文档首页/ 数据加密服务 DEW/ API参考/ API说明/ 管理加密密钥/ 密钥生命周期管理/ 创建密钥
更新时间:2024-11-20 GMT+08:00
查看PDF
分享

创建密钥

功能介绍

创建用户主密钥,用户主密钥可以为对称密钥或非对称密钥。

  • 对称密钥为长度为256位AES密钥或者128位SM4密钥,可用于小量数据的加密或者用于加密数据密钥。

  • 非对称密钥可以为RSA密钥对或者ECC密钥对(包含SM2密钥对),可用于加解密数据、数字签名及验签。

接口约束

别名“/default”为服务默认主密钥的后缀名,由服务自动创建。因此用户创建的主密钥别名不能与服务默认主密钥的别名相同,即后缀名不能为“/default”。

对于开通企业项目的用户,服务默认主密钥属于且只能属于默认企业项目下,且不支持企业资源的迁入迁出。服务默认主密钥为用户提供基础的云上加密功能,满足合规要求。因此,在企业多项目下,其他非默认企业项目下的用户均可使用该密钥。若客户有企业管理资源诉求,请自行创建和使用密钥。

调用方法

请参见如何调用API

URI

POST /v1.0/{project_id}/kms/create-key

表1 路径参数

参数

是否必选

参数类型

描述

project_id

String

项目ID

请求参数

表2 请求Header参数

参数

是否必选

参数类型

描述

X-Auth-Token

String

用户Token。

通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。
表3 请求Body参数

参数

是否必选

参数类型

描述

key_alias

String

非默认主密钥别名,取值范围为1到255个字符,满足正则匹配“^[a-zA-Z0-9:/_-]{1,255}$”,且不与系统服务创建的默认主密钥别名重名。

key_spec

String

密钥生成算法,默认为“AES_256”,枚举如下:

  • AES_256

  • SM4

  • RSA_2048

  • RSA_3072

  • RSA_4096

  • EC_P256

  • EC_P384

  • SM2

key_usage

String

密钥用途,对称密钥默认为“ENCRYPT_DECRYPT”,非对称密钥默认为“SIGN_VERIFY”,枚举如下:

  • ENCRYPT_DECRYPT

  • SIGN_VERIFY

key_description

String

密钥描述,取值0到255字符。

origin

String

密钥来源,默认为“kms”,枚举如下:

  • kms:表示密钥材料由kms生成。

  • external:表示密钥材料由外部导入。

enterprise_project_id

String

企业多项目ID。

  • 用户未开通企业多项目时,不需要输入该字段。

  • 用户开通企业多项目时,创建资源可以输入该字段。若用户户不输入该字段,默认创建属于默认企业多项目ID(ID为“0”)的资源。

    注意:若用户没有默认企业多项目ID(ID为“0”)下的创建权限,则接口报错。

sequence

String

请求消息序列号,36字节序列号。

例如:919c82d4-8046-4722-9094-35c3c6524cff

keystore_id

String

密钥库ID,默认使用KMS默认密钥库

响应参数

状态码: 200

表4 响应Body参数

参数

参数类型

描述

key_info

KeKInfo object

密钥详细信息。
表5 KeKInfo

参数

参数类型

描述

key_id

String

密钥ID。

domain_id

String

用户域ID。

状态码: 400

表6 响应Body参数

参数

参数类型

描述

error

Object

错误信息返回体。
表7 ErrorDetail

参数

参数类型

描述

error_code

String

错误请求返回的错误码

error_msg

String

错误请求返回的错误信息

状态码: 401

表8 响应Body参数

参数

参数类型

描述

error

Object

错误信息返回体。
表9 ErrorDetail

参数

参数类型

描述

error_code

String

错误请求返回的错误码

error_msg

String

错误请求返回的错误信息

状态码: 403

表10 响应Body参数

参数

参数类型

描述

error

Object

错误信息返回体。
表11 ErrorDetail

参数

参数类型

描述

error_code

String

错误请求返回的错误码

error_msg

String

错误请求返回的错误信息

状态码: 404

表12 响应Body参数

参数

参数类型

描述

error

Object

错误信息返回体。
表13 ErrorDetail

参数

参数类型

描述

error_code

String

错误请求返回的错误码

error_msg

String

错误请求返回的错误信息

状态码: 500

表14 响应Body参数

参数

参数类型

描述

error

Object

错误信息返回体。
表15 ErrorDetail

参数

参数类型

描述

error_code

String

错误请求返回的错误码

error_msg

String

错误请求返回的错误信息

状态码: 502

表16 响应Body参数

参数

参数类型

描述

error

Object

错误信息返回体。
表17 ErrorDetail

参数

参数类型

描述

error_code

String

错误请求返回的错误码

error_msg

String

错误请求返回的错误信息

状态码: 504

表18 响应Body参数

参数

参数类型

描述

error

Object

错误信息返回体。
表19 ErrorDetail

参数

参数类型

描述

error_code

String

错误请求返回的错误码

error_msg

String

错误请求返回的错误信息

请求示例

创建一个别名为"test"的密钥。

{
  "key_alias" : "test"
}

响应示例

状态码: 200

请求已成功

{
  "key_info" : {
    "key_id" : "bb6a3d22-dc93-47ac-b5bd-88df7ad35f1e",
    "domain_id" : "b168fe00ff56492495a7d22974df2d0b"
  }
}

SDK代码示例

SDK代码示例如下。

创建一个别名为"test"的密钥。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
 
package com.huaweicloud.sdk.test;

import com.huaweicloud.sdk.core.auth.ICredential;
import com.huaweicloud.sdk.core.auth.BasicCredentials;
import com.huaweicloud.sdk.core.exception.ConnectionException;
import com.huaweicloud.sdk.core.exception.RequestTimeoutException;
import com.huaweicloud.sdk.core.exception.ServiceResponseException;
import com.huaweicloud.sdk.kms.v2.region.KmsRegion;
import com.huaweicloud.sdk.kms.v2.*;
import com.huaweicloud.sdk.kms.v2.model.*;


public class CreateKeySolution {

    public static void main(String[] args) {
        // The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
        // In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
        String ak = System.getenv("CLOUD_SDK_AK");
        String sk = System.getenv("CLOUD_SDK_SK");
        String projectId = "{project_id}";

        ICredential auth = new BasicCredentials()
                .withProjectId(projectId)
                .withAk(ak)
                .withSk(sk);

        KmsClient client = KmsClient.newBuilder()
                .withCredential(auth)
                .withRegion(KmsRegion.valueOf("<YOUR REGION>"))
                .build();
        CreateKeyRequest request = new CreateKeyRequest();
        CreateKeyRequestBody body = new CreateKeyRequestBody();
        body.withKeyAlias("test");
        request.withBody(body);
        try {
            CreateKeyResponse response = client.createKey(request);
            System.out.println(response.toString());
        } catch (ConnectionException e) {
            e.printStackTrace();
        } catch (RequestTimeoutException e) {
            e.printStackTrace();
        } catch (ServiceResponseException e) {
            e.printStackTrace();
            System.out.println(e.getHttpStatusCode());
            System.out.println(e.getRequestId());
            System.out.println(e.getErrorCode());
            System.out.println(e.getErrorMsg());
        }
    }
}

创建一个别名为"test"的密钥。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
 
# coding: utf-8

import os
from huaweicloudsdkcore.auth.credentials import BasicCredentials
from huaweicloudsdkkms.v2.region.kms_region import KmsRegion
from huaweicloudsdkcore.exceptions import exceptions
from huaweicloudsdkkms.v2 import *

if __name__ == "__main__":
    # The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
    # In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
    ak = os.environ["CLOUD_SDK_AK"]
    sk = os.environ["CLOUD_SDK_SK"]
    projectId = "{project_id}"

    credentials = BasicCredentials(ak, sk, projectId)

    client = KmsClient.new_builder() \
        .with_credentials(credentials) \
        .with_region(KmsRegion.value_of("<YOUR REGION>")) \
        .build()

    try:
        request = CreateKeyRequest()
        request.body = CreateKeyRequestBody(
            key_alias="test"
        )
        response = client.create_key(request)
        print(response)
    except exceptions.ClientRequestException as e:
        print(e.status_code)
        print(e.request_id)
        print(e.error_code)
        print(e.error_msg)

创建一个别名为"test"的密钥。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
 
package main

import (
	"fmt"
	"github.com/huaweicloud/huaweicloud-sdk-go-v3/core/auth/basic"
    kms "github.com/huaweicloud/huaweicloud-sdk-go-v3/services/kms/v2"
	"github.com/huaweicloud/huaweicloud-sdk-go-v3/services/kms/v2/model"
    region "github.com/huaweicloud/huaweicloud-sdk-go-v3/services/kms/v2/region"
)

func main() {
    // The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
    // In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
    ak := os.Getenv("CLOUD_SDK_AK")
    sk := os.Getenv("CLOUD_SDK_SK")
    projectId := "{project_id}"

    auth := basic.NewCredentialsBuilder().
        WithAk(ak).
        WithSk(sk).
        WithProjectId(projectId).
        Build()

    client := kms.NewKmsClient(
        kms.KmsClientBuilder().
            WithRegion(region.ValueOf("<YOUR REGION>")).
            WithCredential(auth).
            Build())

    request := &model.CreateKeyRequest{}
	request.Body = &model.CreateKeyRequestBody{
		KeyAlias: "test",
	}
	response, err := client.CreateKey(request)
	if err == nil {
        fmt.Printf("%+v\n", response)
    } else {
        fmt.Println(err)
    }
}

更多编程语言的SDK代码示例,请参见API Explorer的代码示例页签,可生成自动对应的SDK代码示例。

状态码

状态码

描述

200

请求已成功

400

请求参数有误

401

被请求的页面需要用户名和密码

403

认证失败

404

资源不存在,资源未找到

500

服务内部错误

502

请求未完成。服务器从上游服务器收到一个无效的响应

504

网关超时

错误码

请参见错误码

父主题: 密钥生命周期管理

相关文档