Mengenkripsi ulang objek terenkripsi

Ciphertext pelanggan yang sudah ada yang dienkripsi di bawah satu kunci KMS dapat dienkripsi ulang ke kunci KMS lain melalui perintah reencrypt. Enkripsi ulang data enkripsi di sisi server dengan kunci KMS baru tanpa mengekspos plaintext kunci di sisi klien. Data pertama kali didekripsi dan kemudian dienkripsi.

Berikut hasil sintaks permintaan.

{
	"CiphertextBlob": "blob",
	"DestinationEncryptionContext": { "string" : "string" },
	"DestinationKeyId": "string",
	"GrantTokens": ["string"],
       "SourceKeyId": "string",
	"SourceEncryptionContext": { "string" : "string"}
}

Permintaan menerima data berikut dalam format JSON.

CiphertextBlob

Ciphertext data untuk dienkripsi ulang.

DestinationEncryptionContext

(Opsional) Konteks enkripsi yang akan digunakan ketika data dienkripsi ulang.

DestinationKeyId

Pengenal kunci kunci yang digunakan untuk mengenkripsi ulang data.

GrantTokens

(Opsional) Daftar token bantuan yang mewakili bantuan yang memberikan izin untuk melakukan dekripsi.

SourceKeyId

(Opsional) Pengidentifikasi kunci kunci yang digunakan untuk mendekripsi data.

SourceEncryptionContext

(Opsional) Konteks enkripsi yang digunakan untuk mengenkripsi dan mendekripsi data yang ditentukan dalam parameter CiphertextBlob.

Proses ini menggabungkan operasi dekripsi dan enkripsi dari deskripsi sebelumnya: Ciphertext pelanggan didekripsi di bawah HBK awal yang direferensikan oleh ciphertext pelanggan ke HBK saat ini di bawah kunci KMS yang dimaksud. Ketika kunci KMS yang digunakan dalam perintah ini sama, perintah ini memindahkan ciphertext pelanggan dari versi lama HBK ke versi terbaru HBK.

Berikut ini adalah sintaks responsnya.

{
    "CiphertextBlob": blob,
    "DestinationEncryptionAlgorithm": "string",
    "KeyId": "string",
    "SourceEncryptionAlgorithm": "string",
    "SourceKeyId": "string"
}

Jika aplikasi panggilan ingin memastikan keaslian plaintext yang mendasarinya, itu harus memverifikasi yang SourceKeyId dikembalikan adalah yang diharapkan.