6.4.4.9 特定于插件的密钥环密钥 Management 功能

对于每个特定于密钥环插件的用户定义函数(UDF)，本节介绍其用途，调用 Sequences 和返回值。有关通用密钥环 UDF 的信息，请参见第 6.4.4.8 节“通用密钥环密钥 Management 功能”。

• keyring_aws_rotate_cmk()

关联的密钥环插件：keyring_aws

keyring_aws_rotate_cmk()旋转 Client 主密钥(CMK)。轮换仅更改 AWS KMS 用于后续数据密钥加密操作的密钥。 AWS KMS 维护以前的 CMK 版本，因此使用以前的 CMK 生成的密钥在旋转后仍可解密。

轮换会更改 AWS KMS 内使用的 CMK 值，但不会更改用于引用它的 ID，因此在调用keyring_aws_rotate_cmk()之后无需更改keyring_aws_cmk_id系统变量。

此 UDF 需要SUPER特权。

Arguments:

None.

Return value:

返回 1table 示成功，返回NULLtable 示失败。

• keyring_aws_rotate_keys()

关联的密钥环插件：keyring_aws

keyring_aws_rotate_keys()旋转存储在keyring_aws_data_file系统变量命名的keyring_aws存储文件中的键。旋转将keyring_aws_cmk_id系统变量的值用作 CMK 值，将文件中存储的每个密钥发送到 AWS KMS 进行重新加密，并将新的加密密钥存储在文件中。

在以下情况下，keyring_aws_rotate_keys()对于密钥重新加密很有用：

• 旋转 CMK 之后；也就是说，在调用keyring_aws_rotate_cmk() UDF 之后

  • 将keyring_aws_cmk_id系统变量更改为其他键值后

此 UDF 需要SUPER特权。

Arguments:

None.

Return value:

返回 1table 示成功，返回NULLtable 示失败。