Utilisation de `GenerateDataKeyWithoutPlaintext` avec un kit AWS SDK ou une interface de ligne de commande

Les exemples de code suivants illustrent comment utiliser GenerateDataKeyWithoutPlaintext.

CLI

AWS CLI

Pour générer une clé de données symétrique de 256 bits sans clé en texte brut

L’exemple generate-data-key-without-plaintext suivant demande une copie chiffrée d’une clé de données symétrique de 256 bits pour une utilisation en dehors d’AWS. Vous pouvez appeler AWS KMS pour déchiffrer la clé de données lorsque vous êtes prêt à l’utiliser.

Pour demander une clé de données de 256 bits, utilisez le paramètre key-spec avec la valeur AES_256. Pour demander une clé de données de 128 bits, utilisez le paramètre key-spec avec la valeur AES_128. Pour toutes les autres longueurs de clé de données, utilisez le paramètre number-of-bytes.

La clé KMS que vous spécifiez doit être une clé KMS de chiffrement symétrique, c’est-à-dire une clé KMS dont la valeur de spécification de clé est SYMMETRIC_DEFAULT.


aws kms generate-data-key-without-plaintext \
    --key-id "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" \
    --key-spec AES_256

Sortie :


{
    "CiphertextBlob": "AQEDAHjRYf5WytIc0C857tFSnBaPn2F8DgfmThbJlGfR8P3WlwAAAH4wfAYJKoZIhvcNAQcGoG8wbQIBADBoBgkqhkiG9w0BBwEwHgYJYIZIAWUDBAEuMBEEDEFogL",
    "KeyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyMaterialId": "0b7fd7ddbac6eef27907413567cad8c810e2883dc8a7534067a82ee1142fc1e6"
}

La valeur CiphertextBlob (clé de données chiffrée) est renvoyée au format encodé en base64.

Pour plus d’informations, consultez Clés de données dans le Guide du développeur AWS Key Management Service.

Pour plus de détails sur l’API, consultez GenerateDataKeyWithoutPlaintext dans la Référence des commandes de l’AWS CLI.

Rust

SDK pour Rust

Note

Il y en a plus sur GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le référentiel d’exemples de code AWS.


async fn make_key(client: &Client, key: &str) -> Result<(), Error> {
    let resp = client
        .generate_data_key_without_plaintext()
        .key_id(key)
        .key_spec(DataKeySpec::Aes256)
        .send()
        .await?;

    // Did we get an encrypted blob?
    let blob = resp.ciphertext_blob.expect("Could not get encrypted text");
    let bytes = blob.as_ref();

    let s = base64::encode(bytes);

    println!();
    println!("Data key:");
    println!("{}", s);

    Ok(())
}

Pour plus de détails sur l’API, consultez GenerateDataKeyWithoutPlaintext dans la Référence des API du kit AWS SDK pour Rust.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

GenerateDataKey

GenerateRandom

Utilisation de GenerateDataKeyWithoutPlaintext avec un kit AWS SDK ou une interface de ligne de commande

Note

Utilisation de `GenerateDataKeyWithoutPlaintext` avec un kit AWS SDK ou une interface de ligne de commande