Erneutes Verschlüsseln eines verschlüsselten Objekts - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erneutes Verschlüsseln eines verschlüsselten Objekts

Ein vorhandener verschlüsselter Kundentext, der unter einem KMS-Schlüssel verschlüsselt wurde, kann über einen reencrypt-Befehl zum erneuten Verschlüsseln mit einem anderen KMS-Schlüssel neu verschlüsselt werden. Reencrypt verschlüsselt Daten auf der Serverseite mit einem neuen KMS-Schlüssel, ohne den Klartext des Schlüssels auf der Clientseite offenzulegen. Die Daten werden zuerst entschlüsselt und dann verschlüsselt.

Das Folgende ist die -Anforderungssyntax.

{
	"CiphertextBlob": "blob",
	"DestinationEncryptionContext": { "string" : "string" },
	"DestinationKeyId": "string",
	"GrantTokens": ["string"],
       "SourceKeyId": "string",
	"SourceEncryptionContext": { "string" : "string"}
}

Die Anforderung akzeptiert die folgenden Daten im JSON-Format.

CiphertextBlob

Verschlüsselungstext der Daten, die neu verschlüsselt werden sollen.

DestinationEncryptionContext

(Optional) Verschlüsselungskontext, der verwendet werden soll, wenn die Daten neu verschlüsselt werden.

DestinationKeyId

Schlüsselkennung des Schlüssels, der zum erneuten Verschlüsseln der Daten verwendet wird.

GrantTokens

(Optional) Eine Liste von Erteilungstoken, die Erteilungen darstellen, die Berechtigungen zum Durchführen der Entschlüsselung bereitstellen.

SourceKeyId

(Optional) Schlüssel-ID des Schlüssels, der zum Entschlüsseln der Daten verwendet wird.

SourceEncryptionContext

(Optional) Verschlüsselungskontext, der zum Verschlüsseln und Entschlüsseln der Daten verwendet wird, die im CiphertextBlob-Parameter angegeben sind.

Der Prozess kombiniert die Entschlüsselungs- und Verschlüsselungsoperationen der vorherigen Beschreibungen: Der Kunden-Verschlüsselungstext wird unter dem anfänglichen HBK, auf den der Kunden-Verschlüsselungstext verweist, zum aktuellen HBK unter dem beabsichtigten KMS-Schlüssel entschlüsselt. Wenn die in diesem Befehl verwendeten KMS-Schlüssel identisch sind, verschiebt dieser Befehl den Kunden-Verschlüsselungstext von einer alten Version eines HBK in die neueste Version eines HBK.

Das Folgende ist die Antwortsyntax.

{
    "CiphertextBlob": blob,
    "DestinationEncryptionAlgorithm": "string",
    "KeyId": "string",
    "SourceEncryptionAlgorithm": "string",
    "SourceKeyId": "string"
}

Wenn die aufrufende Anwendung die Authentizität des zugrunde liegenden Klartextes sicherstellen möchte, muss sie überprüfen, ob der zurückgegebene Text dem erwarteten entspricht. SourceKeyId