AWS Encryption SDKSintaks CLI dan referensi parameter - AWS Encryption SDK
AWSEnkripsi sintaks CLIAWSParameter baris perintah CLI enkripsiParameter Lanjutan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Encryption SDKSintaks CLI dan referensi parameter

Topik ini menyediakan diagram sintaks dan deskripsi parameter singkat untuk membantu Anda menggunakanAWS Encryption SDK Command Line Interface (CLI). Untuk bantuan dengan kunci pembungkus dan parameter lainnya, lihatCara menggunakan AWS Enkripsi CLI. Sebagai contoh, lihat Contoh dariAWSEnkripsi CLI. Untuk dokumentasi lengkap, lihat Membaca Docs.

AWSEnkripsi sintaks CLI

Diagram sintaksAWS Enkripsi CLI ini menunjukkan sintaks untuk setiap tugas yang Anda lakukan denganAWS Enkripsi CLI. Mereka mewakili sintaks direkomendasikan dalamAWS Enkripsi CLI versi 2.1. x dan kemudian.

Fitur keamanan baru awalnya dirilis diAWS Encryption CLI versi 1.7. x dan 2.0. x. Namun,AWS Enkripsi CLI versi 1.8. x menggantikan versi 1.7. x danAWS Enkripsi CLI 2.1. x menggantikan 2.0. x. Untuk detailnya, lihat penasihat keamanan yang relevan di aws-encryption-sdk-clirepositori di GitHub.

catatan

Kecuali dicatat dalam deskripsi parameter, setiap parameter atau atribut hanya dapat digunakan sekali di setiap perintah.

Jika Anda menggunakan atribut yang tidak didukung parameter, CLIAWS Encryption mengabaikan atribut yang tidak didukung tanpa peringatan atau kesalahan.

Dapatkan bantuan

Untuk mendapatkan sintaks CLIAWS Enkripsi lengkap dengan deskripsi parameter, gunakan--help atau-h.

aws-encryption-cli (--help | -h)
Dapatkan versinya

Untuk mendapatkan nomor versi instalasiAWS Encryption CLI Anda, gunakan--version. Pastikan untuk menyertakan versi saat Anda mengajukan pertanyaan, melaporkan masalah, atau berbagi tips tentang penggunaanAWS Enkripsi CLI.

aws-encryption-cli --version
Enkripsi data

Diagram sintaks berikut menunjukkan parameter yang menggunakanencrypt perintah. 

aws-encryption-cli --encrypt
                   --input <input> [--recursive] [--decode]
                   --output <output> [--interactive] [--no-overwrite] [--suffix [<suffix>]] [--encode]
                   --wrapping-keys  [--wrapping-keys] ...
                       key=<keyID> [key=<keyID>] ...
                       [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>]
                   --metadata-output <location> [--overwrite-metadata] | --suppress-metadata]
                   [--commitment-policy <commitment-policy>]
                   [--encryption-context <encryption_context> [<encryption_context> ...]]
                   [--max-encrypted-data-keys <integer>]
                   [--algorithm <algorithm_suite>]
                   [--caching <attributes>] 
                   [--frame-length <length>]
                   [-v | -vv | -vvv | -vvvv]
                   [--quiet]
Dekripsi data

Diagram sintaks berikut menunjukkan parameter yang menggunakandecrypt perintah.

Dalam versi 1.8. x,--wrapping-keys parameternya opsional saat mendekripsi, tetapi disarankan. Dimulai pada versi 2.1. x,--wrapping-keys parameter diperlukan saat mengenkripsi dan mendekripsi. Untuk ituAWS KMS keys, Anda dapat menggunakan atribut kunci untuk menentukan kunci pembungkus (praktik terbaik) atau menyetel atribut discoverytrue, yang tidak membatasi kunci pembungkus yang dapat digunakanAWS Encryption CLI.

aws-encryption-cli --decrypt (or [--decrypt-unsigned]) 
                   --input <input> [--recursive] [--decode]
                   --output <output> [--interactive] [--no-overwrite]  [--suffix [<suffix>]] [--encode]           
                   --wrapping-keys  [--wrapping-keys] ...
                       [key=<keyID>] [key=<keyID>] ...
                       [discovery={true|false}] [discovery-partition=<aws-partition-name> discovery-account=<aws-account-ID> [discovery-account=<aws-account-ID>] ...] 
                       [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>]
                   --metadata-output <location> [--overwrite-metadata] | --suppress-metadata]
                   [--commitment-policy <commitment-policy>]
                   [--encryption-context <encryption_context> [<encryption_context> ...]]
                   [--buffer]
                   [--max-encrypted-data-keys <integer>]
                   [--caching <attributes>]
                   [--max-length <length>]
                   [-v | -vv | -vvv | -vvvv]
                   [--quiet]
Gunakan file konfigurasi

Anda dapat merujuk ke file konfigurasi yang berisi parameter dan nilainya. Ini setara dengan mengetik parameter dan nilai dalam perintah. Sebagai contoh, lihat Cara menyimpan parameter dalam file konfigurasi.

aws-encryption-cli @<configuration_file>

# In a PowerShell console, use a backtick to escape the @.
aws-encryption-cli `@<configuration_file>

AWSParameter baris perintah CLI enkripsi

Daftar ini memberikan deskripsi dasar dari parameter perintahAWS Enkripsi CLI. Untuk penjelasan lengkap, lihat aws-encryption-sdk-clidokumentasi.

-enkripsi (-e)

Mengenkripsi data input. Setiap perintah harus memiliki--encrypt, atau--decrypt, atau--decrypt-unsigned parameter.

-dekripsi (-d)

mendekripsi data input. Setiap perintah harus memiliki--encrypt,--decrypt, atau--decrypt-unsigned parameter.

--decrypt-unsigned [Diperkenalkan dalam versi 1.9. x dan 2.2. x]

--decrypt-unsignedParameter mendekripsi ciphertext dan memastikan bahwa pesan tidak ditandatangani sebelum dekripsi. Gunakan parameter ini jika Anda menggunakan--algorithm parameter dan memilih rangkaian algoritma tanpa penandatanganan digital untuk mengenkripsi data. Jika ciphertext ditandatangani, dekripsi gagal.

Anda dapat menggunakan--decrypt atau--decrypt-unsigned untuk dekripsi tetapi tidak keduanya.

--wrapping-keys (-w) [Diperkenalkan dalam versi 1.8. x]

Menentukan kunci pembungkus (atau kunci master) yang digunakan dalam enkripsi dan dekripsi operasi. Anda dapat menggunakan beberapa--wrapping-keys parameter di setiap perintah.

Dimulai pada versi 2.1. x,--wrapping-keys parameter diperlukan dalam perintah enkripsi dan dekripsi. Dalam versi 1.8. x, perintah mengenkripsi memerlukan baik--wrapping-keys atau--master-keys parameter. Dalam versi 1.8. x mendekripsi perintah,--wrapping-keys parameter opsional tetapi dianjurkan.

Saat menggunakan penyedia kunci master khusus, perintah enkripsi dan dekripsi memerlukan atribut kunci dan penyedia. Saat menggunakanAWS KMS keys, perintah enkripsi memerlukan atribut kunci. Dekripsi perintah memerlukan atribut kunci atau atribut discovery dengan nilaitrue (tapi tidak keduanya). Menggunakan atribut kunci saat mendekripsi adalah praktikAWS Encryption SDK terbaik. Hal ini sangat penting jika Anda mendekripsi kumpulan pesan asing, seperti yang ada di bucket Amazon S3 atau antrean Amazon SQS.

Untuk contoh yang menunjukkan cara menggunakan tombolAWS KMS Multi-region sebagai kunci pembungkus, lihatMenggunakan Multi-region AWS KMS keys.

Atribut: Nilai--wrapping-keys parameter terdiri dari atribut berikut. Formatnya adalah attribute_name=value.

kunci

Mengidentifikasi kunci pembungkus yang digunakan dalam operasi. Formatnya adalah pasangan kunci = ID. Anda dapat menentukan beberapa atribut kunci di setiap nilai--wrapping-keys parameter.

  • Enkripsi perintah: Semua perintah enkripsi memerlukan atribut kunci. Bila Anda menggunakan perintahAWS KMS key dalam enkripsi, nilai atribut kunci dapat berupa ID kunci, kunci ARN, nama alias, atau alias ARN. Untuk deskripsi pengenalAWS KMS kunci, lihat Pengenal kunci dalam PanduanAWS Key Management Service Pengembang.

  • Dekripsi perintah: Saat mendekripsi denganAWS KMS keys,--wrapping-keys parameter memerlukan atribut kunci dengan nilai ARN kunci atau atribut penemuan dengan nilaitrue (tetapi tidak keduanya). Menggunakan atribut kunci adalah praktikAWS Encryption SDK terbaik. Saat mendekripsi dengan penyedia kunci master kustom, atribut kunci diperlukan.

    catatan

    Untuk menentukan kunciAWS KMS pembungkus dalam perintah dekripsi, nilai atribut kunci harus berupa ARN kunci. Jika Anda menggunakan ID kunci, nama alias, nama alias, nama alias, nama alias, ARN kunci, nama alias, nama alias, nama alias, namaAWS alias, nama alias, ARN kunci, nama alias, ARN kunci, nama

Anda dapat menentukan beberapa atribut kunci di setiap nilai--wrapping-keys parameter. Namun, atribut penyedia, wilayah, dan profil apa pun dalam--wrapping-keys parameter berlaku untuk semua kunci pembungkus dalam nilai parameter tersebut. Untuk menentukan kunci pembungkus dengan nilai atribut yang berbeda, gunakan beberapa--wrapping-keys parameter dalam perintah.

penemuan

MemungkinkanAWS Enkripsi CLI untuk menggunakan apapunAWS KMS key untuk mendekripsi pesan. Nilai penemuan dapattrue ataufalse. Nilai default-nya adalah false. Atribut discovery hanya valid dalam perintah dekripsi dan hanya jika penyedia kunci master beradaAWS KMS.

Saat mendekripsi denganAWS KMS keys,--wrapping-keys parameter memerlukan atribut kunci atau atribut penemuan dengan nilaitrue (tetapi tidak keduanya). Jika Anda menggunakan atribut kunci, Anda dapat menggunakan atribut discovery dengan nilaifalse untuk menolak penemuan secara eksplisit.

  • False(default) - Ketika atribut discovery tidak ditentukan atau nilainyafalse, CLIAWS Enkripsi mendekripsi pesan hanya menggunakan atribut kunci--wrapping-keys parameter yangAWS KMS keys ditentukan. Jika Anda tidak menentukan atribut kunci saat penemuanfalse, perintah dekripsi gagal. Nilai ini mendukung praktik terbaikAWS Enkripsi CLI.

  • True- Ketika nilai atribut discovery adalahtrue,AWS Encryption CLI mendapatkan metadataAWS KMS keys from dalam pesan terenkripsi, dan menggunakannyaAWS KMS keys untuk mendekripsi pesan. Atribut discovery dengan nilaitrue berperilaku seperti versiAWS Encryption CLI sebelum versi 1.8. x yang tidak mengizinkan Anda untuk menentukan kunci pembungkus saat mendekripsi. Namun, niat Anda untuk menggunakan apa punAWS KMS key bersifat eksplisit. Jika Anda menentukan atribut kunci saat penemuantrue, perintah dekripsi gagal.

    trueNilai tersebut dapat menyebabkan CLIAWS Enkripsi digunakanAWS KMS keys di berbagai WilayahAkun AWS dan Wilayah, atau mencoba menggunakanAWS KMS keys yang tidak diizinkan untuk digunakan oleh pengguna.

Saat penemuantrue, sebaiknya gunakan atribut discovery-partition dan discovery-account untuk membatasi yangAWS KMS keys digunakan pada atribut yangAkun AWS Anda tentukan.

akun penemuan

MembatasiAWS KMS keys digunakan untuk mendekripsi kepada orang-orang di ditentukanAkun AWS. Satu-satunya nilai yang valid untuk atribut ini adalah Akun AWSID.

Atribut ini opsional dan hanya valid dalam perintah dekripsi denganAWS KMS keys tempat atribut discovery diatur ketrue dan atribut discovery-partition ditentukan.

Setiap atribut discovery-account hanya membutuhkan satuAkun AWS ID, tetapi Anda dapat menentukan beberapa atribut discovery-account dalam--wrapping-keys parameter yang sama. Semua akun yang ditentukan dalam--wrapping-keys parameter tertentu harus berada diAWS partisi yang ditentukan.

partisi penemuan

MenentukanAWS partisi untuk account dalam atribut penemuan-akun. Nilainya harus berupaAWS partisi, sepertiaws,aws-cn, atauaws-gov-cloud. Untuk informasi, lihat Nama Sumber Daya Amazon di bagian Referensi Umum AWS.

Atribut ini diperlukan saat Anda menggunakan atribut discovery-account. Anda hanya dapat menentukan satu atribut penemuan-partisi di setiap--wrapping keys parameter. Untuk menentukanAkun AWS di beberapa partisi, gunakan--wrapping-keys parameter tambahan.

penyedia

Mengidentifikasi penyedia kunci master. Formatnya adalah pasangan penyedia = ID. Nilai default, aws-kms, mewakiliAWS KMS. Atribut ini diperlukan hanya ketika penyedia kunci master tidakAWS KMS.

wilayah

MengidentifikasiWilayah AWS dari sebuahAWS KMS key. Atribut ini hanya valid untukAWS KMS keys. Hal ini digunakan hanya ketika identifier kunci tidak menentukan Region; jika tidak, itu diabaikan. Ketika digunakan, itu menimpa Wilayah default di profil bernamaAWS CLI.

profile

Mengidentifikasi profilAWS CLI bernama. Atribut ini hanya valid untukAWS KMS keys. Wilayah dalam profil hanya digunakan ketika pengidentifikasi kunci tidak menentukan Wilayah dan tidak ada atribut wilayah dalam perintah.

--masukan (-i)

Menentukan lokasi data untuk mengenkripsi atau mendekripsi. Parameter ini diperlukan. Nilai dapat berupa path ke file atau direktori, atau pola nama file. Jika Anda pipa masukan ke perintah (stdin), gunakan-.

Jika input tidak ada, perintah selesai dengan sukses tanpa kesalahan atau peringatan.

--rekursif (-r, -R)

Melakukan operasi pada file di direktori input dan subdirektorinya. Parameter ini diperlukan jika nilai--input adalah direktori.

mendekode

mendekode masukan berkode Base64.

Jika Anda mendekripsi pesan yang dienkripsi dan kemudian dikodekan, Anda harus memecahkan kode pesan sebelum mendekripsi pesan tersebut. Parameter ini melakukan itu untuk Anda.

Misalnya, jika Anda menggunakan--encode parameter dalam perintah enkripsi, gunakan--decode parameter dalam perintah dekripsi yang sesuai. Anda juga dapat menggunakan parameter ini untuk memecahkan kode masukan yang dikodekan Base64 sebelum mengenkripsinya.

-output (-o)

Menentukan tujuan untuk output. Parameter ini diperlukan. Nilai dapat berupa nama file, direktori yang ada, atau-, yang menulis output ke baris perintah (stdout).

Jika direktori output yang ditentukan tidak ada, perintah gagal. Jika input berisi subdirektori,AWS Enkripsi CLI mereproduksi subdirektori di bawah direktori keluaran yang Anda tentukan.

Secara default,AWS Encryption CLI menimpa file dengan nama yang sama. Untuk mengubah perilaku itu, gunakan--no-overwrite parameter--interactive or. Untuk menekan peringatan menimpa, gunakan--quiet parameter.

catatan

Jika perintah yang akan menimpa file output gagal, file output dihapus.

-interaktif

Anjuran sebelum menimpa file.

--tidak-menimpa

Tidak menimpa file. Sebaliknya, jika file output ada,AWS Enkripsi CLI melewatkan input yang sesuai.

sufiks

Menentukan akhiran nama file kustom untuk file yangAWS Enkripsi CLI menciptakan. Untuk menunjukkan tidak ada akhiran, gunakan parameter tanpa nilai (--suffix).

Secara default, ketika--output parameter tidak menentukan nama file, nama file keluaran memiliki nama yang sama dengan nama file input ditambah akhiran. Akhiran untuk perintah enkripsi adalah.encrypted. Akhiran untuk mendekripsi perintah adalah.decrypted.

-enkode

Menerapkan pengkodean Base64 (biner ke teks) ke output. Encoding mencegah program host shell dari salah menafsirkan karakter non-ASCII dalam teks keluaran.

Gunakan parameter ini saat menulis output terenkripsi ke stdout (--output -), terutama di PowerShell konsol, bahkan ketika Anda menyalurkan output ke perintah lain atau menyimpannya dalam variabel.

-metadata-keluaran

Menentukan lokasi untuk metadata tentang operasi kriptografi. Masukkan jalur dan nama file. Jika direktori tidak ada, perintah gagal. Untuk menulis metadata ke baris perintah (stdout), gunakan-.

Anda tidak dapat menulis output perintah (--output) dan output metadata (--metadata-output) ke stdout dalam perintah yang sama. Juga, ketika nilai--input atau--output adalah direktori (tanpa nama file), Anda tidak dapat menulis output metadata ke direktori yang sama atau ke subdirektori direktori itu.

Jika Anda menentukan file yang ada, secara default,AWS Enkripsi CLI menambahkan catatan metadata baru ke konten apa pun dalam file. Fitur ini memungkinkan Anda membuat satu file yang berisi metadata untuk semua operasi kriptografi Anda. Untuk menimpa konten dalam file yang ada, gunakan--overwrite-metadata parameter.

CLIAWS Enkripsi mengembalikan catatan metadata berformat JSON untuk setiap operasi enkripsi atau dekripsi yang dilakukan perintah. Setiap catatan metadata menyertakan jalur lengkap ke file input dan output, konteks enkripsi, rangkaian algoritme, dan informasi berharga lainnya yang dapat Anda gunakan untuk meninjau operasi dan memverifikasi bahwa data tersebut memenuhi standar keamanan Anda.

--menimpa-metadata

Menimpa konten dalam file keluaran metadata. Secara default,--metadata-output parameter menambahkan metadata ke konten yang ada dalam file.

-menekan metadata (-S)

Menekan metadata tentang operasi enkripsi atau dekripsi.

--komitmen-kebijakan

Menentukan kebijakan komitmen untuk mengenkripsi dan mendekripsi perintah. Kebijakan komitmen menentukan apakah pesan Anda dienkripsi dan didekripsi dengan fitur keamanan komitmen utama.

--commitment-policyParameter diperkenalkan pada versi 1.8. x. Ini berlaku dalam perintah enkripsi dan dekripsi.

Dalam versi 1.8. x,AWS Encryption CLI menggunakan kebijakanforbid-encrypt-allow-decrypt komitmen untuk semua operasi enkripsi dan dekripsi. Bila Anda menggunakan--wrapping-keys parameter dalam perintah enkripsi atau dekripsi,--commitment-policy parameter denganforbid-encrypt-allow-decrypt nilai diperlukan. Jika Anda tidak menggunakan--wrapping-keys parameter,--commitment-policy parameter tidak valid. Menetapkan kebijakan komitmen secara eksplisit mencegah kebijakan komitmen Anda berubah secara otomatis menjadirequire-encrypt-require-decrypt saat Anda meningkatkan ke versi 2.1. x

Dimulai pada versi 2.1. x, semua nilai kebijakan komitmen didukung. --commitment-policyParameternya opsional dan nilai defaultnya adalahrequire-encrypt-require-decrypt.

Parameter ini memiliki nilai berikut:

  • forbid-encrypt-allow-decrypt- Tidak dapat mengenkripsi dengan komitmen kunci. Hal ini dapat mendekripsi ciphertexts dienkripsi dengan atau tanpa komitmen kunci.

    Dalam versi 1.8. x, ini adalah satu-satunya nilai yang valid. AWSEnkripsi CLI menggunakan kebijakanforbid-encrypt-allow-decrypt komitmen untuk semua operasi enkripsi dan dekripsi.

  • require-encrypt-allow-decrypt- Mengenkripsi hanya dengan komitmen kunci. Mendekripsi dengan dan tanpa komitmen kunci. Nilai ini diperkenalkan di versi 2.1. x.

  • require-encrypt-require-decrypt(default) - Mengenkripsi dan mendekripsi hanya dengan komitmen kunci. Nilai ini diperkenalkan di versi 2.1. x. Ini adalah nilai default dalam versi 2.1. x dan kemudian. Dengan nilai ini,AWS Encryption CLI tidak akan mendekripsi ciphertext apa pun yang dienkripsi dengan versi sebelumnyaAWS Encryption SDK.

Untuk informasi rinci tentang menetapkan kebijakan komitmen Anda, lihatMigrasiAWS Encryption SDK.

--enkripsi-konteks (-c)

Menentukan konteks enkripsi untuk operasi. Parameter ini tidak diperlukan, tetapi direkomendasikan.

  • Dalam--encrypt perintah, masukkan satu atau lebihname=value pasangan. Gunakan spasi untuk memisahkan pasangan.

  • Dalam--decrypt perintah, masukkanname=value pasangan,name elemen tanpa nilai, atau keduanya.

Jikaname atauvalue dalamname=value pasangan termasuk spasi atau karakter khusus, lampirkan seluruh pasangan dalam tanda kutip. Sebagai contoh, --encryption-context "department=software development".

--buffer (-b) [Diperkenalkan dalam versi 1.9. x dan 2.2. x]

Mengembalikan plaintext hanya setelah semua masukan diproses, termasuk memverifikasi tanda tangan digital jika ada.

--max-encrypted-data-keys [Diperkenalkan dalam versi 1.9. x dan 2.2. x]

Menentukan jumlah maksimum kunci data terenkripsi dalam pesan terenkripsi. Parameter ini bersifat opsional.

Nilai yang valid adalah 1 - 65,535. Jika Anda menghilangkan parameter ini, CLIAWS enkripsi tidak memberlakukan maksimum apa pun. Pesan terenkripsi dapat menampung hingga 65.535 (2^16 - 1) kunci data terenkripsi.

Anda dapat menggunakan parameter ini dalam perintah enkripsi untuk mencegah pesan cacat. Anda dapat menggunakannya dalam mendekripsi perintah untuk mendeteksi pesan berbahaya dan menghindari mendekripsi pesan dengan banyak kunci data terenkripsi yang tidak dapat Anda dekripsi. Untuk detail dan contoh, lihat Membatasi kunci data terenkripsi.

--bantuan (-h)

Penggunaan cetakan dan sintaks pada baris perintah.

-versi

Mendapat versiAWS Encryption CLI.

-v | -vv | -vvv | -vvvv

Menampilkan informasi verbose, peringatan, dan pesan debugging. Detail dalam output meningkat dengan jumlahv s dalam parameter. Pengaturan (-vvvv) yang paling rinci mengembalikan data tingkat debugging dariAWS Encryption CLI dan semua komponen yang digunakannya.

--tenang (-q)

Menekan pesan peringatan, seperti pesan yang muncul saat Anda menimpa file keluaran.

--master-keys (-m) [Usang]
catatan

Parameter --master-keys diusangkan di 1.8. x dan dihapus dalam versi 2.1. x. Sebagai gantinya, gunakan parameter --wrapping-keys.

Menentukan kunci master yang digunakan dalam enkripsi dan dekripsi operasi. Anda dapat menggunakan beberapa parameter kunci master di setiap perintah.

--master-keysParameter diperlukan dalam perintah enkripsi. Hal ini diperlukan dalam mendekripsi perintah hanya ketika Anda menggunakan kustom (non-AWS KMS) penyedia kunci master.

Atribut: Nilai--master-keys parameter terdiri dari atribut berikut. Formatnya adalah attribute_name=value.

kunci

Mengidentifikasi kunci pembungkus yang digunakan dalam operasi. Formatnya adalah pasangan kunci = ID. Atribut kunci diperlukan di semua perintah enkripsi.

Bila Anda menggunakan perintahAWS KMS key dalam enkripsi, nilai atribut kunci dapat berupa ID kunci, kunci ARN, nama alias, atau alias ARN. Untuk detail tentang pengenalAWS KMS kunci, lihat Pengenal kunci di PanduanAWS Key Management Service Pengembang.

Atribut kunci diperlukan dalam perintah dekripsi ketika penyedia kunci master tidakAWS KMS. Atribut kunci tidak diizinkan dalam perintah yang mendekripsi data yang dienkripsi di bawahAWS KMS key.

Anda dapat menentukan beberapa atribut kunci di setiap nilai--master-keys parameter. Namun, atribut penyedia, wilayah, dan profil apa pun berlaku untuk semua kunci utama dalam nilai parameter. Untuk menentukan kunci master dengan nilai atribut yang berbeda, gunakan beberapa--master-keys parameter dalam perintah.

penyedia

Mengidentifikasi penyedia kunci master. Formatnya adalah pasangan penyedia = ID. Nilai default, aws-kms, mewakiliAWS KMS. Atribut ini diperlukan hanya ketika penyedia kunci master tidakAWS KMS.

wilayah

MengidentifikasiWilayah AWS dari sebuahAWS KMS key. Atribut ini hanya valid untukAWS KMS keys. Hal ini digunakan hanya ketika identifier kunci tidak menentukan Region; jika tidak, itu diabaikan. Ketika digunakan, itu menimpa Wilayah default di profil bernamaAWS CLI.

profile

Mengidentifikasi profilAWS CLI bernama. Atribut ini hanya valid untukAWS KMS keys. Wilayah dalam profil hanya digunakan ketika pengidentifikasi kunci tidak menentukan Wilayah dan tidak ada atribut wilayah dalam perintah.

Parameter Lanjutan

-algoritma

Menentukan algoritma suite alternatif. Parameter ini opsional dan hanya berlaku dalam perintah enkripsi.

Jika Anda menghilangkan parameter ini,AWS Encryption CLI menggunakan salah satu suite algoritma default untukAWS Encryption SDK diperkenalkan di versi 1.8. x. Kedua algoritma default menggunakan AES-GCM dengan HKDF, tanda tangan ECDSA, dan kunci enkripsi 256-bit. Seseorang menggunakan komitmen kunci; satu tidak. Pilihan standar algoritma suite ditentukan oleh kebijakan komitmen untuk perintah.

Rangkaian algoritma default direkomendasikan untuk sebagian besar operasi enkripsi. Untuk daftar nilai yang valid, lihat nilai untukalgorithm parameter di Baca Dokumen.

--bingkai-panjang

Menciptakan output dengan panjang bingkai tertentu. Parameter ini opsional dan hanya berlaku dalam perintah enkripsi.

Masukkan nilai dalam byte. Nilai yang valid adalah 0 dan 1 - 2 ^ 31 - 1. Nilai 0 menunjukkan data yang tidak dibingkai. Defaultnya adalah 4096 (byte).

catatan

Bila memungkinkan, gunakan data berbingkai. AWS Encryption SDKMendukung data nonframed hanya untuk penggunaan lama. Beberapa implementasi bahasa dari masihAWS Encryption SDK dapat menghasilkan ciphertext nonframed. Semua implementasi bahasa yang didukung dapat mendekripsi ciphertext berbingkai dan nonframed.

--max-panjang

Menunjukkan ukuran bingkai maksimum (atau panjang konten maksimum untuk pesan tanpa bingkai) dalam byte untuk dibaca dari pesan terenkripsi. Parameter ini opsional dan hanya berlaku dalam perintah dekripsi. Ini dirancang untuk melindungi Anda dari mendekripsi ciphertext berbahaya yang sangat besar.

Masukkan nilai dalam byte. Jika Anda menghilangkan parameter ini,AWS Encryption SDK tidak membatasi ukuran bingkai saat mendekripsi.

--caching

Memungkinkan fitur caching kunci data, yang menggunakan kembali kunci data, alih-alih menghasilkan kunci data baru untuk setiap file input. Parameter ini mendukung skenario lanjutan. Pastikan untuk membaca dokumentasi Data Key Caching sebelum menggunakan fitur ini.

--cachingParameter memiliki atribut berikut.

kapasitas (diperlukan)

Menentukan jumlah maksimum entri dalam cache.

Nilai minimum adalah 1. Tidak ada nilai maksimum.

max_age (diperlukan)

Tentukan berapa lama entri cache digunakan, dalam hitungan detik, dimulai ketika mereka ditambahkan ke cache.

Masukkan nilai yang lebih besar dari 0. Tidak ada nilai maksimum.

max_messages_encrypted (opsional)

Menentukan jumlah pesan maksimum yang dapat dienkripsi entri dalam cache.

Nilai yang valid adalah 1—2^32. Nilai default adalah 2^32 (pesan).

max_bytes_encrypted (opsional)

Menentukan jumlah maksimum byte yang dapat dienkripsi entri dalam cache.

Nilai yang valid adalah 0 dan 1 - 2^63 - 1. Nilai default adalah 2^63 - 1 (pesan). Nilai 0 memungkinkan Anda menggunakan caching kunci data hanya ketika Anda mengenkripsi string pesan kosong.