AWS Encryption CLI 的版本 - AWS Encryption SDK
版本 1.8.x 对 AWS Encryption CLI 的更改版本 2.1.x 对 AWS Encryption CLI 的更改版本 1.9.x 和 2.2.x 对 AWS Encryption CLI 的更改版本 3.0.x 对 AWS Encryption CLI 的更改

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Encryption CLI 的版本

我们建议您使用最新版本的 AWS Encryption CLI。

注意

AWS Encryption CLI 4.0.0 之前的版本处于终止支持阶段

您无需更改任何代码或数据即可安全地从 AWS Encryption CLI 版本 2.1.x 及更高版本更新为最新版本。但是,版本 2.1.x 中引入了新的安全功能,不向后兼容。要从版本 1.7.x 或更早版本更新,必须先更新为 AWS Encryption CLI 最新的 1.x 版本。有关详细信息,请参阅 迁移 AWS Encryption SDK

新的安全功能最初是在 AWS Encryption CLI 版本 1.7.x 和 2.0.x 中发布的。但是,AWS Encryption CLI 版本 1.8.x 取代版本 1.7.x,AWS Encryption CLI 2.1.x 取代 2.0.x。有关详细信息,请参阅 GitHub 上的 aws-encryption-sdk-cli 存储库中的相关安全通告

有关 AWS Encryption SDK 重要版本的信息,请参阅 的版本 AWS Encryption SDK

我使用哪个版本?

如果您是 AWS Encryption CLI 的新用户,请使用最新版本。

要解密由版本 1.7.x 之前的 AWS Encryption SDK 版本加密的数据,请首先迁移到最新版本的 AWS Encryption CLI。在更新到 2.1.x 或更高版本之前,请执行所有建议的更改。有关详细信息,请参阅 迁移 AWS Encryption SDK

了解更多

以下列表描述了版本 1.8.x 和 2.1.x 中对 AWS Encryption CLI 的更改。

版本 1.8.x 对 AWS Encryption CLI 的更改

  • 弃用 --master-keys 参数。请改用 --wrapping-keys 参数。

  • 添加 --wrapping-keys (-w) 参数。支持 --master-keys 参数的所有属性。还添加了以下可选属性,这些属性仅在使用 AWS KMS keys 解密时才有效。

    • discovery

    • discovery-partition

    • discovery-account

    对于自定义主密钥提供程序,--encrypt 和 --decrypt 命令需要使用 --wrapping-keys 参数或 --master-keys 参数(但不能两者同时使用)。此外,带 AWS KMS keys 的 --encrypt 命令需要使用 --wrapping-keys 参数或 --master-keys 参数(但不能两者同时使用)。

    在带 AWS KMS keys 的 --decrypt 命令中,--wrapping-keys 参数是可选的,但建议使用,因为在版本 2.1.x 需要使用该参数。如果使用该参数,则必须指定 key 属性或值为 truediscovery 属性(但不能两者同时使用)。

  • 添加 --commitment-policy 参数。唯一有效值为 forbid-encrypt-allow-decryptforbid-encrypt-allow-decrypt 承诺策略用于所有加密和解密命令。

    在版本 1.8.x 中,当您使用 --wrapping-keys 参数时,需要使用值为 forbid-encrypt-allow-decrypt--commitment-policy 参数。明确设置该值可防止您的承诺策略在升级到版本 2.1.x 时自动更改为 require-encrypt-require-decrypt

版本 2.1.x 对 AWS Encryption CLI 的更改

  • 移除 --master-keys 参数。请改用 --wrapping-keys 参数。

  • 在所有加密和解密命令中需要使用 --wrapping-keys 参数。必须指定 key 属性或值为 truediscovery 属性(但不能两者同时使用)。

  • --commitment-policy 参数支持以下值。有关详细信息,请参阅 设置您的承诺策略

    • forbid-encrypt-allow-decrypt

    • require-encrypt-allow-decrypt

    • require-encrypt-require decrypt(默认值)

  • 在版本 2.1.x 中,--commitment-policy 参数是可选的。默认值为 require-encrypt-require-decrypt

版本 1.9.x 和 2.2.x 对 AWS Encryption CLI 的更改

  • 添加 --decrypt-unsigned 参数。有关详细信息,请参阅 版本 2.2.x

  • 添加 --buffer 参数。有关详细信息,请参阅 版本 2.2.x

  • 添加 --max-encrypted-data-keys 参数。有关详细信息,请参阅 限制加密数据密钥

版本 3.0.x 对 AWS Encryption CLI 的更改