調用GenerateDataKey接口生成數據密鑰。
使用說明
概述
本接口通過隨機數生成器產生數據密鑰,使用KMS密鑰的初始版本對數據密鑰加密,并返回數據密鑰的明文和密文。您可以使用返回的數據密鑰明文(Plaintext),在KMS之外對數據進行加密。請保存數據密鑰密文(CiphertextBlob)、初始向量(Iv)、加密算法(Algorithm)和認證數據(Aad),以便后續對數據進行解密。
關于密鑰規格以及加密模式的詳細信息,請參見密鑰管理類型和密鑰規格。
對數據密鑰加密時僅支持GCM加密模式。
數據密鑰內容由KMS通過高質量的隨機數生成器產生,與加密它的KMS密鑰材料內容無關。
和AdvanceGenerateDataKey的區別
GenerateDataKey和AdvanceGenerateDataKey都用于生成數據密鑰,區別為:
GenerateDataKey:加密時使用密鑰的初始版本,加密后您需要存儲數據密鑰密文(CiphertextBlob)、初始向量(Iv)、加密算法(Algorithm)和認證數據(Aad),然后使用Decrypt或AdvanceDecrypt解密。
AdvanceGenerateDataKey:僅當密鑰為軟件密鑰管理實例的對稱密鑰時支持使用該接口。加密時使用密鑰的主版本,加密后您需要存儲數據密鑰密文(CiphertextBlob)和認證數據(Aad),然后使用AdvanceDecrypt解密。
重要如果密鑰為軟件密鑰管理實例的對稱密鑰,且開啟了自動輪轉,生成數據密鑰時請使用AdvanceGenerateDataKey,以避免輪轉功能不生效。關于密鑰輪轉的相關內容,請參見密鑰輪轉。
請求參數
名稱 | 類型 | 是否必選 | 示例值 | 描述 |
KeyId | string | 是 | key-hzz62f1cb66fa42qo**** | 密鑰的全局唯一標識符。該參數也可以被指定為密鑰別名。 |
NumberOfBytes | int | 是 | 32 | 生成的數據密鑰的長度。 |
Aad | binary | 否 | 二進制數據 | 對數據密鑰加密時使用的GCM加密模式認證數據。 重要 對數據密鑰加密時僅支持GCM加密模式。如果指定了該參數,調用Decrypt解密時需要指定相同的參數。 |
響應數據
名稱 | 類型 | 示例值 | 描述 |
KeyId | string | key-hzz62f1cb66fa42qo**** | 密鑰的全局唯一標識符。如果請求中的KeyId參數使用的是密鑰別名,在響應中會返回對應密鑰的全局唯一標識符。 |
Iv | bytes | 二進制數據 | 加密數據密鑰時使用的初始向量。 說明 調用Decrypt對數據密鑰解密時必須傳入正確的Iv才能成功解密。 |
Plaintext | bytes | 二進制明文 | 數據密鑰明文。 |
CiphertextBlob | bytes | 二進制密文 | 數據密鑰密文。 |
Algorithm | string | AES_GCM | 加密算法。 |
RequestId | string | 475f1620-b9d3-4d35-b5c6-3fbdd941423d | 本次調用請求的ID,是由阿里云為該請求生成的唯一標識符,可用于排查和定位問題。 |
錯誤碼
訪問公共錯誤碼查看更多錯誤碼。