Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado y descifrado de claves de datos AWS KMS utilizando la versión 3 de AWS SDK for PHP

Las claves de datos son las claves de cifrado que puede utilizar para cifrar los datos, incluidas grandes cantidades de datos y otras claves de cifrado de datos.

Puede utilizar las AWS Key Management Service (AWS KMS) de AWS KMS key para generar, cifrar y descifrar claves de datos.

Los siguientes ejemplos muestran cómo:

Todo el código de ejemplo para el AWS SDK for PHP está disponible aquí en. GitHub

Credenciales

Antes de ejecutar el código de ejemplo, configure sus credenciales de AWS, como se indica en Credentials. A continuación, importe AWS SDK for PHP, como se indica en Uso básico.

Para obtener más información acerca de AWS Key Management Service (AWS KMS), consulte la AWS KMS Guía para desarrolladores.

Encrypt

La operación Encrypt se ha diseñado para cifrar claves de datos, pero no se utiliza con frecuencia. Las GenerateDataKeyWithoutPlaintextoperaciones GenerateDataKeyy devuelven claves de datos cifradas. Podría utilizar el método Encypt cuando mueva datos cifrados a una nueva región de AWS y desee cifrar su clave de datos con una CMK en la nueva región.

Importaciones

require 'vendor/autoload.php';

use Aws\Exception\AwsException;

Código de muestra

$KmsClient = new Aws\Kms\KmsClient([
    'profile' => 'default',
    'version' => '2014-11-01',
    'region' => 'us-east-2'
]);

$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$message = pack('c*', 1, 2, 3, 4, 5, 6, 7, 8, 9, 0);

try {
    $result = $KmsClient->encrypt([
        'KeyId' => $keyId,
        'Plaintext' => $message,
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    echo $e->getMessage();
    echo "\n";
}

Decrypt

Para descifrar una clave de datos, use la operación Decrypt.

El valor ciphertextBlob que especifique debe ser el valor del CiphertextBlob campo de una respuesta GenerateDataKeyGenerateDataKeyWithoutPlaintext, o de Encrypt.

Importaciones

require 'vendor/autoload.php';

use Aws\Exception\AwsException;

Código de muestra

$KmsClient = new Aws\Kms\KmsClient([
    'profile' => 'default',
    'version' => '2014-11-01',
    'region' => 'us-east-2'
]);

$ciphertext = 'Place your cipher text blob here';

try {
    $result = $KmsClient->decrypt([
        'CiphertextBlob' => $ciphertext,
    ]);
    $plaintext = $result['Plaintext'];
    var_dump($plaintext);
} catch (AwsException $e) {
    // Output error message if fails
    echo $e->getMessage();
    echo "\n";
}

Volver a cifrar

Para descifrar una clave de datos cifrada y volver a cifrarla inmediatamente con una clave KMS diferente, utilice la operación. ReEncrypt Las operaciones se realizan en su totalidad en el servidor en AWS KMS, por lo que su texto no cifrado nunca se expondrá fuera de AWS KMS.

El ciphertextBlob que especifique debe ser el valor del CiphertextBlob campo de una respuesta de GenerateDataKeyGenerateDataKeyWithoutPlaintext, o Cifrar.

Importaciones

require 'vendor/autoload.php';

use Aws\Exception\AwsException;

Código de muestra

$KmsClient = new Aws\Kms\KmsClient([
    'profile' => 'default',
    'version' => '2014-11-01',
    'region' => 'us-east-2'
]);

$keyId = 'arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab';
$ciphertextBlob = 'Place your cipher text blob here';

try {
    $result = $KmsClient->reEncrypt([
        'CiphertextBlob' => $ciphertextBlob,
        'DestinationKeyId' => $keyId,
    ]);
    var_dump($result);
} catch (AwsException $e) {
    // output error message if fails
    echo $e->getMessage();
    echo "\n";
}