Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # AWS Encryption SDK Sintassi CLI e riferimento ai parametri Questo argomento fornisce diagrammi di sintassi e brevi descrizioni dei parametri per aiutarti a utilizzare l'interfaccia a riga di comando (CLI) AWS Encryption SDK . Per informazioni su come inserire chiavi e altri parametri, consulta. [Come utilizzare la CLI AWS di crittografia](crypto-cli-how-to.md) Per alcuni esempi, consulta [Esempi di CLI AWS di crittografia](crypto-cli-examples.md). Per la documentazione completa, consulta [Leggi i documenti](https://aws-encryption-sdk-cli.readthedocs.io/en/latest/). **Topics** + [AWS Sintassi CLI di crittografia](#crypto-cli-syntax) + [AWS Parametri della riga di comando CLI di crittografia](#crypto-cli-parameters) + [Parametri avanzati](#cli-advanced-parameters) ## AWS Sintassi CLI di crittografia Questi diagrammi di sintassi della CLI di AWS crittografia mostrano la sintassi per ogni attività eseguita con la CLI di crittografia. AWS Rappresentano la sintassi consigliata nella versione 2.1 di AWS Encryption CLI. *x e versioni* successive. Le nuove funzionalità di sicurezza sono state originariamente rilasciate nelle versioni 1.7 di AWS Encryption CLI. *x* e 2.0. *x*. Tuttavia, AWS Encryption CLI versione 1.8. *x* sostituisce la versione 1.7. *x* e AWS Encryption CLI 2.1. *x* sostituisce 2.0. *x.* Per i dettagli, [consulta l'avviso di sicurezza](https://github.com/aws/aws-encryption-sdk-cli/security/advisories/GHSA-2xwp-m7mq-7q3r) pertinente nel [aws-encryption-sdk-cli](https://github.com/aws/aws-encryption-sdk-cli/)repository su. GitHub **Nota** A meno che non sia indicato nella descrizione del parametro, ogni parametro o attributo può essere utilizzato una sola volta in ogni comando. Se si utilizza un attributo non supportato da un parametro, l' AWS Encryption CLI ignora tale attributo non supportato senza un avviso o un errore. **Chiedere aiuto** Per ottenere la sintassi CLI di AWS crittografia completa con le descrizioni dei parametri, usa o. `--help` `-h` ``` aws-encryption-cli (--help | -h) ``` **Ottenere la versione** Per ottenere il numero di versione dell'installazione della CLI di AWS crittografia, utilizzare. `--version` Assicurati di includere la versione quando fai domande, segnali problemi o condividi suggerimenti sull'uso della CLI di AWS crittografia. ``` aws-encryption-cli --version ``` **Crittografare i dati** Il seguente diagramma di sintassi mostra i parametri utilizzati da un comando **encrypt**. ``` aws-encryption-cli --encrypt --input [--recursive] [--decode] --output [--interactive] [--no-overwrite] [--suffix []] [--encode] --wrapping-keys [--wrapping-keys] ... key= [key=] ... [provider=] [region=] [profile=] --metadata-output [--overwrite-metadata] | --suppress-metadata] [--commitment-policy ] [--encryption-context [ ...]] [--max-encrypted-data-keys ] [--algorithm ] [--caching ] [--frame-length ] [-v | -vv | -vvv | -vvvv] [--quiet] ``` **Decrittare i dati** Il seguente diagramma di sintassi mostra i parametri utilizzati da un comando **decrypt**. Nella versione 1.8. *x*, il `--wrapping-keys` parametro è facoltativo durante la decrittografia, ma consigliato. A partire dalla versione 2.1. *x*, il `--wrapping-keys` parametro è necessario per la crittografia e la decrittografia. Infatti AWS KMS keys, puoi utilizzare l'attributo **key** per specificare le chiavi di wrapping (best practice) o impostare l'attributo **discovery** su`true`, che non limita le chiavi di wrapping che la AWS CLI di crittografia può utilizzare. ``` aws-encryption-cli --decrypt (or [--decrypt-unsigned]) --input [--recursive] [--decode] --output [--interactive] [--no-overwrite] [--suffix []] [--encode] --wrapping-keys [--wrapping-keys] ... [key=] [key=] ... [discovery={true|false}] [discovery-partition= discovery-account= [discovery-account=] ...] [provider=] [region=] [profile=] --metadata-output [--overwrite-metadata] | --suppress-metadata] [--commitment-policy ] [--encryption-context [ ...]] [--buffer] [--max-encrypted-data-keys ] [--caching ] [--max-length ] [-v | -vv | -vvv | -vvvv] [--quiet] ``` **Utilizzare i file di configurazione** Puoi consultare i file di configurazione che contengono i parametri e i relativi valori. Ciò equivale a digitare i parametri e i valori nel comando. Per vedere un esempio, consulta [Come archiviare i parametri in un file di configurazione](crypto-cli-how-to.md#crypto-cli-config-file). ``` aws-encryption-cli @ # In a PowerShell console, use a backtick to escape the @. aws-encryption-cli `@ ``` ## AWS Parametri della riga di comando CLI di crittografia Questo elenco fornisce una descrizione di base dei parametri del comando AWS Encryption CLI. Per una descrizione completa, consulta la [aws-encryption-sdk-clidocumentazione](http://aws-encryption-sdk-cli.readthedocs.io/en/latest/). **--crittografa (-e)** Crittografia dei dati di input. Ogni comando deve avere un `--encrypt` `--decrypt-unsigned` parametro o o. `--decrypt` **--decrittografa (-d)** Decrittografia dei dati di input. Ogni comando deve avere un `--decrypt-unsigned` parametro `--encrypt``--decrypt`, o. **--decrypt-unsigned [Introdotto nelle versioni 1.9. *x e* 2.2. *x*]** Il `--decrypt-unsigned` parametro decrittografa il testo cifrato e assicura che i messaggi non siano firmati prima della decrittografia. Utilizzate questo parametro se avete utilizzato il `--algorithm` parametro e selezionato una suite di algoritmi senza firma digitale per crittografare i dati. Se il testo cifrato è firmato, la decrittografia non riesce. È possibile utilizzare `--decrypt` o `--decrypt-unsigned` per la decrittografia, ma non entrambi. **--wrapping-keys (-w) [Introdotto nella versione 1.8. *x*]** Speciifica le chiavi di [wrapping (o chiavi](concepts.md#master-key) *master*) utilizzate nelle operazioni di crittografia e decrittografia. È possibile utilizzare [più `--wrapping-keys` parametri](crypto-cli-how-to.md#cli-many-cmks) in ogni comando. A partire dalla versione 2.1. *x*, il `--wrapping-keys` parametro è obbligatorio nei comandi encrypt e decrypt. Nella versione 1.8. *x*, i comandi encrypt richiedono un `--master-keys` parametro `--wrapping-keys` o. Nella versione 1.8. comandi *x* decrypt, un `--wrapping-keys` parametro è facoltativo ma consigliato. ****Quando si utilizza un provider di chiavi master personalizzato, i comandi di crittografia e decrittografia richiedono gli attributi della chiave e del provider.**** **Quando vengono utilizzati AWS KMS keys, i comandi di crittografia richiedono un attributo chiave.** I comandi di decrittografia richiedono un attributo **chiave** o un attributo **discovery** con un valore pari a `true` (ma non entrambi). [L'utilizzo dell'attributo **key** durante la decrittografia è una procedura consigliata.AWS Encryption SDK](best-practices.md) È particolarmente importante se stai decriptando batch di messaggi sconosciuti, come quelli contenuti in un bucket Amazon S3 o in una coda Amazon SQS. Per un esempio che mostra come utilizzare le chiavi multiregionali come chiavi di avvolgimento, consulta AWS KMS . [Utilizzo di più regioni AWS KMS keys](configure.md#config-mrks) **Attributi**: il valore del parametro `--wrapping-keys` consiste nei seguenti attributi. Il formato è `attribute_name=value`. **Chiave** Identifica la chiave di avvolgimento utilizzata nell'operazione. Il formato è una coppia **chiave**=ID. È possibile specificare più attributi delle **chiavi** in ogni valore del parametro `--wrapping-keys`. + **Comandi di **crittografia: tutti i comandi** di crittografia richiedono l'attributo key.** Quando si utilizza un comando AWS KMS key in a encrypt, il valore dell'attributo **key** può essere un ID chiave, un ARN di chiave, un nome alias o un alias ARN. *Per le descrizioni degli identificatori di AWS KMS chiave, consulta Identificatori di chiave nella Guida [per](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) gli sviluppatori.AWS Key Management Service * + **Comandi di decrittografia**: durante la decrittografia con AWS KMS keys, il `--wrapping-keys` parametro richiede un attributo **chiave** con un valore [ARN](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id-key-ARN) chiave o un attributo **discovery** con un valore pari a (ma non entrambi). `true` [L'utilizzo dell'attributo **key è una procedura consigliata**.AWS Encryption SDK](best-practices.md) Quando si esegue la decrittografia con un provider di chiavi master personalizzato, l'attributo **key** è obbligatorio. **Nota** Per specificare una chiave di AWS KMS wrapping in un comando decrypt, il valore dell'attributo **key** deve essere un ARN di chiave. Se si utilizza un ID chiave, un nome alias o un alias ARN, la AWS CLI di crittografia non riconosce la chiave di wrapping. È possibile specificare più attributi delle **chiavi** in ogni valore del parametro `--wrapping-keys`. Tuttavia, qualsiasi attributo **di provider**, **regione** e **profilo** in un `--wrapping-keys` parametro si applica a tutte le chiavi di wrapping incluse nel valore del parametro. Per specificare chiavi di wrapping con valori di attributo diversi, utilizzate più `--wrapping-keys` parametri nel comando. **scoperta** Consente alla CLI di AWS crittografia di utilizzare qualsiasi opzione per AWS KMS key decrittografare il messaggio. Il valore di **scoperta** può essere o. `true` `false` Il valore predefinito è `false`. L'attributo **discovery** è valido solo nei comandi di decrittografia e solo quando il provider della chiave principale lo è. AWS KMS Quando si decrittografa con AWS KMS keys, il `--wrapping-keys` parametro richiede un attributo **chiave** o un attributo **discovery** con un valore pari a `true` (ma non entrambi). Se si utilizza l'attributo **key**, è possibile utilizzare un attributo **discovery** con un valore pari a per `false` rifiutare esplicitamente la scoperta. + `False`(impostazione predefinita) — Quando l'attributo **discovery** non è specificato o il suo valore è`false`, la CLI di AWS crittografia decrittografa il messaggio utilizzando solo l'attributo chiave AWS KMS keys specificato dall'attributo **chiave del parametro**. `--wrapping-keys` Se non si specifica un attributo **chiave** al momento del rilevamento`false`, il comando decrypt ha esito negativo. Questo valore supporta una [best](best-practices.md) practice di AWS crittografia CLI. + `True`— Quando il valore dell'attributo **discovery** è`true`, la CLI di AWS crittografia ottiene i metadati AWS KMS keys del messaggio crittografato e li utilizza AWS KMS keys per decrittografare il messaggio. L'attributo **discovery** con un valore di `true` si comporta come le versioni dell' AWS Encryption CLI precedenti alla versione 1.8. *x* che non permetteva di specificare una chiave di wrapping durante la decrittografia. Tuttavia, la tua intenzione di utilizzarne uno è esplicita. AWS KMS key Se si specifica un attributo **chiave** quando il rilevamento è attivo`true`, il comando decrypt ha esito negativo. Il `true` valore potrebbe causare l'utilizzo della CLI di AWS crittografia AWS KMS keys in diverse Account AWS regioni o il tentativo di utilizzare qualcosa AWS KMS keys che l'utente non è autorizzato a utilizzare. In caso di **rilevamento**`true`, è consigliabile utilizzare gli attributi **discovery-partition e **discovery-account**** per limitare l' AWS KMS keys utilizzo a quelli specificati. Account AWS **discovery-account** Limita quelli AWS KMS keys usati per la decrittografia a quelli specificati. Account AWS[L'unico valore valido per questo attributo è un Account AWS ID.](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html) Questo attributo è facoltativo e valido solo nei comandi di decrittografia in AWS KMS keys cui è impostato l'attributo **discovery** `true` e viene specificato l'attributo **discovery-partition**. **Ogni attributo **discovery-account** richiede un solo Account AWS ID, ma è possibile specificare più attributi discovery-account nello stesso parametro.** `--wrapping-keys` Tutti gli account specificati in un determinato `--wrapping-keys` parametro devono trovarsi nella partizione specificata. AWS **partizione discovery** **Speciifica la AWS partizione per gli account nell'attributo discovery-account.** Il suo valore deve essere una AWS partizione, ad esempio, o. `aws` `aws-cn` `aws-gov-cloud` Per informazioni, consulta [Amazon Resource Names](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arns-syntax) nel *Riferimenti generali di AWS*. Questo attributo è obbligatorio quando utilizzi l'attributo **discovery-account**. È possibile specificare un solo attributo **discovery-partition** in ogni parametro. `--wrapping keys` Per specificare Account AWS in più partizioni, utilizzare un parametro aggiuntivo. `--wrapping-keys` **provider** Identifica il [provider della chiave master](concepts.md#master-key-provider). Il formato è una coppia **provider**=ID. Il valore predefinito, **aws-kms**, rappresenta. AWS KMS Questo attributo è richiesto solo quando il fornitore della chiave principale non lo è. AWS KMS **region** Identifica il Regione AWS di un AWS KMS key. Questo attributo è valido solo per AWS KMS keys. È utilizzato solo quando l'identificatore della **chiave** non specifica una regione. In caso contrario, verrà ignorato. Quando viene utilizzato, sovrascrive la regione predefinita nel profilo denominato AWS CLI. **profile** [Identifica un profilo denominato. AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-multiple-profiles.html) Questo attributo è valido solo per AWS KMS keys. La regione nel profilo è utilizzata solo quando l'identificatore chiave non consente di specificare una regione e non è previsto alcun attributo **regione** nel comando. **--input (-i)** Specifica la posizione dei dati da crittografare o decrittografare. Questo parametro è obbligatorio. Il valore può essere un percorso a un file o a una directory o un modello di nome di file. Se stai reindirizzando input al comando (stdin), utilizza `-`. Se l'input non esiste, il comando viene completato correttamente, senza errori o avvertenze. **--recursive (-r, -R)** Esegue l'operazione sul file nella directory di input e nelle relative sottodirectory. Questo parametro è obbligatorio quando il valore di `--input` è una directory. **--decode** Decodifica input codificati Base64. Se stai decrittografando un messaggio che è stato crittografato e quindi codificato, è necessario decodificare il messaggio prima di decrittografarlo. Questo parametro lo fa per te. Ad esempio, se utilizzi il parametro `--encode` in un comando di crittografia, utilizza il parametro `--decode` nel comando di decrittografia corrispondente. È inoltre possibile utilizzare questo parametro per decodificare l'input codificati Base64 prima di crittografarlo. **--output (-o)** Specifica una destinazione per l'output. Questo parametro è obbligatorio. Il valore può essere un nome di file, una directory esistente oppure `-`, che scrive l'output sulla riga di comando (stdout). Se la directory di output specificata non esiste, il comando ha esito negativo. Se l'input contiene sottodirectory, l'Encryption AWS CLI riproduce le sottodirectory nella directory di output specificata. Per impostazione predefinita, l' AWS Encryption CLI sovrascrive i file con lo stesso nome. Per modificare questo comportamento, utilizza i parametri `--interactive` o `--no-overwrite`. Per annullare l'avvertenza relativa alla sovrascrittura, utilizza il parametro `--quiet`. Se un comando che sovrascrive un file di output ha esito negativo, il file di output viene eliminato. **--interattivo** Chiede prima di sovrascrivere il file. **--nessuna sovrascrittura** Non sovrascrive i file. Invece, se il file di output esiste, la CLI di AWS crittografia ignora l'input corrispondente. **--suffisso** Speciifica un suffisso di nome file personalizzato per i file creati dalla AWS CLI di crittografia. Per indicare l'assenza di un suffisso, utilizza il parametro con nessun valore (`--suffix`). Per impostazione predefinita, quando il parametro `--output` non specifica un nome di file, il nome del file di output ha lo stesso nome del nome del file di input più il suffisso. Il suffisso per i comandi di crittografia è `.encrypted`. Il suffisso per i comandi di decrittografia è `.decrypted`. **--encode** Applica la codifica Base64 (da binario a testo) all'output. La codifica evita che il programma host shell interpreti erroneamente i caratteri non ASCII nel testo di output. Utilizzate questo parametro quando scrivete un output crittografato su stdout (`--output -`), specialmente in una PowerShell console, anche quando reindirizzate l'output a un altro comando o lo salvate in una variabile. **--metadata-output** Specifica una posizione per i metadati relativi alle operazioni di crittografia. Inserisci un percorso e un nome di file. Se la directory non esiste, il comando ha esito negativo. Per scrivere i metadati nella riga di comando (stdout), utilizza `-`. Non è possibile scrivere l'output di comando (`--output`) e l'output dei metadati (`--metadata-output`) su stdout nello stesso comando. Inoltre, quando il valore di `--input` o di `--output` è una directory (senza nomi di file), non è possibile scrivere l'output dei metadati nella stessa directory o in qualsiasi sottodirectory di tale directory. Se si specifica un file esistente, per impostazione predefinita, la CLI di AWS crittografia aggiunge nuovi record di metadati a qualsiasi contenuto del file. Questa funzione consente di creare un singolo file che contiene i metadati per tutte le operazioni di crittografia. Per sovrascrivere i contenuti in un file esistente, utilizza il parametro `--overwrite-metadata`. L' AWS Encryption CLI restituisce un record di metadati in formato JSON per ogni operazione di crittografia o decrittografia eseguita dal comando. Ogni record dei metadati include i percorsi completi al file di input e di output, il contesto di crittografia, la suite di algoritmi e altre informazioni utili che puoi utilizzare per rivedere l'operazione e verificare che soddisfi gli standard di sicurezza. **--overwrite-metadata** Sovrascrive i contenuti nel file di output dei metadati. Per impostazione predefinita, il parametro `--metadata-output` aggiunge i metadati a qualsiasi contenuto esistente nel file. **--suppress-metadata (-S)** Sopprime i metadati relativi all'operazione di crittografia o decrittografia. **--politica-di impegno** Speciifica la [politica di impegno per i comandi](concepts.md#commitment-policy) di crittografia e decrittografia. [La politica di impegno determina se il messaggio è crittografato e decrittografato con la funzionalità di sicurezza Key Commitment.](concepts.md#key-commitment) Il `--commitment-policy` parametro è stato introdotto nella versione 1.8. *x*. È valido nei comandi di crittografia e decrittografia. **Nella versione 1.8. ***x*, l' AWS Encryption CLI utilizza la politica di `forbid-encrypt-allow-decrypt` impegno per tutte le operazioni di crittografia e decrittografia. Quando si utilizza il `--wrapping-keys` parametro in un comando encrypt o decrypt, è necessario un `--commitment-policy` parametro con il valore. `forbid-encrypt-allow-decrypt` Se non si utilizza il `--wrapping-keys` parametro, il `--commitment-policy` parametro non è valido. L'impostazione di una politica di impegno impedisce esplicitamente che la politica di impegno venga modificata automaticamente al `require-encrypt-require-decrypt` momento dell'aggiornamento alla versione 2.1. *x* A partire dalla **versione 2.1. ***x*, tutti i valori della politica di impegno sono supportati. Il `--commitment-policy` parametro è facoltativo e il valore predefinito è`require-encrypt-require-decrypt`. Questo parametro ha i seguenti valori: + `forbid-encrypt-allow-decrypt`— Non è possibile crittografare con l'impegno della chiave. Può decrittografare testi cifrati crittografati con o senza impegno di chiave. Nella versione 1.8. *x*, questo è l'unico valore valido. L' AWS Encryption CLI utilizza la politica di `forbid-encrypt-allow-decrypt` impegno per tutte le operazioni di crittografia e decrittografia. + `require-encrypt-allow-decrypt`— Crittografa solo con un impegno chiave. Decifra con e senza impegno chiave. Questo valore è stato introdotto nella versione 2.1. *x*. + `require-encrypt-require-decrypt`(impostazione predefinita): crittografa e decrittografa solo con un impegno chiave. Questo valore è stato introdotto nella versione 2.1. *x*. È il valore predefinito nelle versioni 2.1. *x* e versioni successive. Con questo valore, la CLI di AWS crittografia non decripterà alcun testo cifrato crittografato con versioni precedenti di. AWS Encryption SDK Per informazioni dettagliate sull'impostazione della politica di impegno, consulta. [Migrazione del tuo AWS Encryption SDK](migration.md) **--encryption-context (-c)** Specifica un [contesto di crittografia](crypto-cli-how-to.md#crypto-cli-encryption-context) per l'operazione. Questa parametro non è obbligatorio, ma è consigliato. + In un comando `--encrypt`, immetti una o più coppie `name=value`. Utilizza gli spazi per separare le coppie. + In un `--decrypt` comando, immettete `name=value` coppie, `name` elementi senza valori o entrambi. Se `name` o `value` in una coppia `name=value` include spazi o caratteri speciali, racchiudi la coppia completa tra virgolette. Ad esempio, `--encryption-context "department=software development"`. **--buffer (-b) [Introdotto nelle versioni 1.9. *x* e 2.2. *x*]** Restituisce il testo in chiaro solo dopo l'elaborazione di tutti gli input, inclusa la verifica della firma digitale, se presente. **-- max-encrypted-data-keys [Introdotto nelle versioni 1.9. *x* e 2.2. *x*]** Speciifica il numero massimo di chiavi di dati crittografate in un messaggio crittografato. Questo parametro è facoltativo. I valori validi sono compresi tra 1 e 65.535. Se si omette questo parametro, l' AWS Encryption CLI non impone alcun valore massimo. Un messaggio crittografato può contenere fino a 65.535 (2^16 - 1) chiavi dati crittografate. È possibile utilizzare questo parametro nei comandi di crittografia per prevenire un messaggio in formato errato. È possibile utilizzarlo nei comandi di decrittografia per rilevare messaggi dannosi ed evitare di decrittografare i messaggi con numerose chiavi di dati crittografate che non è possibile decrittografare. Per informazioni dettagliate e un esempio, consulta [Limitazione delle chiavi di dati crittografate](configure.md#config-limit-keys). **--help (-h)** Stampa utilizzo e sintassi nella riga di comando. **--version** Ottiene la versione della CLI di AWS crittografia. **-v \$1 -vv \$1 -vvv \$1 -vvvv** Visualizza informazioni, avvisi e messaggi di debug verbosi. Il dettaglio nell'output aumenta con il numero di `v` nel parametro. L'impostazione più dettagliata (`-vvvv`) restituisce i dati a livello di debug dalla AWS CLI di crittografia e da tutti i componenti che utilizza. **--quiet (-q)** Sopprime messaggi di avviso, ad esempio il messaggio visualizzato quando si sovrascrive un file di output. **--master-keys (-m) [Obsoleto]** Il parametro --master-keys è obsoleto nella versione 1.8. *x* e rimosso nella versione 2.1. *x*. Usa invece il parametro [--wrapping-keys](#wrapping-keys). Specifica le [chiavi master](concepts.md#master-key) utilizzate nelle operazioni di crittografia e decrittografia. È possibile utilizzare i parametri di più chiavi master in ogni comando. Il parametro `--master-keys` è obbligatorio nei comandi di crittografia. È richiesto nei comandi di decrittografia solo quando si utilizza un provider di chiavi master personalizzato (non).AWS KMS **Attributi**: il valore del parametro `--master-keys` consiste nei seguenti attributi. Il formato è `attribute_name=value`. **Chiave** Identifica la [chiave di avvolgimento](concepts.md#master-key) utilizzata nell'operazione. Il formato è una coppia **chiave**=ID. L'attributo **chiave** è obbligatorio in tutti i comandi di crittografia. Quando si utilizza un comando AWS KMS key in a encrypt, il valore dell'attributo **key** può essere un ID chiave, un ARN di chiave, un nome alias o un alias ARN. *Per i dettagli sugli identificatori di AWS KMS chiave, consulta Identificatori di [chiave](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) nella Guida per gli sviluppatori.AWS Key Management Service * L'attributo **key** è obbligatorio nei comandi di decrittografia quando il fornitore della chiave principale non lo è. AWS KMS L'attributo **key** non è consentito nei comandi che decrittografano i dati crittografati con un. AWS KMS key È possibile specificare più attributi delle **chiavi** in ogni valore del parametro `--master-keys`. Tuttavia, qualsiasi attributo di **provider**, **regione** e **profilo** si applica a tutte le chiavi master nel valore del parametro. Per specificare le chiavi master con differenti valori degli attributi, utilizza più parametri `--master-keys` nel comando. **provider** Identifica il [provider della chiave master](concepts.md#master-key-provider). Il formato è una coppia **provider**=ID. Il valore predefinito, **aws-kms, rappresenta**. AWS KMS Questo attributo è richiesto solo quando il fornitore della chiave principale non lo è. AWS KMS **region** Identifica il Regione AWS di un AWS KMS key. Questo attributo è valido solo per AWS KMS keys. È utilizzato solo quando l'identificatore della **chiave** non specifica una regione. In caso contrario, verrà ignorato. Quando viene utilizzato, sovrascrive la regione predefinita nel profilo denominato AWS CLI. **profile** [Identifica un profilo denominato. AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-multiple-profiles.html) Questo attributo è valido solo per AWS KMS keys. La regione nel profilo è utilizzata solo quando l'identificatore chiave non consente di specificare una regione e non è previsto alcun attributo **regione** nel comando. ## Parametri avanzati **--algorithm** Specifica una [suite di algoritmi](concepts.md#crypto-algorithm) alternativa. Questo parametro è facoltativo ed è valido solo nei comandi di crittografia. Se si omette questo parametro, la CLI di AWS crittografia utilizza una delle suite di algoritmi predefinite per la versione introdotta AWS Encryption SDK nella versione 1.8. *x.* Entrambi gli algoritmi predefiniti utilizzano AES-GCM con un [HKDF, una firma ECDSA](https://en.wikipedia.org/wiki/HKDF) e una chiave di crittografia a 256 bit. Uno usa l'impegno chiave, l'altro no. La scelta della suite di algoritmi predefinita è determinata dalla [politica di impegno](concepts.md#commitment-policy) per il comando. Le suite di algoritmi predefinite sono consigliate per la maggior parte delle operazioni di crittografia. Per un elenco dei valori validi, consulta i valori per il parametro `algorithm` in [Leggi i documenti](https://aws-encryption-sdk-cli.readthedocs.io/en/latest/index.html#execution). **--frame-length** Crea output con una lunghezza frame specificata. Questo parametro è facoltativo ed è valido solo nei comandi di crittografia. Inserisci un valore in byte. I valori validi sono 0 e 1 — 2^31 - 1. Il valore 0 indica dati senza frame. L'impostazione predefinita è 4096 (byte). Quando possibile, utilizza dati con frame. AWS Encryption SDK Supporta dati senza frame solo per uso precedente. Alcune implementazioni linguistiche di AWS Encryption SDK possono ancora generare testo cifrato senza frame. Tutte le implementazioni linguistiche supportate possono decrittografare testo cifrato con e senza frame. **--max-length** Indica la dimensione massima del frame (o la lunghezza massima dei contenuti per messaggi non framed) in byte per leggere i messaggi crittografati. Questo parametro è facoltativo ed è valido solo nei comandi di decrittografia. È concepito per proteggerti dalla decrittografia di testo cifrato dannoso di grandi dimensioni. Inserisci un valore in byte. Se si omette questo parametro, non limita la dimensione del frame durante la decrittografia AWS Encryption SDK . **--caching** Abilita la funzionalità di [caching della chiave dei dati](data-key-caching.md), che riutilizza le chiavi di dati, invece di generare una nuova chiave di dati per ogni file di input. Questo parametro supporta uno scenario avanzato. Assicurati di leggere la documentazione [Caching della chiave dei dati](data-key-caching.md) prima di utilizzare questa funzionalità. Il parametro `--caching` ha i seguenti attributi. **capacità (obbligatorio)** Stabilisce il numero massimo di voci nella cache. Il valore minimo è 1. Non è previsto un valore massimo. **max\$1age (obbligatorio)** Determina per quanto tempo vengono utilizzate le voci della cache, in secondi, a partire dal momento in cui vengono aggiunte alla cache. Immetti un valore superiore a 0. Non è previsto un valore massimo. **max\$1messages\$1encrypted (opzionale)** Stabilisce il numero massimo di messaggi che una voce nella cache è in grado di crittografare. I valori validi sono 1 — 2^32. Il valore predefinito è 2^32 (messaggi). **max\$1bytes\$1encrypted (opzionale)** Stabilisce il numero massimo di byte che una voce nella cache è in grado di crittografare. I valori validi sono 0 e 1 — 2^63 - 1. Il valore predefinito è 2^63 - 1 (messaggi). Il valore 0 consente di utilizzare il caching della chiave di dati solo quando stai crittografando stringhe di messaggio vuote.