文档

REWRAP_KEYSET

更新时间:

MaxCompute支持结合密钥管理服务(KMS)做密钥管理,本文为您介绍封装密钥集函数REWRAP_KEYSET:通过指定的KMS密钥重新加密封装密钥集(KEYSET)。

背景与前提

MaxCompute支持结合密钥管理服务做密钥管理,通过KMS密钥对生成的密钥集(KEYSET)再次进行加密,生成封装密钥集。REWRAP_KEYSET函数可以对NEW_WRAPPED_KEYSET函数生成的封装密钥集使用新的KMS密钥重新进行封装加密。

使用REWRAP_KEYSET函数前需要完成以下操作:

  • 已有通过NEW_WRAPPED_KEYSET函数生成的封装密钥集,详情请参见NEW_WRAPPED_KEYSET

  • 创建新KMS密钥并获取密钥ARN信息(kms_cmk_arn),并给RAM角色授权使用新密钥的权限,操作详情请参见开通KMS并完成配置

命令格式

binary REWRAP_KEYSET(string <kms_cmk_arn> , string <role-arn>, string <wrapped_keyset>, [string <role_chain>])

参数说明

  • kms_cmk_arn: 必填,重新加密KEYSET的KMS用户主密钥资源名称,格式为'acs:kms:<RegionId>:<UserId>:key/<CmkId>',包含地域信息、用户ID、用户主密钥ID,您可以在密钥管理服务控制台的密钥详情页面获取ARN,操作详情请参见开通KMS并完成配置

  • role_arn:必填,同时拥有新旧KMS密钥权限的RAM角色的ARN信息,该角色需授权给MaxCompute,格式为'acs:ram:${<userAID>}:role/${<roleName>}',包含用户ID、角色名称,获取请参见开通KMS并完成配置

  • wrapped_keyset:必填,需要重新加密的封装密钥集。

  • role_chain:可选,用户授权角色链,格式为'acs:ram:<userAID>:role/<roleName2>,acs:ram:<userBID>:role/<roleName3>},...'。通过角色链的方式,支持跨阿里云账号的封装密钥集调用。

返回值说明

返回BINARY类型的加密KEYSET,若有需要您可以通过HEX函数将BINARY类型转换为STRING类型,详情请参见HEX

使用示例

说明

运行以下包含变量的示例代码请使用脚本模式运行或在SQL语句中将变量替换为实际值。

  • 重新加密封装密钥集:

    @origin_key := unhex('<wrapped_keyset>'); 
    select hex(REWRAP_KEYSET('acs:kms:cn-hangzhou:1**************7:key/key-hzz******************', 'acs:ram::1**************7:role/kms', @origin_key));
  • 重新加密封装密钥集,并允许其他阿里云账号的角色调用:

    @origin_key := unhex('<wrapped_keyset>');
    @role_chain := 'acs:ram:${<UserAId>}:role/${<roleName2>},acs:ram:${<UserBId>}:role/${<roleName3>}';
    select hex(REWRAP_KEYSET('acs:kms:cn-hangzhou:1**************7:key/key-hzz******************', 'acs:ram:${<UserId>}:role/${<roleName>}', @origin_key, @role_chain));