字符串,如果指定了该参数,则在解密或者使用其他密钥转加密时需要提供同样的参数,详情请参见EncryptionContext说明。 |
返回数据
| 名称 | 类型 | 示例值 | 描述 |
|---|---|---|---|
| CiphertextBlob | String | ODZhOWVmZDktM2QxNi00ODk0LWJkNGYtMWZjNDNmM2YyYWJmS7FmDBBQ0BkKsQrtRnidtPwirmDcS0ZuJCU41xxAAWk4Z8qsADfbV0b+i6kQmlvj79dJdGOvtX69Uycs901qOjop4bTS**** |
数据密钥被指定CMK的主版本加密后的密文。 |
| ExportedDataKey | String | BQKP+1zK6+ZEMxTP5qaVzcsgXtWplYBKm0NXdSnB5FzliFxE1bSiu4dnEIlca2JpeH7yz1/S6fed630H+hIH6DoM25fTLNcKj+mFB0Xnh9m2+HN59Mn4qyTfcUeadnfCXSWcGBouhXFwcdd2rJ3n337bzTf4jm659gZu3L0i6PLuxM9p7mqdwO0cKJPfGVfhnfMz+f4alMg79WB/NNyE2lyX7/qxvV49ObNrrJbKSFiz8Djocaf0IESNLMbfYI5bXjWkJlX92DQbKhibtQW8ZOJ//ZC6t0AWcUoKL6QDm/dg5koQalcleRinpB+QadFm894sLbVZ9+N4GVs******* |
公钥加密保护导出的数据密钥。 |
| KeyId | String | 599fa825-17de-417e-9554-bb032cc6**** |
CMK的全局唯一标识符。 说明 如果请求中的KeyId参数使用的是CMK的别名,在响应中会返回别名对应的CMK标识符。
|
| KeyVersionId | String | 2ab1a983-7072-4bbc-a582-584b5bd8**** |
用于加密明文的密钥版本标识符。是指定CMK的主版本。 |
| RequestId | String | 7021b6ec-4be7-4d3c-8a68-1e85d4d515a0 |
请求ID。 |
示例
请求示例
http(s)://[Endpoint]/?Action=GenerateAndExportDataKey
&KeyId=1234abcd-12ab-34cd-56ef-12345678****
&PublicKeyBlob=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAndKfC2ReLL2+y8a0+ZBBeAft/uBYo86GZiYJuflqgUzKxpyuvlo3uQkBv6b+nx+0tz8g8v7GhpPWMSW5L9mNHYsvYFsa7jTxsYdt17yj6GlUHPuMIs8hr5qbwl38IHU1iIa7nYWwE2fb3ePOvLDACRJVgGpU0yxioW80d2QD+9aU4jF5dlAahcfgsNzo2CXzCUc1+xbmNuq7Rp+H9VJB9dyYOwqnW3RhOLBo21FzpORapf0UiRlrHRpk1V6ez+aE1dofaYh/9bh0m6ioxj7j5hpZbWccuEZTMBKd+cbuBkRhJzc6Tti6qwZbDiu4fUwbZS0Tqpuo1UadiyxMW********
&WrappingAlgorithm=RSAES_OAEP_SHA_256
&WrappingKeySpec=RSA_2048
&<公共请求参数>正常返回示例
XML 格式
<KMS>
<KeyId>202b9877-5a25-46e3-a763-e20791b5****</KeyId>
<KeyVersionId>2ab1a983-7072-4bbc-a582-584b5bd8****</KeyVersionId>
<CiphertextBlob>ODZhOWVmZDktM2QxNi00ODk0LWJkNGYtMWZjNDNmM2YyYWJmS7FmDBBQ0BkKsQrtRnidtPwirmDcS0ZuJCU41xxAAWk4Z8qsADfbV0b+i6kQmlvj79dJdGOvtX69Uycs901qOjop4bTS****</CiphertextBlob>
<ExportedDataKey>BQKP+1zK6+ZEMxTP5qaVzcsgXtWplYBKm0NXdSnB5FzliFxE1bSiu4dnEIlca2JpeH7yz1/S6fed630H+hIH6DoM25fTLNcKj+mFB0Xnh9m2+HN59Mn4qyTfcUeadnfCXSWcGBouhXFwcdd2rJ3n337bzTf4jm659gZu3L0i6PLuxM9p7mqdwO0cKJPfGVfhnfMz+f4alMg79WB/NNyE2lyX7/qxvV49ObNrrJbKSFiz8Djocaf0IESNLMbfYI5bXjWkJlX92DQbKhibtQW8ZOJ//ZC6t0AWcUoKL6QDm/dg5koQalcleRinpB+QadFm894sLbVZ9+N4GVs*******</ExportedDataKey>
<RequestId>4bd560a1-729e-45f1-a3d9-b2a33d61046b</RequestId>
</KMS>JSON 格式
{
"KeyId": "202b9877-5a25-46e3-a763-e20791b5****",
"KeyVersionId": "2ab1a983-7072-4bbc-a582-584b5bd8****",
"CiphertextBlob":"ODZhOWVmZDktM2QxNi00ODk0LWJkNGYtMWZjNDNmM2YyYWJmS7FmDBBQ0BkKsQrtRnidtPwirmDcS0ZuJCU41xxAAWk4Z8qsADfbV0b+i6kQmlvj79dJdGOvtX69Uycs901qOjop4bTS****",
"ExportedDataKey": "BQKP+1zK6+ZEMxTP5qaVzcsgXtWplYBKm0NXdSnB5FzliFxE1bSiu4dnEIlca2JpeH7yz1/S6fed630H+hIH6DoM25fTLNcKj+mFB0Xnh9m2+HN59Mn4qyTfcUeadnfCXSWcGBouhXFwcdd2rJ3n337bzTf4jm659gZu3L0i6PLuxM9p7mqdwO0cKJPfGVfhnfMz+f4alMg79WB/NNyE2lyX7/qxvV49ObNrrJbKSFiz8Djocaf0IESNLMbfYI5bXjWkJlX92DQbKhibtQW8ZOJ//ZC6t0AWcUoKL6QDm/dg5koQalcleRinpB+QadFm894sLbVZ9+N4GVs*******",
"RequestId": "207596a2-36d3-4840-b1bd-f87044699bd7"
}错误码
| HttpCode | 错误码 | 错误信息 | 描述 |
|---|---|---|---|
| 404 | Forbidden.KeyNotFound | The specified Key is not found. | 指定的密钥不存在。 |
访问错误中心查看更多错误码。