本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 AWS KMS API 和 适用于 PHP 的 AWS SDK 版本 3 处理密钥
AWS Key Management Service (AWS KMS) 中的主要资源是[AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)。您可以使用 KMS 密钥来加密数据。
以下示例演示如何:
+ 使用创建客户 KMS 密钥[CreateKey](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#createkey)。
+ 使用生成数据密钥[GenerateDataKey](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#generatedatakey)。
+ 使用查看 KMS 密钥[DescribeKey](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#describekey)。
+ 使用[ListKeys](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#listkeys)获取 KMS 密钥的密钥 IDs 和密钥 ARNS。
+ 使用启用 KMS 密钥[EnableKey](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#enablekey)。
+ 使用禁用 KMS 密钥[DisableKey](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#disablekey)。
的所有示例代码都可以在[此 适用于 PHP 的 AWS SDK 处找到 GitHub](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php/example_code)。
## 凭据
在运行示例代码之前,请配置您的 AWS 证书,如中所述[AWS 使用 适用于 PHP 的 AWS SDK 版本 3 进行身份验证](credentials.md)。然后导入 适用于 PHP 的 AWS SDK,如中所述[安装 适用于 PHP 的 AWS SDK 版本 3](getting-started_installation.md)。
有关使用 AWS Key Management Service (AWS KMS) 的更多信息,请参阅《[AWS KMS 开发者指南》](https://docs.aws.amazon.com/kms/latest/developerguide/)。
## 创建 KMS 密钥
要创建 [KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys),请使用[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)操作。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
//Creates a customer master key (CMK) in the caller's AWS account.
$desc = "Key for protecting critical data";
try {
$result = $KmsClient->createKey([
'Description' => $desc,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 生成数据密钥
要生成数据加密密钥,请使用[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)操作。该操作返回其创建的数据密钥的明文和加密副本。指定 AWS KMS key 生成数据密钥的。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$keySpec = 'AES_256';
try {
$result = $KmsClient->generateDataKey([
'KeyId' => $keyId,
'KeySpec' => $keySpec,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 查看 KMS 密钥
要获取有关 KMS 密钥的详细信息,包括 KMS 密钥的 Amazon 资源名称 (ARN) 和[密钥状态](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html),请使用操作。[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
`DescribeKey` 不会获取别名。要获取别名,请使用[ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)操作。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
try {
$result = $KmsClient->describeKey([
'KeyId' => $keyId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 获取 KMS 密钥 ARNs 的密钥 ID 和密钥
要获取 KMS 密钥的 ID 和 ARN,请使用操作。[ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$limit = 10;
try {
$result = $KmsClient->listKeys([
'Limit' => $limit,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 启用 KMS 密钥
要启用已禁用的 KMS 密钥,请使用[EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html)操作。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
try {
$result = $KmsClient->enableKey([
'KeyId' => $keyId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 禁用 KMS 密钥
要禁用 KMS 密钥,请使用[DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)操作。禁用 KMS 密钥可防止其被使用。
**导入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**示例代码**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
try {
$result = $KmsClient->disableKey([
'KeyId' => $keyId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```