GenerateDataKeyWithoutPlaintext

生成一个随机的数据密钥。可以用数据密钥进行本地数据的加密。

注意事项

  • 非KMS实例中的密钥:进行密码运算时,仅支持通过阿里云SDK调用OpenAPI。
  • KMS实例中的密钥:进行密码运算时,支持如下两种方式。

QPS限制

本接口的单用户QPS限制为750次/秒。超过限制,API调用将会被限流,这可能影响您的业务,请合理调用。

详细说明

此API随机生成一个数据密钥,并通过您指定的对称主密钥(Symmetric CMK)加密后,返回数据密钥的密文。此API和GenerateDataKey提供完全相同的功能,唯一的区别是此API不会返回数据密钥的明文。

您在请求中指定的CMK,仅用于数据密钥的加密,不会用于数据密钥的生成。KMS不会记录或存储随机生成的数据密钥。

说明
  • 此API适用于不需要立即使用数据密钥完成数据加密的系统。系统需要加密时,通过调用Decrypt接口解开数据密钥的密文。
  • 此API也适用于具有不同信任等级的分布式系统。例如:您的系统将数据按照既定划分策略存储到不同的分区中。其中的一个模块会预先创建不同的数据分区,对每一个分区分别产生不同的数据密钥。这一模块完成控制平面的初始化之后,并不参与数据的生产和消费,它是密钥分发者。而数据平面的模块,在产生和消费数据的时候,首先获取分区的数据密钥密文,在解开之后使用数据密钥的明文对数据执行加密或者解密操作,随后清除内存中的数据密钥明文。在这样的系统中,密钥分发者不需要获取到数据密钥的明文,只需要使用相关CMK的GenerateDataKeyWithoutPlaintext的权限;而数据的生产和消费者,不需要产生新的数据密钥,只需要使用相关CMK的Decrypt的权限。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

请求参数

名称

类型

是否必选

示例值

描述

Action String GenerateDataKeyWithoutPlaintext

系统规定参数。取值:GenerateDataKeyWithoutPlaintext

KeyId String 599fa825-17de-417e-9554-bb032cc6****

主密钥(CMK)的全局唯一标识符。该参数也可以被指定为CMK绑定的别名,详情请参见别名使用说明。

KeySpec String AES_256

指定生成的数据密钥的长度,取值:

  • AES_256:256位的对称密钥
  • AES_128:128位的对称密钥
说明 建议使用KeySpec或者NumberOfBytes来指定数据密钥长度。如果两者都不指定,KMS生成256位的数据密钥;如果两者都被指定,KMS会忽略KeySpec参数。
NumberOfBytes Integer 256

指定生成的数据密钥的长度。

取值:1~1024。

单位:字节

EncryptionContext Map {"Example":"Example"}

key/value对的JSON字符串,如果指定了该参数,则在调用Decrypt 时需要提供同样的参数,详情请参见EncryptionContext说明

DryRun String false

是否开启DryRun模式。

  • true:开启
  • false(默认值):关闭

DryRun模式用于测试API调用,验证您是否具有相应资源的权限,以及请求参数是否配置正确。DryRun模式开启后,KMS会始终返回失败并提示失败原因。失败原因包含如下:

  • DryRunOperationError:不配置DryRun参数时,请求会成功。
  • ValidationError:请求中指定的参数有误。
  • AccessDeniedError:您无权在KMS资源上执行该操作。

返回数据

名称

类型

示例值

描述

KeyVersionId String 2ab1a983-7072-4bbc-a582-584b5bd8****

用于加密明文的密钥版本标志符。是指定CMK的主版本。

KeyId String 599fa825-17de-417e-9554-bb032cc6****

CMK的全局唯一标识符。

说明 如果请求中的KeyId参数使用的是CMK的别名,在响应中会返回别名对应的CMK标志符。
CiphertextBlob String ODZhOWVmZDktM2QxNi00ODk0LWJkNGYtMWZjNDNmM2YyYWJmS7FmDBBQ0BkKsQrtRnidtPwirmDcS0ZuJCU41xxAAWk4Z8qsADfbV0b+i6kQmlvj79dJdGOvtX69Uycs901qOjop4bTS****

数据密钥被指定CMK的主版本加密后的密文。

RequestId String 7021b6ec-4be7-4d3c-8a68-1e85d4d515a0

本次调用请求的ID,是由阿里云为该请求生成的唯一标识符,可用于排查和定位问题。

示例

请求示例

http(s)://[Endpoint]/?Action=GenerateDataKeyWithoutPlaintext
&KeyId=1234abcd-12ab-34cd-56ef-12345678****
&KeySpec=AES_256
&NumberOfBytes=256
&DryRun=false
&公共请求参数

正常返回示例

XML格式

HTTP/1.1 200 OK
Content-Type:application/xml

<GenerateDataKeyWithoutPlaintextResponse>
    <KeyVersionId>2ab1a983-7072-4bbc-a582-584b5bd8****</KeyVersionId>
    <KeyId>599fa825-17de-417e-9554-bb032cc6****</KeyId>
    <CiphertextBlob>ODZhOWVmZDktM2QxNi00ODk0LWJkNGYtMWZjNDNmM2YyYWJmS7FmDBBQ0BkKsQrtRnidtPwirmDcS0ZuJCU41xxAAWk4Z8qsADfbV0b+i6kQmlvj79dJdGOvtX69Uycs901qOjop4bTS****</CiphertextBlob>
    <RequestId>7021b6ec-4be7-4d3c-8a68-1e85d4d515a0</RequestId>
</GenerateDataKeyWithoutPlaintextResponse>

JSON格式

HTTP/1.1 200 OK
Content-Type:application/json

{
  "KeyVersionId" : "2ab1a983-7072-4bbc-a582-584b5bd8****",
  "KeyId" : "599fa825-17de-417e-9554-bb032cc6****",
  "CiphertextBlob" : "ODZhOWVmZDktM2QxNi00ODk0LWJkNGYtMWZjNDNmM2YyYWJmS7FmDBBQ0BkKsQrtRnidtPwirmDcS0ZuJCU41xxAAWk4Z8qsADfbV0b+i6kQmlvj79dJdGOvtX69Uycs901qOjop4bTS****",
  "RequestId" : "7021b6ec-4be7-4d3c-8a68-1e85d4d515a0"
}

错误码

HttpCode

错误码

错误信息

描述

400 InvalidParameter The specified parameter is not valid. 参数非法。
404 Forbidden.KeyNotFound The specified Key is not found. 指定的密钥不存在。

访问错误中心查看更多错误码。