本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 AWS KMS API 和 第 3 適用於 PHP 的 AWS SDK 版使用金鑰
AWS Key Management Service (AWS KMS) 中的主要資源為 [AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys)。您可以使用 KMS 金鑰來加密您的資料。
下列範例示範如何:
+ 使用 [CreateKey](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#createkey) 建立客戶 KMS 金鑰。
+ 使用 [GenerateDataKey](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#generatedatakey) 產生資料金鑰。
+ 使用 [DescribeKey](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#describekey) 檢視 KMS 金鑰。
+ 使用 [ListKeys](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#listkeys) 取得 KMS 金鑰的金鑰 IDs 和金鑰 ARNS。
+ 使用 [EnableKey](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#enablekey) 啟用 KMS 金鑰。
+ 使用 [DisableKey](https://docs.aws.amazon.com/aws-sdk-php/v3/api/api-kms-2014-11-01.html#disablekey) 停用 KMS 金鑰。
您可以在 GitHub 上 適用於 PHP 的 AWS SDK 取得 的所有範例程式碼。 [ GitHub](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/php/example_code)
## 憑證
在執行範例程式碼之前,請先設定您的 AWS 登入資料,如中所述[AWS 使用第 3 適用於 PHP 的 AWS SDK 版向 驗證](credentials.md)。然後匯入 適用於 PHP 的 AWS SDK,如 中所述[安裝第 3 適用於 PHP 的 AWS SDK 版](getting-started_installation.md)。
如需使用 AWS Key Management Service (AWS KMS) 的詳細資訊,請參閱 [AWS KMS 開發人員指南](https://docs.aws.amazon.com/kms/latest/developerguide/)。
## 建立 KMS 金鑰
若要建立 [KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys),請使用 [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) 操作。
**匯入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**範例程式碼**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
//Creates a customer master key (CMK) in the caller's AWS account.
$desc = "Key for protecting critical data";
try {
$result = $KmsClient->createKey([
'Description' => $desc,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 產生資料金鑰
若要產生資料加密金鑰,請使用 [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) 操作。這個操作會傳回它建立的純文字和加密的資料金鑰副本。指定要在 AWS KMS key 其中產生資料金鑰的 。
**匯入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**範例程式碼**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$keySpec = 'AES_256';
try {
$result = $KmsClient->generateDataKey([
'KeyId' => $keyId,
'KeySpec' => $keySpec,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 檢視 KMS 金鑰
若要取得 KMS 金鑰的詳細資訊,包括 KMS 金鑰的 Amazon Resource Name (ARN) 和[金鑰狀態](https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html),請使用 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 操作。
`DescribeKey` 不會取得別名。若要取得別名,請使用 [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) 操作。
**匯入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**範例程式碼**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
try {
$result = $KmsClient->describeKey([
'KeyId' => $keyId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 取得 KMS 金鑰的金鑰 ARNs
若要取得 KMS 金鑰的 ID 和 ARN,請使用 [ListAliases](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) 操作。
**匯入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**範例程式碼**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$limit = 10;
try {
$result = $KmsClient->listKeys([
'Limit' => $limit,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 啟用 KMS 金鑰
若要啟用已停用的 KMS 金鑰,請使用 [EnableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_EnableKey.html) 操作。
**匯入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**範例程式碼**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
try {
$result = $KmsClient->enableKey([
'KeyId' => $keyId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```
## 停用 KMS 金鑰
若要停用 KMS 金鑰,請使用 [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) 操作。停用 KMS 金鑰可防止其被使用。
**匯入**
```
require 'vendor/autoload.php';
use Aws\Exception\AwsException;
```
**範例程式碼**
```
$KmsClient = new Aws\Kms\KmsClient([
'profile' => 'default',
'version' => '2014-11-01',
'region' => 'us-east-2'
]);
$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
try {
$result = $KmsClient->disableKey([
'KeyId' => $keyId,
]);
var_dump($result);
} catch (AwsException $e) {
// output error message if fails
echo $e->getMessage();
echo "\n";
}
```