Credenciales Crear de una clave de KMS.Generar una clave de datos Ver una clave KMS Obtener el ID de la clave y los ARN de una clave KMS Habilitar una clave KMS Deshabilitar una clave KMS

Uso de claves mediante la API AWS KMS y la versión 3 de AWS SDK para PHP

Los principales recursos de AWS Key Management Service (AWS KMS) son AWS KMS keys. Puede usar una clave KMS para cifrar sus datos.

Los siguientes ejemplos muestran cómo:

Crear una clave KMS de cliente mediante CreateKey.
Genere una clave de datos mediante GenerateDataKey.
Ver una clave KMS utilizando DescribeKey.
Obtenga los ID y los ARN de las claves KMS utilizando mediante ListKeys.
Habilitar claves KMS mediante EnableKey.
Deshabilitar las claves KMS mediante DisableKey.

Todo el código de ejemplo de AWS SDK para PHP está disponible aquí en GitHub.

Credenciales

Antes de ejecutar el código de ejemplo, configure sus credenciales de AWS, como se indica en Autenticación AWS con la AWS SDK para PHP versión 3. A continuación, importe AWS SDK para PHP, como se indica en Instalación del AWS SDK para PHP versión 3.

Para obtener más información sobre el uso de AWS Key Management Service (AWS KMS), consulte la AWS KMS Guía del desarrollador.

Crear de una clave de KMS.

Para crear una clave KMS utilice la operación CreateKey

Importaciones



require 'vendor/autoload.php';

use Aws\Exception\AwsException;

Código de muestra


$KmsClient = new Aws\Kms\KmsClient([
    'profile' => 'default',
    'version' => '2014-11-01',
    'region' => 'us-east-2'
]);

//Creates a customer master key (CMK) in the caller's AWS account.
$desc = "Key for protecting critical data";

try {
    $result = $KmsClient->createKey([
        'Description' => $desc,
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    echo $e->getMessage();
    echo "\n";
}

Generar una clave de datos

Para generar una clave de cifrado de datos, utilice la operación GenerateDataKey. Esta operación devuelve copias en texto no cifrado y cifradas de la clave de datos que crea. Especifique la AWS KMS key con la que se va a generar la clave de datos.

Importaciones



require 'vendor/autoload.php';

use Aws\Exception\AwsException;

Código de muestra


$KmsClient = new Aws\Kms\KmsClient([
    'profile' => 'default',
    'version' => '2014-11-01',
    'region' => 'us-east-2'
]);

$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$keySpec = 'AES_256';

try {
    $result = $KmsClient->generateDataKey([
        'KeyId' => $keyId,
        'KeySpec' => $keySpec,
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    echo $e->getMessage();
    echo "\n";
}

Ver una clave KMS

Para obtener información detallada sobre una clave KMS, incluido el nombre de recurso de Amazon (ARN) de la clave KMS y el estado de la clave, utilice la operación DescribeKey.

DescribeKey no obtiene los alias. Para obtener los alias, utilice la operación ListAliases.

Importaciones



require 'vendor/autoload.php';

use Aws\Exception\AwsException;

Código de muestra


$KmsClient = new Aws\Kms\KmsClient([
    'profile' => 'default',
    'version' => '2014-11-01',
    'region' => 'us-east-2'
]);

$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';

try {
    $result = $KmsClient->describeKey([
        'KeyId' => $keyId,
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    echo $e->getMessage();
    echo "\n";
}

Obtener el ID de la clave y los ARN de una clave KMS

Para obtener el ID y el ARN de la clave KMS, use la operación ListAliases.

Importaciones



require 'vendor/autoload.php';

use Aws\Exception\AwsException;

Código de muestra


$KmsClient = new Aws\Kms\KmsClient([
    'profile' => 'default',
    'version' => '2014-11-01',
    'region' => 'us-east-2'
]);

$limit = 10;

try {
    $result = $KmsClient->listKeys([
        'Limit' => $limit,
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    echo $e->getMessage();
    echo "\n";
}

Habilitar una clave KMS

Para habilitar una clave KMS deshabilitada, utilice la EnableKey.

Importaciones



require 'vendor/autoload.php';

use Aws\Exception\AwsException;

Código de muestra


$KmsClient = new Aws\Kms\KmsClient([
    'profile' => 'default',
    'version' => '2014-11-01',
    'region' => 'us-east-2'
]);

$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';

try {
    $result = $KmsClient->enableKey([
        'KeyId' => $keyId,
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    echo $e->getMessage();
    echo "\n";
}

Deshabilitar una clave KMS

Para desactivar una clave KMS, utilice la operación DisableKey. Al deshabilitar una clave KMS se impide que se utilice.

Importaciones



require 'vendor/autoload.php';

use Aws\Exception\AwsException;

Código de muestra


$KmsClient = new Aws\Kms\KmsClient([
    'profile' => 'default',
    'version' => '2014-11-01',
    'region' => 'us-east-2'
]);

$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';

try {
    $result = $KmsClient->disableKey([
        'KeyId' => $keyId,
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    echo $e->getMessage();
    echo "\n";
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

AWS Key Management Service

Cifrar y descifrar claves de datos