Volver a cifrar un objeto cifrado - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Volver a cifrar un objeto cifrado

Un texto cifrado de cliente existente cifrado en una clave de KMS se puede volver a cifrar en otra clave de KMS mediante un comando reencrypt. Reencrypt cifra datos del lado del servidor con una clave de KMS nueva sin exponer el texto sin formato de la clave en el lado del cliente. Los datos se descifran en primer lugar y luego se cifran.

A continuación se presenta la sintaxis de la solicitud.

{
	"CiphertextBlob": "blob",
	"DestinationEncryptionContext": { "string" : "string" },
	"DestinationKeyId": "string",
	"GrantTokens": ["string"],
       "SourceKeyId": "string",
	"SourceEncryptionContext": { "string" : "string"}
}

La solicitud acepta los siguientes datos en formato JSON.

CiphertextBlob

Texto cifrado de los datos que se volverán a cifrar.

DestinationEncryptionContext

(Opcional) Contexto de cifrado que se utilizará cuando se vuelvan a cifrar los datos.

DestinationKeyId

Identificador de clave de la clave utilizada para volver a cifrar los datos.

GrantTokens

(Opcional) Una lista de tokens de concesión que representan concesiones que proporcionan permisos para realizar el descifrado.

SourceKeyId

(Opcional) Identificador de clave de la clave utilizada para descifrar los datos.

SourceEncryptionContext

(Opcional) Contexto de cifrado utilizado para cifrar y descifrar los datos especificados en el parámetro CiphertextBlob.

El proceso combina las operaciones de descifrado y cifrado de las descripciones anteriores: el texto cifrado del cliente se descifra en la HBK inicial a la que hace referencia el texto cifrado del cliente a la HBK actual en la clave de KMS prevista. Cuando las claves de KMS utilizadas en este comando son iguales, este comando mueve el texto cifrado del cliente de una versión anterior de una HBK a la última versión de una HBK.

A continuación, se muestra la sintaxis de respuesta.

{
    "CiphertextBlob": blob,
    "DestinationEncryptionAlgorithm": "string",
    "KeyId": "string",
    "SourceEncryptionAlgorithm": "string",
    "SourceKeyId": "string"
}

Si la aplicación que realiza la llamada quiere garantizar la autenticidad del texto sin formato subyacente, debe comprobar que el texto devuelto es el esperado. SourceKeyId