翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
以下のコード例は、ReEncrypt
の使用方法を示しています。
- AWS CLI
-
例 1: 異なる対称 KMS キーで暗号化されたメッセージを再暗号化するには (Linux と macOS)
次の
re-encrypt
コマンド例は、 CLI AWS を使用してデータを再暗号化するための推奨方法を示しています。ファイルに暗号文を指定します。
--ciphertext-blob
パラメータの値には、バイナリファイルからデータを読み取るように CLI に指示するfileb://
プレフィックスを使用します。ファイルが現在のディレクトリにない場合は、ファイルへのフルパスを入力します。ファイルから CLI AWS パラメータ値を読み取る方法の詳細については、「」を参照してください。 AWS 「 コマンドラインインターフェイスユーザーガイド」の「ファイル <https://docs.aws.amazon.com/cli/latest/userguide/cli-usage-parameters-file.html> からの AWS CLI パラメータのロード」およびAWS 「 コマンドラインツールブログ」の「ローカルファイルパラメータのベストプラクティス<https://aws.amazon.com/blogs/developer/best-practices-for-local-file-parameters/>」を参照してください。ソース KMS キーを指定します。 は暗号文を復号します。対称暗号化 KMS キーで復号する場合、--source-key-id
パラメータは必要ありません。 AWS KMS は、暗号文 BLOB のメタデータからデータを暗号化するために使用された KMS キーを取得できます。ただし、ベストプラクティスは常に、使用している KMS キーを指定することです。この方法により、意図した KMS キーを使用することができ、信頼できない KMS キーを使用して誤って暗号文を復号するのを防ぐことができます。送信先の KMS キーを指定して、データを再暗号化します。--destination-key-id
パラメータは常に必須です。この例ではキー ARN を使用していますが、有効である限り任意のキー識別子を使用できます。プレーンテキストの出力をテキスト値としてリクエストします。--query
パラメータは、出力からPlaintext
フィールドの値のみを取得するよう CLI に命令します。--output
パラメータは出力を text.Base64 でデコードしたプレーンテキストとして返し、ファイルに保存します。次の例では、Plaintext
パラメータの値を Base64 ユーティリティにパイプ (|) して、Base64 ユーティリティでデコードします。次に、デコードされた出力をExamplePlaintext
ファイルにリダイレクト (>) します。このコマンドを実行する前に、サンプルキー IDsを AWS アカウントの有効なキー識別子に置き換えます。
aws kms re-encrypt \ --ciphertext-blob
fileb://ExampleEncryptedFile
\ --source-key-id1234abcd-12ab-34cd-56ef-1234567890ab
\ --destination-key-id0987dcba-09fe-87dc-65ba-ab0987654321
\ --queryCiphertextBlob
\ --outputtext
|
base64
--decode>
ExampleReEncryptedFile
このコマンドでは何も出力されません。
re-encrypt
コマンドからの出力は base64 でデコードされ、ファイルに保存されます。詳細については、「AWS Key Management Service API リファレンス」の「ReEncrypt」<https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html> を参照してください。
例 2: 異なる対称 KMS キーで暗号化されたメッセージを再暗号化するには (Windows コマンドプロンプト)
次の
re-encrypt
の例は、certutil
ユーティリティを使用してプレーンテキストデータを Base64 でデコードする点を除いて、前の例と同じです。この手順には、次の例に示すように 2 つのコマンドが必要です。このコマンドを実行する前に、サンプルキー ID を AWS アカウントの有効なキー ID に置き換えます。
aws kms re-encrypt
^
--ciphertext-blobfileb://ExampleEncryptedFile
^
--source-key-id1234abcd-12ab-34cd-56ef-1234567890ab
^
--destination-key-id0987dcba-09fe-87dc-65ba-ab0987654321
^
--queryCiphertextBlob
^
--outputtext
>
ExampleReEncryptedFile.base64
その後、
certutil
ユーティリティーを使用します。certutil -decode ExamplePlaintextFile.base64 ExamplePlaintextFile
出力:
Input Length = 18 Output Length = 12 CertUtil: -decode command completed successfully.
詳細については、「AWS Key Management Service API リファレンス」の「ReEncrypt」<https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html> を参照してください。
-
API の詳細については、AWS CLI コマンドリファレンスの「ReEncrypt
」を参照してください。
-
AWS SDK 開発者ガイドとコード例の完全なリストについては、「」を参照してくださいAWS SDK でこのサービスを使用する。このトピックには、使用開始方法に関する情報と、以前の SDK バージョンの詳細も含まれています。