更新时间:2023-07-17 GMT+08:00
什么是数据加密密钥?
数据加密密钥是用于加密数据的密钥。
您可以通过KMS创建、加密和解密数据加密密钥。KMS不会存储、管理、跟踪您的数据加密密钥,也不会使用数据加密密钥执行加解密操作。
创建数据加密密钥
KMS仅支持通过调用API接口的方式创建、加密和解密数据加密密钥。创建数据加密密钥有两种方式,如下:
- 调用create-datakey接口,返回数据加密密钥的明文和使用您指定的CMK加密后的数据加密密钥的密文。
- 调用create-datakey-without-plaintext接口,返回使用您指定的CMK加密后的数据加密密钥的密文。当您需要获取数据加密密钥的明文时,请调用decrypt-datakey接口对该密文进行解密。
使用数据加密密钥加密数据
KMS无法使用数据加密密钥加密数据。您可以利用KMS之外的加密库(例如: OpenSSL),使用数据加密密钥对数据进行加密。
- 根据创建数据加密密钥获取数据加密密钥的明文。
- 使用数据加密密钥的明文加密数据。
- 删除数据加密密钥的明文,将数据加密密钥的密文和加密后的数据一起存储到安全的存储设备。
使用数据加密密钥解密数据
KMS无法使用数据加密密钥解密数据。您可以利用KMS之外的加密库(例如: OpenSSL),使用数据加密密钥对数据进行解密。
- 获取您已加密的数据和加密该数据时使用的数据加密密钥的密文。
- 调用decrypt-datakey接口,获取您加密该数据时使用的数据加密密钥的明文。
- 使用数据加密密钥的明文解密数据。
- 删除数据加密密钥的明文。
父主题: 密钥管理类
