Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # AWS Encryption SDK Sintaks CLI dan referensi parameter Topik ini menyediakan diagram sintaks dan deskripsi parameter singkat untuk membantu Anda menggunakan AWS Encryption SDK Command Line Interface (CLI). Untuk bantuan dengan kunci pembungkus dan parameter lainnya, lihat[Cara menggunakan CLI AWS Enkripsi](crypto-cli-how-to.md). Sebagai contoh, lihat [Contoh CLI AWS Enkripsi](crypto-cli-examples.md). Untuk dokumentasi selengkapnya, lihat [Membaca Dokumen.](https://aws-encryption-sdk-cli.readthedocs.io/en/latest/) **Topics** + [AWS Sintaks CLI enkripsi](#crypto-cli-syntax) + [AWS Parameter baris perintah CLI enkripsi](#crypto-cli-parameters) + [Parameter lanjutan](#cli-advanced-parameters) ## AWS Sintaks CLI enkripsi Diagram sintaks AWS Enkripsi CLI ini menunjukkan sintaks untuk setiap tugas yang Anda lakukan dengan CLI Enkripsi. AWS Mereka mewakili sintaks yang direkomendasikan dalam AWS Enkripsi CLI versi 2.1. *x* dan kemudian. Fitur keamanan baru awalnya dirilis dalam AWS Enkripsi CLI versi 1.7. *x* dan 2.0. *x*. Namun, AWS Enkripsi CLI versi 1.8. *x* menggantikan versi 1.7. *x* dan AWS Enkripsi CLI 2.1. *x* menggantikan 2.0. *x*. Untuk detailnya, lihat [penasihat keamanan](https://github.com/aws/aws-encryption-sdk-cli/security/advisories/GHSA-2xwp-m7mq-7q3r) yang relevan di [aws-encryption-sdk-cli](https://github.com/aws/aws-encryption-sdk-cli/)repositori di. GitHub **catatan** Kecuali dicatat dalam deskripsi parameter, setiap parameter atau atribut hanya dapat digunakan sekali dalam setiap perintah. Jika Anda menggunakan atribut yang parameter tidak mendukung, CLI AWS Enkripsi mengabaikan atribut yang tidak didukung tanpa peringatan atau kesalahan. **Mencari bantuan** Untuk mendapatkan sintaks AWS Enkripsi CLI lengkap dengan deskripsi parameter, gunakan atau. `--help` `-h` ``` aws-encryption-cli (--help | -h) ``` **Dapatkan versinya** Untuk mendapatkan nomor versi instalasi CLI AWS Enkripsi Anda, gunakan. `--version` Pastikan untuk menyertakan versi saat Anda mengajukan pertanyaan, melaporkan masalah, atau berbagi tips tentang menggunakan CLI AWS Enkripsi. ``` aws-encryption-cli --version ``` **Enkripsi data** Diagram sintaks berikut menunjukkan parameter yang digunakan **encrypt** perintah. ``` aws-encryption-cli --encrypt --input [--recursive] [--decode] --output [--interactive] [--no-overwrite] [--suffix []] [--encode] --wrapping-keys [--wrapping-keys] ... key= [key=] ... [provider=] [region=] [profile=] --metadata-output [--overwrite-metadata] | --suppress-metadata] [--commitment-policy ] [--encryption-context [ ...]] [--max-encrypted-data-keys ] [--algorithm ] [--caching ] [--frame-length ] [-v | -vv | -vvv | -vvvv] [--quiet] ``` **Dekripsi data** Diagram sintaks berikut menunjukkan parameter yang digunakan **decrypt** perintah. Dalam versi 1.8. *x*, `--wrapping-keys` parameternya opsional saat mendekripsi, tetapi disarankan. Dimulai dari versi 2.1. *x*, `--wrapping-keys` parameter diperlukan saat mengenkripsi dan mendekripsi. Untuk AWS KMS keys, Anda dapat menggunakan atribut **kunci** untuk menentukan kunci pembungkus (praktik terbaik) atau menyetel atribut **penemuan**`true`, yang tidak membatasi kunci pembungkus yang dapat digunakan AWS CLI Enkripsi. ``` aws-encryption-cli --decrypt (or [--decrypt-unsigned]) --input [--recursive] [--decode] --output [--interactive] [--no-overwrite] [--suffix []] [--encode] --wrapping-keys [--wrapping-keys] ... [key=] [key=] ... [discovery={true|false}] [discovery-partition= discovery-account= [discovery-account=] ...] [provider=] [region=] [profile=] --metadata-output [--overwrite-metadata] | --suppress-metadata] [--commitment-policy ] [--encryption-context [ ...]] [--buffer] [--max-encrypted-data-keys ] [--caching ] [--max-length ] [-v | -vv | -vvv | -vvvv] [--quiet] ``` **Gunakan file konfigurasi** Anda dapat merujuk ke file konfigurasi yang berisi parameter dan nilainya. Ini setara dengan mengetik parameter dan nilai dalam perintah. Sebagai contoh, lihat [Cara menyimpan parameter dalam file konfigurasi](crypto-cli-how-to.md#crypto-cli-config-file). ``` aws-encryption-cli @ # In a PowerShell console, use a backtick to escape the @. aws-encryption-cli `@ ``` ## AWS Parameter baris perintah CLI enkripsi Daftar ini memberikan deskripsi dasar parameter perintah AWS Enkripsi CLI. Untuk deskripsi lengkap, lihat [aws-encryption-sdk-clidokumentasi](http://aws-encryption-sdk-cli.readthedocs.io/en/latest/). **--enkripsi (-e)** Mengenkripsi data input. Setiap perintah harus memiliki`--encrypt`, atau`--decrypt`, atau `--decrypt-unsigned` parameter. **--dekripsi (-d)** Mendekripsi data input. Setiap perintah harus memiliki`--encrypt`,`--decrypt`, atau `--decrypt-unsigned` parameter. **--decrypt-unsigned [Diperkenalkan dalam versi 1.9. *x* dan 2.2. *x*]** `--decrypt-unsigned`Parameter mendekripsi ciphertext dan memastikan bahwa pesan tidak ditandatangani sebelum dekripsi. Gunakan parameter ini jika Anda menggunakan `--algorithm` parameter dan memilih rangkaian algoritme tanpa penandatanganan digital untuk mengenkripsi data. Jika ciphertext ditandatangani, dekripsi gagal. Anda dapat menggunakan `--decrypt` atau `--decrypt-unsigned` untuk dekripsi tetapi tidak keduanya. **--wrapping-keys (-w) [Diperkenalkan dalam versi 1.8. *x*]** Menentukan kunci [pembungkus (atau kunci](concepts.md#master-key) *master*) yang digunakan dalam operasi enkripsi dan dekripsi. Anda dapat menggunakan [beberapa `--wrapping-keys` parameter](crypto-cli-how-to.md#cli-many-cmks) di setiap perintah. Dimulai dari versi 2.1. *x*, `--wrapping-keys` parameter diperlukan dalam perintah enkripsi dan dekripsi. Dalam versi 1.8. *x*, perintah enkripsi memerlukan salah satu `--wrapping-keys` atau `--master-keys` parameter. Dalam versi 1.8. *x* dekripsi perintah, `--wrapping-keys` parameter adalah opsional tetapi direkomendasikan. **Saat menggunakan penyedia kunci master kustom, perintah enkripsi dan dekripsi memerlukan atribut **kunci** dan penyedia.** Saat menggunakan AWS KMS keys, perintah enkripsi memerlukan atribut **kunci**. Perintah dekripsi memerlukan atribut **kunci** atau atribut **penemuan** dengan nilai `true` (tetapi tidak keduanya). Menggunakan atribut **kunci** saat mendekripsi adalah praktik [AWS Encryption SDK terbaik](best-practices.md). Ini sangat penting jika Anda mendekripsi kumpulan pesan asing, seperti yang ada di bucket Amazon S3 atau antrian Amazon SQS. Untuk contoh yang menunjukkan cara menggunakan kunci AWS KMS Multi-region sebagai kunci pembungkus, lihat. [Menggunakan Multi-region AWS KMS keys](configure.md#config-mrks) **Atribut**: Nilai `--wrapping-keys` parameter terdiri dari atribut berikut. Formatnya adalah `attribute_name=value`. **kunci** Mengidentifikasi kunci pembungkus yang digunakan dalam operasi. Formatnya adalah pasangan **kunci** = ID. Anda dapat menentukan beberapa atribut **kunci** di setiap nilai `--wrapping-keys` parameter. + **Enkripsi perintah**: Semua perintah enkripsi memerlukan atribut **kunci**. Bila Anda menggunakan AWS KMS key dalam perintah enkripsi, nilai atribut **kunci dapat berupa ID kunci**, ARN kunci, nama alias, atau alias ARN. *Untuk deskripsi pengidentifikasi AWS KMS kunci, lihat [Pengidentifikasi kunci](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) di Panduan Pengembang.AWS Key Management Service * + **Dekripsi perintah**: Saat mendekripsi dengan AWS KMS keys, `--wrapping-keys` parameter memerlukan atribut **kunci** dengan nilai [ARN](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id-key-ARN) kunci atau atribut **penemuan** dengan nilai (tetapi tidak keduanya). `true` Menggunakan atribut **kunci** adalah [praktik AWS Encryption SDK terbaik](best-practices.md). Saat mendekripsi dengan penyedia kunci master kustom, atribut **kunci** diperlukan. **catatan** Untuk menentukan kunci AWS KMS pembungkus dalam perintah dekripsi, nilai atribut **kunci** harus berupa ARN kunci. Jika Anda menggunakan ID kunci, nama alias, atau alias ARN, AWS CLI Enkripsi tidak mengenali kunci pembungkus. Anda dapat menentukan beberapa atribut **kunci** di setiap nilai `--wrapping-keys` parameter. Namun, atribut **penyedia**, **wilayah**, dan **profil** apa pun dalam `--wrapping-keys` parameter berlaku untuk semua kunci pembungkus dalam nilai parameter tersebut. Untuk menentukan kunci pembungkus dengan nilai atribut yang berbeda, gunakan beberapa `--wrapping-keys` parameter dalam perintah. **penemuan** Memungkinkan CLI AWS Enkripsi menggunakan apapun AWS KMS key untuk mendekripsi pesan. Nilai **penemuan** bisa `true` atau`false`. Nilai default-nya adalah `false`. Atribut **penemuan** hanya valid dalam perintah dekripsi dan hanya jika penyedia kunci master berada. AWS KMS Saat mendekripsi dengan AWS KMS keys, `--wrapping-keys` parameter memerlukan atribut **kunci** atau atribut **penemuan** dengan nilai `true` (tetapi tidak keduanya). Jika Anda menggunakan atribut **kunci**, Anda dapat menggunakan atribut **penemuan** dengan nilai `false` untuk secara eksplisit menolak penemuan. + `False`(default) — Ketika atribut **penemuan** tidak ditentukan atau nilainya`false`, CLI AWS Enkripsi mendekripsi pesan hanya menggunakan yang AWS KMS keys ditentukan oleh atribut **kunci parameter**. `--wrapping-keys` Jika Anda tidak menentukan atribut **kunci** saat penemuan`false`, perintah dekripsi gagal. Nilai ini mendukung praktik [terbaik](best-practices.md) CLI AWS Enkripsi. + `True`— Ketika nilai atribut **penemuan** adalah`true`, CLI AWS Enkripsi mendapatkan metadata AWS KMS keys dari dalam pesan terenkripsi, dan menggunakannya untuk mendekripsi pesan. AWS KMS keys Atribut **penemuan** dengan nilai `true` berperilaku seperti versi CLI AWS Enkripsi sebelum versi 1.8. *x* yang tidak mengizinkan Anda menentukan kunci pembungkus saat mendekripsi. Namun, maksud Anda untuk menggunakan apapun AWS KMS key adalah eksplisit. Jika Anda menentukan atribut **kunci** saat penemuan`true`, perintah dekripsi gagal. `true`Nilai tersebut dapat menyebabkan CLI AWS Enkripsi digunakan AWS KMS keys di berbagai Wilayah Akun AWS dan yang berbeda, atau mencoba menggunakan AWS KMS keys yang tidak diizinkan untuk digunakan oleh pengguna. **Saat **penemuan** dilakukan`true`, sebaiknya gunakan atribut **partisi penemuan dan akun-penemuan** untuk membatasi atribut yang AWS KMS keys digunakan pada atribut yang Anda tentukan.** Akun AWS **penemuan-akun** Membatasi yang AWS KMS keys digunakan untuk mendekripsi ke yang ditentukan. Akun AWS Satu-satunya nilai yang valid untuk atribut ini adalah [Akun AWS ID](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html). Atribut ini opsional dan hanya valid dalam perintah dekripsi dengan AWS KMS keys tempat atribut **penemuan** diatur `true` dan atribut partisi **penemuan ditentukan.** Setiap atribut **discovery-account** hanya membutuhkan satu Akun AWS ID, tetapi Anda dapat menentukan beberapa atribut **discovery-account** dalam parameter yang sama. `--wrapping-keys` Semua akun yang ditentukan dalam `--wrapping-keys` parameter tertentu harus berada di AWS partisi yang ditentukan. **penemuan-partisi** Menentukan AWS partisi untuk account di atribut **discovery-account**. Nilainya harus berupa AWS partisi, seperti`aws`,`aws-cn`, atau`aws-gov-cloud`. Untuk selengkapnya, lihat [Nama Sumber Daya Amazon](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arns-syntax) di *Referensi Umum AWS*. Atribut ini diperlukan saat Anda menggunakan atribut **discovery-account**. Anda hanya dapat menentukan satu atribut **partisi penemuan** di setiap parameter. `--wrapping keys` Untuk menentukan Akun AWS di beberapa partisi, gunakan `--wrapping-keys` parameter tambahan. **penyedia** Mengidentifikasi [penyedia kunci utama](concepts.md#master-key-provider). Formatnya adalah **penyedia** = pasangan ID. Nilai default, **aws-kms**, mewakili. AWS KMS Atribut ini diperlukan hanya jika penyedia kunci master tidak AWS KMS. **region** Mengidentifikasi Wilayah AWS dari sebuah AWS KMS key. Atribut ini hanya berlaku untuk AWS KMS keys. Ini hanya digunakan ketika pengidentifikasi **kunci** tidak menentukan Wilayah; jika tidak, itu diabaikan. Ketika digunakan, itu mengganti Wilayah default di profil bernama AWS CLI. **profile** Mengidentifikasi [profil AWS CLI bernama](https://docs.aws.amazon.com/cli/latest/userguide/cli-multiple-profiles.html). Atribut ini hanya berlaku untuk AWS KMS keys. Wilayah di profil hanya digunakan ketika pengidentifikasi kunci tidak menentukan Wilayah dan tidak ada atribut **wilayah** dalam perintah. **--masukan (-i)** Menentukan lokasi data untuk mengenkripsi atau mendekripsi. Parameter ini diperlukan. Nilai dapat berupa jalur ke file atau direktori, atau pola nama file. Jika Anda menyalurkan input ke perintah (stdin), gunakan. `-` Jika input tidak ada, perintah selesai dengan sukses tanpa kesalahan atau peringatan. **--rekursif (-r, -R)** Melakukan operasi pada file di direktori input dan subdirektorinya. Parameter ini diperlukan ketika nilai `--input` adalah direktori. **--decode** Mendekode masukan yang dikodekan Base64. Jika Anda mendekripsi pesan yang dienkripsi dan kemudian dikodekan, Anda harus memecahkan kode pesan sebelum mendekripsi. Parameter ini melakukan itu untuk Anda. Misalnya, jika Anda menggunakan `--encode` parameter dalam perintah enkripsi, gunakan `--decode` parameter dalam perintah dekripsi yang sesuai. Anda juga dapat menggunakan parameter ini untuk memecahkan kode input yang dikodekan Base64 sebelum Anda mengenkripsinya. **--keluaran (-o)** Menentukan tujuan untuk output. Parameter ini diperlukan. Nilai dapat berupa nama file, direktori yang ada, atau`-`, yang menulis output ke baris perintah (stdout). Jika direktori output yang ditentukan tidak ada, perintah gagal. Jika input berisi subdirektori, AWS CLI Enkripsi mereproduksi subdirektori di bawah direktori output yang Anda tentukan. Secara default, CLI AWS Enkripsi menimpa file dengan nama yang sama. Untuk mengubah perilaku itu, gunakan `--no-overwrite` parameter `--interactive` atau. Untuk menekan peringatan penimpaan, gunakan parameter. `--quiet` Jika perintah yang akan menimpa file output gagal, file output dihapus. **--interaktif** Meminta sebelum menimpa file. **--tidak menimpa** Tidak menimpa file. Sebaliknya, jika file output ada, CLI AWS Enkripsi melewatkan input yang sesuai. **--akhiran** Menentukan akhiran nama file kustom untuk file yang dibuat AWS CLI Enkripsi. Untuk menunjukkan tidak ada akhiran, gunakan parameter tanpa nilai (`--suffix`). Secara default, ketika `--output` parameter tidak menentukan nama file, nama file output memiliki nama yang sama dengan nama file input ditambah akhiran. Sufiks untuk perintah enkripsi adalah. `.encrypted` Sufiks untuk perintah dekripsi adalah. `.decrypted` **--enkode** Menerapkan pengkodean Base64 (biner ke teks) ke output. Pengkodean mencegah program host shell salah menafsirkan karakter non-ASCII dalam teks keluaran. Gunakan parameter ini saat menulis output terenkripsi ke stdout (`--output -`), terutama di PowerShell konsol, bahkan saat Anda menyalurkan output ke perintah lain atau menyimpannya dalam variabel. **--metadata-keluaran** Menentukan lokasi untuk metadata tentang operasi kriptografi. Masukkan jalur dan nama file. Jika direktori tidak ada, perintah gagal. Untuk menulis metadata ke baris perintah (stdout), gunakan. `-` Anda tidak dapat menulis perintah output (`--output`) dan metadata output (`--metadata-output`) ke stdout dalam perintah yang sama. Juga, ketika nilai `--input` atau `--output` adalah direktori (tanpa nama file), Anda tidak dapat menulis keluaran metadata ke direktori yang sama atau ke subdirektori mana pun dari direktori itu. Jika Anda menentukan file yang ada, secara default, CLI AWS Enkripsi menambahkan catatan metadata baru ke konten apa pun dalam file. Fitur ini memungkinkan Anda membuat satu file yang berisi metadata untuk semua operasi kriptografi Anda. Untuk menimpa konten dalam file yang ada, gunakan `--overwrite-metadata` parameter. CLI AWS Enkripsi mengembalikan catatan metadata berformat JSON untuk setiap operasi enkripsi atau dekripsi yang dilakukan perintah. Setiap catatan metadata mencakup jalur lengkap ke file input dan output, konteks enkripsi, rangkaian algoritme, dan informasi berharga lainnya yang dapat Anda gunakan untuk meninjau operasi dan memverifikasi bahwa itu memenuhi standar keamanan Anda. **--timpa metadata** Menimpa konten dalam file keluaran metadata. Secara default, `--metadata-output` parameter menambahkan metadata ke konten yang ada dalam file. **--menekan-metadata (-S)** Menekan metadata tentang operasi enkripsi atau dekripsi. **--komitmen-kebijakan** Menentukan [kebijakan komitmen](concepts.md#commitment-policy) untuk mengenkripsi dan mendekripsi perintah. Kebijakan komitmen menentukan apakah pesan Anda dienkripsi dan didekripsi dengan fitur keamanan komitmen [utama](concepts.md#key-commitment). `--commitment-policy`Parameter diperkenalkan dalam versi 1.8. *x*. Ini berlaku dalam perintah enkripsi dan dekripsi. **Dalam versi 1.8. ***x*, CLI AWS Enkripsi menggunakan kebijakan `forbid-encrypt-allow-decrypt` komitmen untuk semua operasi enkripsi dan dekripsi. Bila Anda menggunakan `--wrapping-keys` parameter dalam perintah enkripsi atau dekripsi, `--commitment-policy` parameter dengan `forbid-encrypt-allow-decrypt` nilai diperlukan. Jika Anda tidak menggunakan `--wrapping-keys` parameter, `--commitment-policy` parameter tidak valid. Menetapkan kebijakan komitmen secara eksplisit mencegah kebijakan komitmen Anda berubah secara otomatis menjadi `require-encrypt-require-decrypt` saat Anda meningkatkan ke versi 2.1. *x* Dimulai pada **versi 2.1. ***x*, semua nilai kebijakan komitmen didukung. `--commitment-policy`Parameternya opsional dan nilai defaultnya adalah`require-encrypt-require-decrypt`. Parameter ini memiliki nilai-nilai berikut: + `forbid-encrypt-allow-decrypt`— Tidak dapat mengenkripsi dengan komitmen utama. Ini dapat mendekripsi ciphertext yang dienkripsi dengan atau tanpa komitmen utama. Dalam versi 1.8. *x*, ini adalah satu-satunya nilai yang valid. CLI AWS Enkripsi menggunakan kebijakan `forbid-encrypt-allow-decrypt` komitmen untuk semua operasi enkripsi dan dekripsi. + `require-encrypt-allow-decrypt`— Enkripsi hanya dengan komitmen utama. Mendekripsi dengan dan tanpa komitmen utama. Nilai ini diperkenalkan dalam versi 2.1. *x*. + `require-encrypt-require-decrypt`(default) — Mengenkripsi dan mendekripsi hanya dengan komitmen utama. Nilai ini diperkenalkan dalam versi 2.1. *x*. Ini adalah nilai default dalam versi 2.1. *x* dan kemudian. Dengan nilai ini, CLI AWS Enkripsi tidak akan mendekripsi ciphertext apa pun yang dienkripsi dengan versi sebelumnya. AWS Encryption SDK Untuk informasi terperinci tentang menetapkan kebijakan komitmen Anda, lihat[Migrasi Anda AWS Encryption SDK](migration.md). **--enkripsi-konteks (-c)** Menentukan [konteks enkripsi](crypto-cli-how-to.md#crypto-cli-encryption-context) untuk operasi. Parameter ini tidak diperlukan, tetapi disarankan. + Dalam sebuah `--encrypt` perintah, masukkan satu atau lebih `name=value` pasangan. Gunakan spasi untuk memisahkan pasangan. + Dalam sebuah `--decrypt` perintah, masukkan `name=value` pasangan, `name` elemen tanpa nilai, atau keduanya. Jika `name` atau `value` dalam `name=value` pasangan menyertakan spasi atau karakter khusus, lampirkan seluruh pasangan dalam tanda kutip. Misalnya, `--encryption-context "department=software development"`. **--buffer (-b) [Diperkenalkan dalam versi 1.9. *x* dan 2.2. *x*]** Mengembalikan plaintext hanya setelah semua input diproses, termasuk memverifikasi tanda tangan digital jika ada. **-- max-encrypted-data-keys [Diperkenalkan dalam versi 1.9. *x* dan 2.2. *x*]** Menentukan jumlah maksimum kunci data terenkripsi dalam pesan terenkripsi. Parameter ini bersifat opsional. Nilai yang valid adalah 1 - 65.535. Jika Anda menghilangkan parameter ini, CLI AWS Enkripsi tidak memberlakukan maksimum apa pun. Pesan terenkripsi dapat menampung hingga 65.535 (2^16 - 1) kunci data terenkripsi. Anda dapat menggunakan parameter ini dalam perintah enkripsi untuk mencegah pesan yang salah. Anda dapat menggunakannya dalam perintah dekripsi untuk mendeteksi pesan berbahaya dan menghindari mendekripsi pesan dengan banyak kunci data terenkripsi yang tidak dapat Anda dekripsi. Untuk detail dan contoh, lihat [Membatasi kunci data terenkripsi](configure.md#config-limit-keys). **--bantuan (-h)** Mencetak penggunaan dan sintaks pada baris perintah. **--versi** Mendapat versi CLI AWS Enkripsi. **-v \$1 -vv \$1 -vvv \$1 -vvv** Menampilkan informasi verbose, peringatan, dan pesan debugging. Detail dalam output meningkat dengan jumlah `v` s dalam parameter. Setelan (`-vvvv`) yang paling rinci mengembalikan data tingkat debugging dari AWS CLI Enkripsi dan semua komponen yang digunakannya. **--tenang (-q)** Menekan pesan peringatan, seperti pesan yang muncul saat Anda menimpa file keluaran. **--master-keys (-m) [Usang]** Parameter --master-keys tidak digunakan lagi di 1.8. *x* dan dihapus dalam versi 2.1. *x*. Sebagai gantinya, gunakan parameter [--wrapping-keys](#wrapping-keys). Menentukan [kunci master](concepts.md#master-key) yang digunakan dalam operasi enkripsi dan dekripsi. Anda dapat menggunakan beberapa parameter kunci master di setiap perintah. `--master-keys`Parameter diperlukan dalam perintah enkripsi. Ini diperlukan dalam perintah dekripsi hanya ketika Anda menggunakan penyedia kunci master kustom (non-⸺-AWS KMS). **Atribut**: Nilai `--master-keys` parameter terdiri dari atribut berikut. Formatnya adalah `attribute_name=value`. **kunci** Mengidentifikasi [kunci pembungkus](concepts.md#master-key) yang digunakan dalam operasi. Formatnya adalah pasangan **kunci** = ID. Atribut **kunci** diperlukan di semua perintah enkripsi. Bila Anda menggunakan AWS KMS key dalam perintah enkripsi, nilai atribut **kunci dapat berupa ID kunci**, ARN kunci, nama alias, atau alias ARN. Untuk detail tentang pengidentifikasi AWS KMS kunci, lihat [Pengidentifikasi kunci di Panduan AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) *Pengembang*. Atribut **kunci** diperlukan dalam perintah dekripsi ketika penyedia kunci master tidak. AWS KMS Atribut **kunci** tidak diizinkan dalam perintah yang mendekripsi data yang dienkripsi di bawah file. AWS KMS key Anda dapat menentukan beberapa atribut **kunci** di setiap nilai `--master-keys` parameter. Namun, atribut **penyedia**, **wilayah**, dan **profil** apa pun berlaku untuk semua kunci master dalam nilai parameter. Untuk menentukan kunci master dengan nilai atribut yang berbeda, gunakan beberapa `--master-keys` parameter dalam perintah. **penyedia** Mengidentifikasi [penyedia kunci utama](concepts.md#master-key-provider). Formatnya adalah **penyedia** = pasangan ID. Nilai default, **aws-kms**, mewakili. AWS KMS Atribut ini diperlukan hanya jika penyedia kunci master tidak AWS KMS. **region** Mengidentifikasi Wilayah AWS dari sebuah AWS KMS key. Atribut ini hanya berlaku untuk AWS KMS keys. Ini hanya digunakan ketika pengidentifikasi **kunci** tidak menentukan Wilayah; jika tidak, itu diabaikan. Ketika digunakan, itu mengganti Wilayah default di profil bernama AWS CLI. **profile** Mengidentifikasi [profil AWS CLI bernama](https://docs.aws.amazon.com/cli/latest/userguide/cli-multiple-profiles.html). Atribut ini hanya berlaku untuk AWS KMS keys. Wilayah di profil hanya digunakan ketika pengidentifikasi kunci tidak menentukan Wilayah dan tidak ada atribut **wilayah** dalam perintah. ## Parameter lanjutan **--algoritma** Menentukan [suite algoritma](concepts.md#crypto-algorithm) alternatif. Parameter ini opsional dan hanya valid dalam perintah enkripsi. Jika Anda menghilangkan parameter ini, CLI AWS Enkripsi menggunakan salah satu rangkaian algoritme default untuk yang diperkenalkan AWS Encryption SDK di versi 1.8. *x*. Kedua algoritma default menggunakan AES-GCM dengan [HKDF, tanda tangan ECDSA](https://en.wikipedia.org/wiki/HKDF), dan kunci enkripsi 256-bit. Seseorang menggunakan komitmen utama; yang satu tidak. Pilihan rangkaian algoritma default ditentukan oleh [kebijakan komitmen](concepts.md#commitment-policy) untuk perintah. Suite algoritma default direkomendasikan untuk sebagian besar operasi enkripsi. Untuk daftar nilai yang valid, lihat nilai untuk `algorithm` parameter [di Baca Dokumen.](https://aws-encryption-sdk-cli.readthedocs.io/en/latest/index.html#execution) **--bingkai-panjang** Menciptakan output dengan panjang bingkai yang ditentukan. Parameter ini opsional dan hanya valid dalam perintah enkripsi. Masukkan nilai dalam byte. Nilai yang valid adalah 0 dan 1 - 2^31 - 1. Nilai 0 menunjukkan data yang tidak dibingkai. Defaultnya adalah 4096 (byte). Bila memungkinkan, gunakan data berbingkai. AWS Encryption SDK Mendukung data nonframed hanya untuk penggunaan lama. Beberapa implementasi bahasa masih AWS Encryption SDK dapat menghasilkan ciphertext nonframed. Semua implementasi bahasa yang didukung dapat mendekripsi ciphertext berbingkai dan nonframed. **--max-panjang** Menunjukkan ukuran bingkai maksimum (atau panjang konten maksimum untuk pesan yang tidak dibingkai) dalam byte untuk dibaca dari pesan terenkripsi. Parameter ini opsional dan hanya valid dalam perintah dekripsi. Ini dirancang untuk melindungi Anda dari mendekripsi ciphertext berbahaya yang sangat besar. Masukkan nilai dalam byte. Jika Anda menghilangkan parameter ini, AWS Encryption SDK tidak membatasi ukuran bingkai saat mendekripsi. **--caching** Mengaktifkan fitur [caching kunci data](data-key-caching.md), yang menggunakan kembali kunci data, alih-alih menghasilkan kunci data baru untuk setiap file input. Parameter ini mendukung skenario lanjutan. Pastikan untuk membaca dokumentasi [Data Key Caching](data-key-caching.md) sebelum menggunakan fitur ini. `--caching`Parameter memiliki atribut berikut. **kapasitas (diperlukan)** Menentukan jumlah maksimum entri dalam cache. Nilai minimum adalah 1. Tidak ada nilai maksimum. **max\$1age (wajib)** Tentukan berapa lama entri cache digunakan, dalam hitungan detik, dimulai saat ditambahkan ke cache. Masukkan nilai yang lebih besar dari 0. Tidak ada nilai maksimum. **max\$1messages\$1encrypted (opsional)** Menentukan jumlah maksimum pesan yang dapat dienkripsi oleh entri cache. Nilai yang valid adalah 1 - 2 ^ 32. Nilai default adalah 2 ^ 32 (pesan). **max\$1bytes\$1encrypted (opsional)** Menentukan jumlah maksimum byte yang dapat dienkripsi oleh entri yang di-cache. Nilai yang valid adalah 0 dan 1 - 2^63 - 1. Nilai default adalah 2 ^ 63 - 1 (pesan). Nilai 0 memungkinkan Anda menggunakan caching kunci data hanya ketika Anda mengenkripsi string pesan kosong.