Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Decrypt
Una chiamata per AWS KMS decrittografare un valore di testo cifrato accetta un testo cifrato con valori crittografati e un contesto di crittografia. AWS KMS autentica la chiamata utilizzando richieste firmate in versione 4 di AWS firma ed estrae l'HBKID per la chiave di wrapping dal testo cifrato. L'HBKID viene utilizzato per ottenere l'EKTnecessario per decrittare il testo cifrato, l'ID chiave e la policy per l'ID chiave. La richiesta è autorizzata in base alla policy di chiave, alle concessioni che possono essere presenti e a eventuali policy IAM associate che fanno riferimento all'ID chiave. La funzione Decrypt
è analoga alla funzione di crittografia.
Di seguito è riportata la sintassi di una richiesta Decrypt
.
{ "CiphertextBlob": "blob", "EncryptionContext": { "string" : "string" } "GrantTokens": ["string"] }
Di seguito sono riportati i parametri della richiesta.
- CiphertextBlob
-
Testo cifrato che include i metadati.
- EncryptionContext
-
(Facoltativo) Il contesto di crittografia. Se è stato specificato nella funzione
Encrypt
, deve essere specificato anche qui o l'operazione di decrittografia non avrà esito positivo. Per ulteriori informazioni, consultare Contesto della crittografia nella Guida per gli sviluppatori di AWS Key Management Service . - GrantTokens
-
(Facoltativo) Un elenco dei token di concessione che rappresentano le concessioni che forniscono autorizzazioni per eseguire la decrittografia.
Il testo cifrato e l'EKT vengono inviati, insieme al contesto di crittografia, su una sessione autenticata a un HSM per la decrittografia.
L'HSM completa le seguenti operazioni:
-
Decritta l'EKT per ottenere HBK = Decrypt(DKi, EKT).
-
Estrae il nonce N dalla struttura del testo cifrato.
-
Rigenera una chiave di crittografia derivata AES-GCM a 256 bit K da HBK e N.
-
Decritta il testo cifrato per ottenere plaintext = Decrypt(K, context, ciphertext).
L'ID della chiave e il testo in chiaro risultanti vengono restituiti all' AWS KMS host tramite la sessione sicura e quindi nuovamente all'applicazione del cliente chiamante tramite una connessione TLS.
Di seguito è riportata la sintassi della risposta.
{ "KeyId": "string", "Plaintext": blob }
Se l'applicazione chiamante vuole garantire che l'autenticità del testo in chiaro, deve verificare che l'ID chiave restituito sia quello previsto.