MaxCompute支持结合密钥管理服务(KMS)做密钥管理,本文为您介绍封装密钥集函数REWRAP_KEYSET
:通过指定的KMS密钥重新加密封装密钥集(KEYSET)。
背景与前提
MaxCompute支持结合密钥管理服务做密钥管理,通过KMS密钥对生成的密钥集(KEYSET)再次进行加密,生成封装密钥集。REWRAP_KEYSET
函数可以对NEW_WRAPPED_KEYSET
函数生成的封装密钥集使用新的KMS密钥重新进行封装加密。
使用REWRAP_KEYSET
函数前需要完成以下操作:
已有通过
NEW_WRAPPED_KEYSET
函数生成的封装密钥集,详情请参见NEW_WRAPPED_KEYSET。创建新KMS密钥并获取密钥ARN信息(kms_cmk_arn),并给RAM角色授权使用新密钥的权限,操作详情请参见开通KMS并完成配置。
命令格式
binary REWRAP_KEYSET(string <kms_cmk_arn> , string <role-arn>, string <wrapped_keyset>, [string <role_chain>])
参数说明
kms_cmk_arn: 必填,重新加密KEYSET的KMS用户主密钥资源名称,格式为
'acs:kms:<RegionId>:<UserId>:key/<CmkId>'
,包含地域信息、用户ID、用户主密钥ID,您可以在密钥管理服务控制台的密钥详情页面获取ARN,操作详情请参见开通KMS并完成配置。role_arn:必填,同时拥有新旧KMS密钥权限的RAM角色的ARN信息,该角色需授权给MaxCompute,格式为
'acs:ram:${<userAID>}:role/${<roleName>}'
,包含用户ID、角色名称,获取请参见开通KMS并完成配置。wrapped_keyset:必填,需要重新加密的封装密钥集。
role_chain:可选,用户授权角色链,格式为
'acs:ram:<userAID>:role/<roleName2>,acs:ram:<userBID>:role/<roleName3>},...'
。通过角色链的方式,支持跨阿里云账号的封装密钥集调用。
返回值说明
返回BINARY类型的加密KEYSET,若有需要您可以通过HEX函数将BINARY类型转换为STRING类型,详情请参见HEX。
使用示例
运行以下包含变量的示例代码请使用脚本模式运行或在SQL语句中将变量替换为实际值。
重新加密封装密钥集:
@origin_key := unhex('<wrapped_keyset>'); select hex(REWRAP_KEYSET('acs:kms:cn-hangzhou:1**************7:key/key-hzz******************', 'acs:ram::1**************7:role/kms', @origin_key));
重新加密封装密钥集,并允许其他阿里云账号的角色调用:
@origin_key := unhex('<wrapped_keyset>'); @role_chain := 'acs:ram:${<UserAId>}:role/${<roleName2>},acs:ram:${<UserBId>}:role/${<roleName3>}'; select hex(REWRAP_KEYSET('acs:kms:cn-hangzhou:1**************7:key/key-hzz******************', 'acs:ram:${<UserId>}:role/${<roleName>}', @origin_key, @role_chain));