全部產品
Search

搜尋本產品

    MaxCompute:密鑰集(KEYSET)使用說明

    文件中心

    MaxCompute:密鑰集(KEYSET)使用說明

    更新時間:Jun 19, 2024

    MaxCompute的密鑰管理對象Keyset,每個Keyset可以存放1個到多個密鑰,您可以在Keyset中增加密鑰來實現密鑰的輪轉,並且可以查看原始密鑰。本文介紹KeySet的使用。

    注意事項

    請您妥善儲存Keyset和解密參數。一旦丟失,經Keyset加密的資料將無法解密,即資料無法找回。

    準備資料

    建立表mf_test_data並添加資料。

    --建立表
create table mf_test_data(id string,name string,tel string);
--插入資料
insert into mf_test_data values(1,'kyle','13900001234'),(2,'tom','13900001111');
--查詢資料
select * from mf_test_data;
--返回
+----+------+-----+
| id | name | tel |
+----+------+-----+
| 1  | kyle | 13900001234 |
| 2  | tom  | 13900001111 |
+----+------+-----+

    直接使用Keyset

    • 樣本1:建立Keyset。

      select NEW_KEYSET('AES-GCM-256', 'my first keyset');

      返回結果如下。

      +------+
| _c0  |
+------+
| =0A=10260nZQEAMAsSF7mB=12\=0A3=0A=0BAES-GCM-256=12=20=C4t=13+=8E=DD=9D=E8=A0=AA=B4=ED~1`=B7=C6=D0K=D3=FC=D4n=DF=DF=D4=C3)=E8=96=0E=17=18=01=20=02=10=01=1A=10260nZQEAMAsSF7mB=20=02*=0Fmy=20first=20keyset |
+------+

    • 樣本2:將Keyset內容轉化為明文,方便查看。

      select KEYSET_TO_JSON(NEW_KEYSET('AES-GCM-256', 'my first keyset'));

      返回結果如下。

      +-----+
| _c0 |
+-----+
| {
    "key": [{
            "description": "my first keyset",
            "key_id": "Ra4nZQEAoBuiGbmB",
            "key_meta_data": {
                "key_material_origin": "Origin_ALIYUN_MAXCOMPUTE",
                "key_material_type": "SYMMETRIC",
                "type": "AES-GCM-256",
                "value": "/LFKWhw18hz+OBO490YKmjQQDNVWJLOueaUAKKiem/k="},
            "output_prefix_type": "PREFIX_ALIYUN_MAXCOMPUTE",
            "status": "ENABLED"}],
    "primary_key_id": "Ra4nZQEAoBuiGbmB"} |

    • 樣本3:在Keyset中新增密鑰並將新增密鑰設定主要金鑰。

      • AES-GCM-256演算法類型密鑰中新增一個AES-SIV-CMAC-128演算法類型的密鑰。

        select  KEYSET_TO_JSON(
  					ADD_KEY_TO_KEYSET(
              NEW_KEYSET('AES-GCM-256', 'my first keyset'), 
              'AES-SIV-CMAC-128', 
              unhex('b75585cf321cdcad42451690cdb7bfc49c26092f60f854e72d43244c55620a3d'),
              ''
            )
				);

        返回結果如下。

        +-----+
| _c0 |
+-----+
| {
    "key": [{
            "description": "my first keyset",
            "key_id": "+q8nZQEAgAMtJLmB",
            "key_meta_data": {
                "key_material_origin": "Origin_ALIYUN_MAXCOMPUTE",
                "key_material_type": "SYMMETRIC",
                "type": "AES-GCM-256",
                "value": "Hj//ZKxLE/t0Uq7XRJQoe2OYNwlauDdGmkaQbMfnZ80="},
            "output_prefix_type": "PREFIX_ALIYUN_MAXCOMPUTE",
            "status": "ENABLED"},
        {
            "description": "",
            "key_id": "+q8nZQEAML2VArmB",
            "key_meta_data": {
                "key_material_origin": "Origin_RAW",
                "key_material_type": "SYMMETRIC",
                "type": "AES-SIV-CMAC-128",
                "value": "t1WFzzIc3K1CRRaQzbe/xJwmCS9g+FTnLUMkTFViCj0="},
            "output_prefix_type": "PREFIX_ALIYUN_MAXCOMPUTE",
            "status": "ENABLED"}],
    "primary_key_id": "+q8nZQEAML2VArmB"} |
+-----+

      • 系統自動生產一個新密鑰並設定新密鑰為主要金鑰。

        select  KEYSET_TO_JSON(
  				ROTATE_KEYSET(
  					NEW_KEYSET('AES-GCM-256', 'my first keyset'),
  			 		'AES-GCM-256')
  			);

        返回結果如下。

        +-----+
| _c0 |
+-----+
| {
    "key": [{
            "description": "my first keyset",
            "key_id": "TbEnZQEAUIEJC7mB",
            "key_meta_data": {
                "key_material_origin": "Origin_ALIYUN_MAXCOMPUTE",
                "key_material_type": "SYMMETRIC",
                "type": "AES-GCM-256",
                "value": "TLAKX8y0/aUbMAtElI+oicEw1fWSTJhZs1D2i3AAf40="},
            "output_prefix_type": "PREFIX_ALIYUN_MAXCOMPUTE",
            "status": "ENABLED"},
        {
            "key_id": "TbEnZQEAAIy0IrmB",
            "key_meta_data": {
                "key_material_origin": "Origin_ALIYUN_MAXCOMPUTE",
                "key_material_type": "SYMMETRIC",
                "type": "AES-GCM-256",
                "value": "jPewQsmbsajzM/gLNX9QFtENs2n9uvhgrgcrcGgl0A0="},
            "output_prefix_type": "PREFIX_ALIYUN_MAXCOMPUTE",
            "status": "ENABLED"}],
    "primary_key_id": "TbEnZQEAAIy0IrmB"} |
+-----+

    • 樣本4:資料加解密。

      1. 建立表mf_keyset並寫入Keyset。

          ---建立表
create table mf_keyset (id string,ks binary);
---建立Keyset並存入表mf_keyset中
insert into mf_keyset select '1',NEW_KEYSET('AES-GCM-256', 'my first keyset');

      2. 對錶mf_test_data中的tel欄位進行加解密。

        • 將表mf_test_data中的tel欄位加密。

          select id,
       name,
       ENHANCED_SYM_ENCRYPT(ks,tel) as tel 
  from (SELECT id,name,tel FROM mf_test_data) JOIN 
       (SELECT ks FROM mf_keyset WHERE  id = '1') a ;

          返回結果如下。

          +----+------+------+
| id | name | tel  |
+----+------+------+
| 1  | kyle | =0B=88=A5=0Ak=AD=E0=9A=B4=EC=CC=1F=F9=DEk\=16=0F=BD=F1=03=8B=95=F0@=88s=EE=1E=8A=D2=05=83=B5'e=01=00=A0=C5=0BXu=A5Z&<=01=F8=C5Q=89=A9=A6=80=E2=0F=1A)=02fa=CF=07'=1B'=EB=FD=CF=E9 |
| 2  | tom  | =0B=88=A5=0Ak=AD=E0=9A=B4=EC=CC=1F=F9=DEk\=16=0F=BD=F1=03=8B=95=F0@=88s=EE=1E=8A=D2=05=83=B5'e=01=00=10=FC=0BXu=A5+3=D5=1Fb=C0=88=AC=90=AA=FE!C=F0=99y&=9C=89=0E=9B=8FD=16=E0=96, |
+----+------+------+

        • 將表mf_test_data中的tel欄位解密。

          select id,
       name,
       ENHANCED_SYM_DECRYPT(ks,
                            ENHANCED_SYM_ENCRYPT(ks,tel),
                            '')as tel 
  from (SELECT id,name,tel FROM mf_test_data) JOIN 
       (SELECT ks FROM mf_keyset WHERE  id = '1') a ;

          返回結果如下。

          +----+------+------+
| id | name | tel  |
+----+------+------+
| 1  | kyle | 13900001234 |
| 2  | tom  | 13900001111 |
+----+------+------+

    結合KMS使用Keyset

    MaxCompute支援結合KMS進行資料加密,系統會自動產生加解密資料的密鑰Keyset,該Keyset與KMS密鑰結合產生Keyset_KMS,使用者需要儲存Keyset_KMS。若需要資料加解密時,需要提供Keyset_KMS,然後系統會結合KMS金鑰組Keyset_KMS進行加解密,還原成加密資料的Keyset並對資料進行加解密。

    結合KMS使用Keyset的介紹如下圖所示。

    keyset.jpg

    開通KMS並完成配置

    1. 開通KMS,併購買KMS軟體密鑰管理執行個體。具體操作,請參見購買和啟用KMS執行個體

    2. 建立密鑰,並在密鑰詳情頁面擷取密鑰ARN。具體操作,請參見軟體密鑰

      本樣本中,建立的密鑰ARNacs:kms:cn-beijing:189273228874****:key/key-bjj6527b6c6465hsf****

    3. 為MaxCompute授予KMS許可權,允許MaxCompute使用KMS進行加解密操作。

      說明

      使用KMS對MaxCompute的Keyset進行進一步封裝加密後,您需要給MaxCompute授予KMS加解密的許可權,以保障後續執行加解密命令時,MaxCompute命令的正常運行。

      主要操作思路為:

      1. 建立一個RAM角色,角色的可信實體類型阿里雲服務受信服務MaxCompute。操作詳情請參見建立可信實體為阿里雲服務的RAM角色

      2. 為上述建立的角色添加系統許可權:AliyunKMSCryptoUserAccess,允許MaxCompute使用KMS進行加解密。操作詳情請參見為RAM角色授權

        • 假設您使用阿里雲帳號USER_A完成上述操作,則此時阿里雲帳號USER_A可以正常進行加密Keyset操作。

        • 本文以建立角色mf-secr為例,其中mf-secrARNacs:ram::189273228874****:role/mf-secr

    4. (可選)如果您後續希望使用USER_A的RAM使用者、或者其他帳號(USER_B及其RAM使用者)進行加解密,您還需進行以下的授權操作。

      使用USER_A的RAM使用者進行加解密

      為USER_A的RAM使用者建立權限原則(角色mf-secr的PassRole許可權)並授權給RAM使用者,即允許RAM使用者使用角色mf-secr,配置詳情請參見為RAM使用者授權。樣本權限原則指令碼內容如下。

      {
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ram:PassRole",
            "Resource": "acs:ram:*:*:role/mf-secr"
        }
    ],
    "Version": "1"
}

      使用USER_B及其RAM使用者進行加解密

      重要

      跨帳號使用封裝密鑰集加解密,相關函數中的role_chain參數必填,結合如下樣本角色相關資訊,樣本為'acs:ram::188538605451****:role/b-secr,acs:ram::189273228874****:role/mf-secr2b'

      操作思路如下:

      1. 在阿里雲帳號USER_A中建立一個新的RAM角色(mf-secr2b),角色的可信實體類型阿里雲帳號、信任的雲帳號為USER_B。操作詳情請參見建立可信實體為阿里雲帳號的RAM角色

      2. 為建立的mf-secr2b角色授予mf-secr的PassRole許可權,樣本權限原則內容請參見使用USER_A的RAM使用者進行加解密

      3. 在阿里雲帳號USER_B中建立一個新的RAM角色(b-secr),角色的可信實體類型阿里雲服務受信服務MaxCompute。操作詳情請參見建立可信實體為阿里雲服務的RAM角色

      4. 為建立的b-secr角色授予mf-secr2b角色的AssumeRole許可權,樣本權限原則指令碼內容如下。

        {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "acs:ram:*:189273228874****:role/mf-secr2b"
        }
    ]
}

      5. (可選)如果USER_B的RAM使用者使用USER_A建立的封裝密鑰集進行加解密,還需要給USER_B的RAM使用者授予b-secr角色的PassRole許可權,樣本權限原則指令碼內容如下。

        {
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ram:PassRole",
            "Resource": "acs:ram:*:*:role/b-secr"
        }
    ],
    "Version": "1"

    結合KMS進行加解密

    • 樣本1:建立封裝Keyset。

      select hex(NEW_WRAPPED_KEYSET('acs:kms:cn-beijing:189273228874****:key/key-bjj6527b6c6465hsf****', 
                              'acs:ram::189273228874****:role/mf-secr', 'AES-GCM-256', 'hello'));

      返回結果如下。

      +-----+
| _c0 |
+-----+
|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|
+-----+

    • 樣本2:重新加密封裝Keyset。

      select REWRAP_KEYSET('acs:kms:cn-beijing:189273228874****:key/key-bjj6527b6c6465hsf****', 
                'acs:ram::189273228874****:role/mf-secr',  
                     unhex('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'));

      返回結果如下。

      +------+
| _c0  |
+------+
| a2V5LWJqajY1MjdiNmM2NDY1aHNmeWg2YS11ZXd5dmFxYjl60Kftgx5o1sQH4kkwRboFSYUmcVKjF1GKF+JU5gKSp3xOF1xjKdb6fGZyNuD4YSAzqNTD7x7j5fzTLW2+9a+8BmS1z3ZP1RjNL6Lp93FAC4NWg/jtggh6WOTXrVoG67/CfzdWro65YDTPZpe52K416gpfW18GXSOzu9q4swMti0UrScl/fTg6eOIMYgoPCfBh9qvXhNSR72J+qXU1vHcyYNQL6UewsBE2suVRFQ=3D=3D |

    • 樣本3:密鑰輪轉。

      select  ROTATE_WRAPPED_KEYSET('acs:kms:cn-beijing:189273228874****:key/key-bjj6527b6c6465hsf****', 
                'acs:ram::189273228874****:role/mf-secr',  
                     unhex('613256354C574A71616A59314D6A64694E6D4D324E44593161484E6D65576732595331315A586435646D4678596A6C36555437693738632B647070524B46334E5263497567384A6B36716C4E54354133734F6E4776376258453132524E6C4B6E5163703859787132536C6D794F6E4A6975797541745448374F6B5132412B4B6947502F4A7530756477694B736B503033576643726E45646D666F6F324D61774F7A452F4F55314A51643268397941384F6B425644665A59746D3968775576536E543744684276723773464A714A47394D7770765064484B6A457A6F4A3533716E57766F4339634639413348556E433641434A6438444170583275326B2B4177776941487668575279304941445031373461794A2F50773D3D'), 
                              'AES-GCM-256', 
                              'descrption');

      返回結果如下。

      +------+
| _c0  |
+------+
| a2V5LWJqajY1MjdiNmM2NDY1aHNmeWg2YS11ZXd5dmFxYjl67ZxGgfbQhsOududp3FuxLFW1qWt7fF2fT2mAqFekH3D/SoooVf1Jgj0dS/3kxHLQImthef+fCca5vRbVYbOeSsjhGI841WhJvYE1KzRuTpV04SpzVimCovlPPiYCm1649Vhkua1/zUu2W0ioCPnXzHIANhoOIXM2mAV+EfuRCjLUtcJhMdCnu+whHwkGXMYugtXmLxZIBHaJNvO9I3tntplTzxElVmj/LpDrAkg0mKahLJa7FhcJ8cn/JHjp9sk0MhHQc/5X14vHBJuulkYkukcF/kZ+AFVfWes5pZOMs8Og3pYEjCESMiiMONy/CpIrYepapgsKqRAmCGxRv/7aDOZyaAV5Jdz31NotMCBi/hrYBwyU0QdAq5pvsOEdXVIJyazViQ=3D=3D |
+------+

    • 樣本4:資料加解密。

      1. 建立表mf_keyset_kms並寫入Keyset。

        -----建立表
create table mf_keyset_kms (id string,ks binary);
-----生產keyset加密後寫入表
insert into mf_keyset_kms 
      select '1',
             NEW_WRAPPED_KEYSET(
                'acs:kms:cn-beijing:189273228874****:key/key-bjj6527b6c6465hsf****', 
                'acs:ram::189273228874****:role/mf-secr', 
                'AES-GCM-256', 
               'description');

        確認寫入結果。

        ----查詢表
select id,hex(ks) from mf_keyset_kms;
----返回結果如下
+----+------+
| id | ks   |
+----+------+
| 1  |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|

      2. 對錶mf_test_data中的tel欄位進行加解密。

        • 將表mf_test_data中的tel欄位加密。

          --加密tel列,目前keyset只能輸入常量
select id,
       name,
       ENHANCED_SYM_ENCRYPT(
           USE_WRAPPED_KEYSET('acs:kms:cn-beijing:189273228874****:key/key-bjj6527b6c6465hsf****', 
                              'acs:ram::189273228874****:role/mf-secr', 
                              unhex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
                             ),
           tel
       ) as tel 
 FROM mf_test_data;

          返回結果如下。

          +----+------+------+
| id | name | tel  |
+----+------+------+
| 1  | kyle | =1A=B88=F7=C5A=DF=DC=91=A6R=F8{=EB=A5_x=AD=AF=FF=9A=14=D81<=8BO=EB=F5=D3Jn=E8=0ESe=01=00=A0=AC=0D=C8=0De=B9=E4=84=AB=F0f=AE~Dt=C5W=FAx=A5=11=01t=95=DF=FA/-=BC7=C5G |
| 2  | tom  | =1A=B88=F7=C5A=DF=DC=91=A6R=F8{=EB=A5_x=AD=AF=FF=9A=14=D81<=8BO=EB=F5=D3Jn=E8=0ESe=01=00=B0=BF=0D=C8=0DejL{;.w0=80,=E6=86V@b=F3=AB=DEY=A6=02=07=001=E0[=E7V |
+----+------+------+

        • 將表mf_test_data中的tel欄位解密。

          select id,
       name,
       ENHANCED_SYM_DECRYPT(
         USE_WRAPPED_KEYSET('acs:kms:cn-beijing:189273228874****:key/key-bjj6527b6c6465hsf****', 
                              'acs:ram::189273228874****:role/mf-secr', 
                              unhex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
                             ),
       	 ENHANCED_SYM_ENCRYPT(
           USE_WRAPPED_KEYSET('acs:kms:cn-beijing:189273228874****):key/key-bjj6527b6c6465hsf****', 
                              'acs:ram::189273228874****:role/mf-secr', 
                              unhex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
                             ),
           tel
       ),
       ''
      )
       as tel 
 FROM mf_test_data;

          返回結果如下。

          +----+------+------+
| id | name | tel  |
+----+------+------+
| 1  | kyle | 13900001234 |
| 2  | tom  | 13900001111 |
+----+------+------+