La version 1.8. x modifications apportées à la CLI AWS de chiffrement La version 2.1. x modifications apportées à la CLI AWS de chiffrement La version 1.9. x et 2.2. x modifications apportées à la CLI AWS de chiffrement La version 3.0. x modifications apportées à la CLI AWS de chiffrement

Versions de la CLI AWS de chiffrement

Nous vous recommandons d'utiliser la dernière version de la CLI de AWS chiffrement.

Note

Les versions de la CLI de AWS chiffrement antérieures à la version 4.0.0 sont en end-of-supportcours de phase.

Vous pouvez effectuer la mise à jour en toute sécurité à partir de la version 2.1. x et versions ultérieures vers la dernière version de la CLI de AWS chiffrement sans aucune modification du code ou des données. Cependant, de nouvelles fonctionnalités de sécurité ont été introduites dans la version 2.1. x ne sont pas rétrocompatibles. Pour effectuer une mise à jour à partir de la version 1.7. x ou version antérieure, vous devez d'abord effectuer la mise à jour vers la dernière version 1. version x de la CLI AWS de chiffrement. Pour plus de détails, consultez Migration de votre AWS Encryption SDK.

Les nouvelles fonctionnalités de sécurité ont été initialement publiées dans les versions 1.7 de la CLI de AWS chiffrement. x et 2.0. x. Cependant, AWS Encryption CLI version 1.8. x remplace la version 1.7. x et CLI de AWS chiffrement 2.1. x remplace 2.0. x. Pour plus de détails, consultez l'avis de sécurité correspondant dans le aws-encryption-sdk-cliréférentiel sur GitHub.

Pour plus d'informations sur les versions importantes du AWS Encryption SDK, voirVersions du AWS Encryption SDK.

Quelle version dois-je utiliser ?

Si vous utilisez la CLI de AWS chiffrement pour la première fois, utilisez la dernière version.

Pour déchiffrer des données chiffrées par une version AWS Encryption SDK antérieure à la version 1.7. x, migrez d'abord vers la dernière version de la CLI de AWS chiffrement. Apportez toutes les modifications recommandées avant de passer à la version 2.1. x ou version ultérieure. Pour plus de détails, consultez Migration de votre AWS Encryption SDK.

En savoir plus

Pour obtenir des informations détaillées sur les modifications et des instructions relatives à la migration vers ces nouvelles versions, consultezMigration de votre AWS Encryption SDK.
Pour une description des nouveaux paramètres et attributs de la nouvelle CLI de AWS chiffrement, consultezAWS Encryption SDK Syntaxe et référence des paramètres de la CLI.

Les listes suivantes décrivent les modifications apportées à la CLI de AWS chiffrement dans les versions 1.8. x et 2.1. x.

La version 1.8. x modifications apportées à la CLI AWS de chiffrement

Déprécie le paramètre. --master-keys Utilisez plutôt le paramètre --wrapping-keys.
Ajoute le paramètre --wrapping-keys (-w). Il prend en charge tous les attributs du --master-keys paramètre. Il ajoute également les attributs facultatifs suivants, qui ne sont valides que lors du déchiffrement avec. AWS KMS keys
- découverte
- partition-découverte
- compte Discovery
Pour les fournisseurs de clés principales personnalisés, -decrypt les commandes --encrypt et - nécessitent un --wrapping-keys paramètre ou un --master-keys paramètre (mais pas les deux). De plus, une --encrypt commande avec AWS KMS keys nécessite un --wrapping-keys paramètre ou un --master-keys paramètre (mais pas les deux).

Dans une --decrypt commande avec AWS KMS keys, le --wrapping-keys paramètre est facultatif, mais recommandé, car il est obligatoire dans la version 2.1. x. Si vous l'utilisez, vous devez spécifier l'attribut clé ou l'attribut de découverte avec une valeur de true (mais pas les deux).
Ajoute le --commitment-policy paramètre. La seule valeur valide est forbid-encrypt-allow-decrypt. La politique d'forbid-encrypt-allow-decryptengagement est utilisée dans toutes les commandes de chiffrement et de déchiffrement.

Dans la version 1.8. x, lorsque vous utilisez le --wrapping-keys paramètre, un --commitment-policy paramètre avec la forbid-encrypt-allow-decrypt valeur est requis. La définition explicite de cette valeur empêche que votre politique d'engagement soit automatiquement modifiée require-encrypt-require-decrypt lors de la mise à niveau vers la version 2.1. x.

La version 2.1. x modifications apportées à la CLI AWS de chiffrement

Supprime le --master-keys paramètre. Utilisez plutôt le paramètre --wrapping-keys.
Le --wrapping-keys paramètre est obligatoire dans toutes les commandes de chiffrement et de déchiffrement. Vous devez spécifier un attribut clé ou un attribut de découverte avec une valeur de true (mais pas les deux).
Le --commitment-policy paramètre prend en charge les valeurs suivantes. Pour plus de détails, consultez Définition de votre politique d'engagement.
- forbid-encrypt-allow-decrypt
- require-encrypt-allow-decrypt
- require-encrypt-require decrypt (par défaut)
Le --commitment-policy paramètre est facultatif dans la version 2.1. x. La valeur par défaut est require-encrypt-require-decrypt.

La version 1.9. x et 2.2. x modifications apportées à la CLI AWS de chiffrement

Ajoute le --decrypt-unsigned paramètre. Pour plus de détails, consultez La version 2.2. x.
Ajoute le --buffer paramètre. Pour plus de détails, consultez La version 2.2. x.
Ajoute le --max-encrypted-data-keys paramètre. Pour plus de détails, consultez Limiter les clés de données chiffrées.

La version 3.0. x modifications apportées à la CLI AWS de chiffrement

Ajoute la prise en charge des clés AWS KMS multirégionales. Pour plus de détails, consultez Utilisation de plusieurs régions AWS KMS keys.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Référence des paramètres et de la syntaxe

Mise en cache des clés de données