生成一个随机的数据密钥,用于本地数据加密。
接口说明
-
RAM 用户或 RAM 角色调用该 OpenAPI 需要被授予的权限策略详情,请参见访问控制。
-
本接口可以通过共享网关或专属网关调用。详细介绍,请参见阿里云 SDK。
共享网关:通过公网、VPC 域名访问 KMS,该方式需要打开公网开关。具体操作,请参见通过公网访问 KMS 实例中的密钥。
专属网关:通过 KMS 私网地址(
<YOUR_KMS_INSTANCE_ID>.cryptoservice.kms.aliyuncs.com)访问 KMS。
QPS 限制
通过共享网关调用:本接口的单用户 QPS 限制为 1000 次/秒。超过限制,API 调用将会被限流,这可能影响您的业务,请合理调用。
通过专属网关调用:本接口的单用户 QPS 限制以您 KMS 实例的计算性能规格为准。详细介绍,请参见性能数据。
详细说明
API 随机生成的数据密钥通过您指定的主密钥(CMK)加密后,返回数据密钥的密文和明文。您可以使用返回的数据密钥明文,在 KMS 之外对数据进行本地离线加密。在存储加密后的数据时,也需要存储数据密钥的密文。您可以通过响应中的 Plaintext 字段获取到数据密钥的明文,通过 CiphertextBlob 字段获取到数据密钥的密文。
在请求中指定的 CMK,仅会被用作数据密钥的加密,和数据密钥的生成无关。KMS 不会记录或存储随机生成的数据密钥,您需要负责对数据密钥(密文)进行持久化。
建议您使用以下方式在本地进行数据加密:
1.调用 GenerateDataKey 接口,获得用于数据加密的密钥。
2.使用数据密钥的明文(通过响应中的 Plaintext 字段返回),在本地完成离线数据加密,随后清除内存中的数据密钥明文。
3.将数据密钥的密文(通过响应中的 CiphertextBlob 字段返回),和本地离线加密后的数据一并进行存储。
在本地解密数据:
调用 Decrypt 接口解密本地存储的数据密钥的密文。该操作将返回数据密钥的明文。
使用数据密钥的明文,在本地完成离线数据解密,随后清除内存中的数据密钥明文。
本文将提供一个示例,为 ID 为key-hzz630494463ejqjx****的密钥生成随机的数据密钥。
调试
您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。
调试
授权信息
请求参数
|
名称 |
类型 |
必填 |
描述 |
示例值 |
| KeyId |
string |
是 |
密钥的 ID,也可以指定为密钥别名或密钥资源名称(ARN)。关于别名的详细介绍,请参见管理密钥别名。 说明
访问其他阿里云账号下的密钥时,必须输入密钥 ARN。密钥 ARN 的格式为 |
key-hzz630494463ejqjx**** |
| KeySpec |
string |
否 |
指定生成的数据密钥的长度,取值:
说明
建议使用 KeySpec 或者 NumberOfBytes 来指定数据密钥长度。如果两者都不指定,KMS 生成 256 比特的数据密钥;如果两者都被指定,KMS 会忽略 KeySpec 参数。 |
AES_256 |
| NumberOfBytes |
integer |
否 |
指定生成的数据密钥的长度,单位为字节。 取值:1~1024。 默认值:
|
256 |
| EncryptionContext |
object |
否 |
key/value 对的 JSON 字符串。 如果指定了该参数,则在调用 Decrypt 接口时需要提供同样的参数。更多信息,请参见 EncryptionContext 。 |
{"Example":"Example"} |
| DryRun |
string |
否 |
是否开启 DryRun 模式。
DryRun 模式用于测试 API 调用,验证您是否具有相应资源的权限,以及请求参数是否配置正确。DryRun 模式开启后,KMS 会始终返回失败并提示失败原因。失败原因包含如下:
|
false |
关于公共请求参数的详情,请参见公共参数。
返回参数
|
名称 |
类型 |
描述 |
示例值 |
|
object |
|||
| KeyVersionId |
string |
密钥版本 ID。主密钥版本的全局唯一标识符。 |
2ab1a983-7072-4bbc-a582-584b5bd8**** |
| KeyId |
string |
密钥 ID。如果请求中的 KeyId 参数使用的是密钥别名、密钥 ARN,在响应中也会返回密钥 ID。 |
key-hzz630494463ejqjx**** |
| CiphertextBlob |
string |
数据密钥被指定密钥的主版本加密后的密文。 |
ODZhOWVmZDktM2QxNi00ODk0LWJkNGYtMWZjNDNmM2YyYWJmS7FmDBBQ0BkKsQrtRnidtPwirmDcS0ZuJCU41xxAAWk4Z8qsADfbV0b+i6kQmlvj79dJdGOvtX69Uycs901qOjop4bTS**** |
| RequestId |
string |
本次调用请求的 ID,是由阿里云为该请求生成的唯一标识符,可用于排查和定位问题。 |
7021b6ec-4be7-4d3c-8a68-1e85d4d515a0 |
| Plaintext |
string |
数据密钥的明文经过 Base64 编码后的值。 |
QmFzZTY0IGVuY29kZWQgcGxhaW50**** |
示例
正常返回示例
JSON格式
{
"KeyVersionId": "2ab1a983-7072-4bbc-a582-584b5bd8****",
"KeyId": "key-hzz630494463ejqjx****",
"CiphertextBlob": "ODZhOWVmZDktM2QxNi00ODk0LWJkNGYtMWZjNDNmM2YyYWJmS7FmDBBQ0BkKsQrtRnidtPwirmDcS0ZuJCU41xxAAWk4Z8qsADfbV0b+i6kQmlvj79dJdGOvtX69Uycs901qOjop4bTS****",
"RequestId": "7021b6ec-4be7-4d3c-8a68-1e85d4d515a0",
"Plaintext": "QmFzZTY0IGVuY29kZWQgcGxhaW50****"
}错误码
|
HTTP status code |
错误码 |
错误信息 |
描述 |
|---|---|---|---|
| 400 | UnsupportedOperation | This action is not supported. | 不支持的操作 |
| 404 | Forbidden.AliasNotFound | The specified Alias is not found. | 指定的别名找不到 |
| 404 | Forbidden.KeyNotFound | The specified Key is not found. | 指定的密钥不存在。 |
| 409 | Rejected.Disabled | The request was rejected because the key state is Disabled. | 请求被拒绝,因为密钥状态为已禁用。 |
| 409 | Rejected.PendingDeletion | The request was rejected because the key state is PendingDeletion. | 请求被拒绝,原因是密钥状态为待删除。 |
| 409 | Rejected.Unavailable | The request was rejected because the key state is Unavailable. | 请求被拒绝,原因是密钥状态为不可用。 |
访问错误中心查看更多错误码。
变更历史
更多信息,参考变更详情。