AWS Encryption SDK CLI – Syntax und Parameterreferenz - AWS Encryption SDK
AWSVerschlüsselung, CLI-SyntaxAWSVerschlüsselungs-CLI-BefehlszeilenparameterErweiterte Parameter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Encryption SDK CLI – Syntax und Parameterreferenz

Dieses Thema enthält Syntaxdiagramme und kurze Parameterbeschreibungen, die Ihnen bei der Verwendung des AWS Encryption SDK Command Line Interface (CLI, Befehlszeilenschnittstelle) helfen. Hilfe zum Umschließen von Schlüsseln und anderen Parametern finden Sie unterSo verwenden Sie die AWS Encryption CLI. Beispiele finden Sie unter Beispiele für dieAWSCLI für Verschlüsselung. Eine vollständige Dokumentation finden Sie in Read the Docs.

AWSVerschlüsselung, CLI-Syntax

Diese Syntaxdiagramme derAWS Verschlüsselungs-CLI zeigen die Syntax für jede Aufgabe, die Sie mit derAWS Verschlüsselungs-CLI ausführen. Sie stellen die empfohlene Syntax inAWS Encryption CLI Version 2.1 dar. x und später.

Neue Sicherheitsfunktionen wurden ursprünglich in den Versionen 1.7 derAWS Encryption CLI veröffentlicht. x und 2.0. x. AllerdingsAWS Encryption CLI Version 1.8. x ersetzt Version 1.7. x undAWS Encryption CLI 2.1. x ersetzt 2.0. x. Einzelheiten finden Sie in der entsprechenden Sicherheitsempfehlung im aws-encryption-sdk-cliRepository unter GitHub.

Anmerkung

Sofern in der Parameterbeschreibung nicht anders angegeben, kann jeder Parameter oder jedes Attribut in jedem Befehl nur einmal verwendet werden.

Wenn Sie ein Attribut verwenden, das ein Parameter nicht unterstützt, ignoriert dieAWS Verschlüsselungs-CLI dieses nicht unterstützte Attribut ohne Warnung oder Fehler.

Hilfe anfordern

Um die vollständigeAWS Verschlüsselungs-CLI-Syntax mit Parameterbeschreibungen zu erhalten, verwenden Sie--help oder-h.

aws-encryption-cli (--help | -h)
Die Version abrufen

Um die Versionsnummer IhrerAWS Encryption CLI-Installation zu erhalten, verwenden Sie--version. Geben Sie unbedingt die Version an, wenn Sie Fragen stellen, Probleme melden oder Tipps zur Verwendung derAWS Verschlüsselungs-CLI geben.

aws-encryption-cli --version
Daten verschlüsseln

Das folgende Syntaxdiagramm zeigt die Parameter, die ein encrypt-Befehl verwendet. 

aws-encryption-cli --encrypt
                   --input <input> [--recursive] [--decode]
                   --output <output> [--interactive] [--no-overwrite] [--suffix [<suffix>]] [--encode]
                   --wrapping-keys  [--wrapping-keys] ...
                       key=<keyID> [key=<keyID>] ...
                       [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>]
                   --metadata-output <location> [--overwrite-metadata] | --suppress-metadata]
                   [--commitment-policy <commitment-policy>]
                   [--encryption-context <encryption_context> [<encryption_context> ...]]
                   [--max-encrypted-data-keys <integer>]
                   [--algorithm <algorithm_suite>]
                   [--caching <attributes>] 
                   [--frame-length <length>]
                   [-v | -vv | -vvv | -vvvv]
                   [--quiet]
Daten entschlüsseln

Das folgende Syntaxdiagramm zeigt die Parameter, die ein decrypt-Befehl verwendet.

In Version 1.8 x, der--wrapping-keys Parameter ist beim Entschlüsseln optional, wird aber empfohlen. Beginnend mit Version 2.1 x, der--wrapping-keys Parameter ist beim Verschlüsseln und Entschlüsseln erforderlich. Denn Sie können das Schlüsselattribut verwendenAWS KMS keys, um Wrapping-Schlüssel anzugeben (bewährte Methode), oder das Discovery-Attribut auf festlegentrue, wodurch die Wrapping-Schlüssel, die dieAWS Verschlüsselungs-CLI verwenden kann, nicht eingeschränkt werden.

aws-encryption-cli --decrypt (or [--decrypt-unsigned]) 
                   --input <input> [--recursive] [--decode]
                   --output <output> [--interactive] [--no-overwrite]  [--suffix [<suffix>]] [--encode]           
                   --wrapping-keys  [--wrapping-keys] ...
                       [key=<keyID>] [key=<keyID>] ...
                       [discovery={true|false}] [discovery-partition=<aws-partition-name> discovery-account=<aws-account-ID> [discovery-account=<aws-account-ID>] ...] 
                       [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>]
                   --metadata-output <location> [--overwrite-metadata] | --suppress-metadata]
                   [--commitment-policy <commitment-policy>]
                   [--encryption-context <encryption_context> [<encryption_context> ...]]
                   [--buffer]
                   [--max-encrypted-data-keys <integer>]
                   [--caching <attributes>]
                   [--max-length <length>]
                   [-v | -vv | -vvv | -vvvv]
                   [--quiet]
Konfigurationsdateien verwenden

Sie können auf Konfigurationsdateien verweisen, die Parameter und deren Werte enthalten. Dies ist gleichwertig mit der Eingabe der Parameter und Werte im Befehl. Ein Beispiel finden Sie unter Parameter in einer Konfigurationsdatei speichern.

aws-encryption-cli @<configuration_file>

# In a PowerShell console, use a backtick to escape the @.
aws-encryption-cli `@<configuration_file>

AWSVerschlüsselungs-CLI-Befehlszeilenparameter

Diese Liste enthält eine grundlegende Beschreibung der Befehlsparameter derAWS Verschlüsselungs-CLI. Eine vollständige Beschreibung finden Sie in der aws-encryption-sdk-cliDokumentation.

--encrypt (-e)

Verschlüsselt die Eingabedaten. Jeder Befehl muss einen--decrypt-unsigned Parameter--encrypt, oder--decrypt, oder haben.

--decrypt (-d)

Entschlüsselt die Eingabedaten. Jeder Befehl muss einen--encrypt--decrypt, oder--decrypt-unsigned -Parameter haben.

--decrypt-unsigned [Eingeführt in Versionen 1.9. x und 2.2. x]

Der--decrypt-unsigned Parameter entschlüsselt den Chiffretext und stellt sicher, dass Nachrichten vor der Entschlüsselung nicht signiert sind. Verwenden Sie diesen Parameter, wenn Sie den--algorithm Parameter verwendet und eine Algorithmussuite ohne digitale Signatur zum Verschlüsseln von Daten ausgewählt haben. Wenn der Chiffretext signiert ist, schlägt die Entschlüsselung fehl.

Sie können--decrypt oder--decrypt-unsigned zur Entschlüsselung verwenden, aber nicht beides.

--wrapping-keys (-w) [In Version 1.8 eingeführt. x]

Gibt die Wrapping-Schlüssel (oder Master-Schlüssel) an, die bei Verschlüsselungs- und Entschlüsselungsvorgängen verwendet werden. Sie können in jedem Befehl mehrere--wrapping-keys Parameter verwenden.

Beginnend mit Version 2.1 x, der--wrapping-keys Parameter ist in Befehlen zum Verschlüsseln und Entschlüsseln erforderlich. In Version 1.8 x, Verschlüsselungsbefehle erfordern--wrapping-keys entweder einen--master-keys Oder-Parameter. In Version 1.8 x Befehle entschlüsseln, ein--wrapping-keys Parameter ist optional, wird aber empfohlen.

Wenn Sie einen benutzerdefinierten Master-Key-Anbieter verwenden, erfordern Verschlüsselungs- und Entschlüsselungsbefehle Schlüssel - und Anbieterattribute. Bei der Verwendung vonAWS KMS keys Verschlüsselungsbefehlen ist ein Schlüsselattribut erforderlich. Entschlüsselungsbefehle erfordern ein Schlüsselattribut oder ein Discovery-Attribut mit einem Wert vontrue (aber nicht beiden). Die Verwendung des Schlüsselattributs beim Entschlüsseln ist eine AWS Encryption SDKbewährte Methode. Dies ist besonders wichtig, wenn Sie Stapel unbekannter Nachrichten entschlüsseln, z. B. solche in einem Amazon S3 S3-Bucket oder einer Amazon SQS SQS-Warteschlange.

Ein Beispiel, das zeigt, wie Schlüssel fürAWS KMS mehrere Regionen als Wrapping-Schlüssel verwendet werden, finden Sie unterVerwenden Sie mehrere Regionen AWS KMS keys.

Attribute: Der Wert des --wrapping-keys-Parameters besteht aus den folgenden Attributen. Das Format ist attribute_name=value.

Schlüssel

Identifiziert den Wrapping-Schlüssel, der bei der Operation verwendet wurde. Das Format ist ein key= ID-Paar. Sie können mehrere key-Attribute in jedem --wrapping-keys-Parameterwert angeben.

  • Verschlüsselungsbefehle: Alle Verschlüsselungsbefehle benötigen das Schlüsselattribut. Wenn Sie einen BefehlAWS KMS key in einem Schlüssel-ARN, kann der Wert des Schlüssel-Attributs eine Schlüssel-ID, einen Schlüssel-ARN, einen Alias-Namen oder Alias-ARN sein. Eine Beschreibung derAWS KMS Schlüsselkennungen finden Sie unter Schlüsselkennungen im AWS Key Management ServiceEntwicklerhandbuch.

  • Befehle entschlüsseln: Beim Entschlüsseln mitAWS KMS keys benötigt der--wrapping-keys Parameter ein Schlüsselattribut mit einem Schlüssel-ARN-Wert oder ein Discovery-Attribut mit einem Wert vontrue (aber nicht beiden). Die Verwendung des Schlüsselattributs ist eine AWS Encryption SDKbewährte Methode. Bei der Entschlüsselung mit einem benutzerdefinierten Master-Key-Anbieter ist das Schlüsselattribut erforderlich.

    Anmerkung

    Um einenAWS KMS Wrapping-Schlüssel in einem Entschlüsselungsbefehl anzugeben, muss der Wert des Schlüsselattributs ein Schlüssel-ARN sein. Wenn Sie eine Schlüssel-ID, einen Alias-Namen oder einen Alias-ARN verwenden, erkennt dieAWS Verschlüsselungs-CLI den Schlüssel-Schlüssel-Schlüssel-Schlüssel-Schlüssel-ARN nicht.

Sie können mehrere key-Attribute in jedem --wrapping-keys-Parameterwert angeben. Alle Anbieter -, Regions - und Profilattribute in einem--wrapping-keys Parameter gelten jedoch für alle Wrapping-Schlüssel in diesem Parameterwert. Verwenden Sie mehrere--wrapping-keys Parameter im Befehl, um Wrapping-Schlüssel mit unterschiedlichen Attributwerten anzugeben.

Entdeckung

Ermöglicht derAWS Verschlüsselungs-CLI, eine beliebige MethodeAWS KMS key zum Entschlüsseln der Nachricht zu verwenden. Der Entdeckungswert kanntrue oder seinfalse. Der Standardwert ist false. Das Discovery-Attribut ist nur in Entschlüsselungsbefehlen gültig und nur, wenn der Master-Schlüsselanbieter dies istAWS KMS.

Beim Entschlüsseln mitAWS KMS keys benötigt der--wrapping-keys Parameter ein Schlüsselattribut oder ein Discovery-Attribut mit einem Wert vontrue (aber nicht beiden). Wenn Sie das Schlüsselattribut verwenden, können Sie ein Discovery-Attribut mit dem Wert von verwenden,false um die Erkennung explizit abzulehnen.

  • False(Standard) — Wenn das Discovery-Attribut nicht angegeben ist oder sein Wert istfalse, entschlüsselt dieAWS Verschlüsselungs-CLI die Nachricht nur mit dem durch den SchlüsselAWS KMS keys angegebenen Attribut des--wrapping-keys Parameters. Wenn Sie kein Schlüsselattribut angeben, wenn Discovery aktiviert istfalse, schlägt der Befehl decrypt fehl. Dieser Wert unterstützt eine bewährte Methode für dieAWS Verschlüsselungs-CLI.

  • True— Wenn der Wert des Discovery-Attributs auf isttrue, ruft dieAWS Verschlüsselungs-CLI die MetadatenAWS KMS keys aus der verschlüsselten Nachricht ab und verwendet diese,AWS KMS keys um die Nachricht zu entschlüsseln. Das Discovery-Attribut mit dem Wert vontrue verhält sich wie Versionen derAWS Verschlüsselungs-CLI vor Version 1.8. x, das es Ihnen nicht erlaubte, beim Entschlüsseln einen Wrapping-Schlüssel anzugeben. Ihre Absicht, welche zu verwenden,AWS KMS key ist jedoch ausdrücklich. Wenn Sie bei Discovery ein Schlüsselattribut angebentrue, schlägt der Entschlüsselungsbefehl fehl.

    Dertrue Wert kann dazu führen, dass dieAWS Verschlüsselungs-CLIAWS KMS keys in verschiedenenAWS-Konten Regionen verwendet wird oder versucht, eine Verwendung zu verwendenAWS KMS keys, für die der Benutzer nicht autorisiert ist.

Wenn Discovery aktiviert isttrue, empfiehlt es sich, die Attribute Discovery-Partition und Discovery-Account zu verwenden, um dieAWS KMS keys verwendeten Attribute auf die vonAWS-Konten Ihnen angegebenen Attribute zu beschränken.

Discovery-Konto

Beschränkt die für die EntschlüsselungAWS KMS keys verwendeten Werte auf die angegebenen WerteAWS-Konto. Der einzig gültige Wert für dieses Attribut ist eine AWS-KontoID.

Dieses Attribut ist optional und nur in Entschlüsselungsbefehlen gültig, beiAWS KMS keys denen das Discovery-Attribut auf gesetzttrue und das Discovery-Partition-Attribut angegeben ist.

Jedes Discovery-Account-Attribut benötigt nur eineAWS-Konto ID, aber Sie können mehrere Discovery-Account-Attribute in demselben--wrapping-keys Parameter angeben. Alle in einem bestimmten--wrapping-keys Parameter angegebenen Konten müssen sich in der angegebenenAWS Partition befinden.

Discovery-Partition

Gibt dieAWS Partition für die Konten im Discovery-Account-Attribut an. Sein Wert muss eineAWS Partition sein, z. B.awsaws-cn, oderaws-gov-cloud. Weitere Informationen finden Sie unter Amazon-Ressourcennamen in der Allgemeine AWS-Referenz.

Dieses Attribut ist erforderlich, wenn Sie das Discovery-Account-Attribut verwenden. Sie können in jedem--wrapping keys Parameter nur ein Discovery-Partition-Attribut angeben. Verwenden Sie einen zusätzlichen--wrapping-keys Parameter, umAWS-Konten in mehreren Partitionen zu spezifizieren.

provider

Identifiziert den Masterschlüssel-Anbieter. Das Format ist ein provider= ID-Paar. Der Standardwert ist aws-kms und steht für AWS KMS. Dieses Attribut ist nur erforderlich, wenn der Masterschlüssel-Anbieter nicht AWS KMS ist.

region

Identifiziert dasAWS-Region von einemAWS KMS key. Dieses Attribut ist nur gültig fürAWS KMS keys. Es wird nur verwendet, wenn die key-ID keine Region angibt, andernfalls wird es ignoriert. Wenn es verwendet wird, überschreibt es die Standardregion im benannten Profil der AWS-CLI.

Profil

Identifiziert einAWS CLI benanntes Profil. Dieses Attribut ist nur gültig fürAWS KMS keys. Die Region im Profil wird nur verwendet, wenn die key-ID keine Region angibt und es kein region-Attribut im Befehl gibt.

--input (-i)

Gibt den Speicherort der zu ver- oder entschlüsselnden Daten an. Dieser Parameter muss angegeben werden. Der Wert kann ein Pfad zu einer Datei oder einem Verzeichnis oder ein Dateinamenmuster sein. Wenn Sie Eingaben an den Befehl weiterleiten (stdin), verwenden Sie -.

Wenn die Eingabe nicht vorhanden ist, wird der Befehl fehlerfrei ohne Fehlermeldung oder Warnung ausgeführt.

--recursive (-r, -R)

Führt die Operation für Dateien im Eingabeverzeichnis und seinen Unterverzeichnissen aus. Dieser Parameter ist erforderlich, wenn der Wert von --input ein Verzeichnis ist.

--decode

Decodiert Base64-codierte Eingaben.

Wenn Sie eine Nachricht entschlüsseln, die verschlüsselt und dann codiert wurde, müssen Sie die Nachricht decodieren, bevor Sie sie entschlüsseln. Dieser Parameter erledigt dies für Sie.

Wenn Sie beispielsweise den --encode-Parameter in einem Verschlüsselungsbefehl verwendet haben, verwenden Sie den --decode-Parameter in dem entsprechenden Entschlüsselungsbefehl. Sie können diesen Parameter auch verwenden, um mit Base64 codierte Eingaben zu decodieren, bevor Sie sie verschlüsseln.

--output (-o)

Gibt einen Zielspeicherort für die Ausgabe an. Dieser Parameter muss angegeben werden. Der Wert kann ein Dateiname oder ein vorhandenes Verzeichnis sein, oder - sein, womit die Ausgabe in die Befehlszeile geschrieben wird (stdout).

Wenn das angegebene Ausgabeverzeichnis nicht vorhanden ist, schlägt der Befehl fehl. Wenn die Eingabe Unterverzeichnisse enthält, reproduziert dieAWS Verschlüsselungs-CLI die Unterverzeichnisse unter dem von Ihnen angegebenen Ausgabeverzeichnis.

Standardmäßig überschreibt dieAWS Verschlüsselungs-CLI Dateien mit demselben Namen. Dieses Verhalten ändern Sie mit den Parametern --interactive oder --no-overwrite. Um die Überschreibwarnung zu unterdrücken, verwenden Sie den Parameter --quiet.

Anmerkung

Wenn ein Befehl, der eine Ausgabedatei überschreiben würde, fehlschlägt, ist die Ausgabedatei bereits gelöscht.

--interactive

Informiert Sie, bevor die Datei überschrieben wird.

--no-overwrite

Überschreibt keine Dateien. Wenn die Ausgabedatei existiert, überspringt dieAWS Verschlüsselungs-CLI stattdessen die entsprechende Eingabe.

--Suffix

Gibt ein benutzerdefiniertes Dateinamensuffix für Dateien an, die dieAWS Verschlüsselungs-CLI erstellt. Wenn Sie kein Suffix angeben wollen, verwenden Sie den Parameter ohne Wert (--suffix).

Wenn der --output-Parameter keinen Dateinamen angibt, hat der Ausgabedateiname standardmäßig den gleichen Namen wie die Eingabedatei, jedoch mit dem Suffix. Das Suffix für Verschlüsselungsbefehle ist .encrypted. Das Suffix für Entschlüsselungsbefehle ist .decrypted.

--encode

Wendet die Base64-Codierung (binär in Text) auf die Ausgabe an. Die Kodierung verhindert, dass das Shell-Host-Programm Nicht-ASCII-Zeichen im Ausgabetext falsch interpretiert.

Verwenden Sie diesen Parameter, wenn Sie verschlüsselte Ausgaben in stdout (--output -) schreiben, insbesondere in einer PowerShell Konsole, auch wenn Sie die Ausgabe an einen anderen Befehl weiterleiten oder in einer Variablen speichern.

--metadata-output

Gibt einen Speicherort für Metadaten über die kryptografischen Operationen an. Geben Sie einen Pfad und einen Dateinamen ein. Wenn das Verzeichnis nicht vorhanden ist, schlägt der Befehl fehl. Um die Metadaten in die Befehlszeile zu schreiben (stdout), verwenden Sie -.

Sie können die Befehlsausgabe (--output) und Metadatenausgaben (--metadata-output) nicht im selben Befehl auf stdout schreiben. Auch wenn der Wert von --input oder --output ein Verzeichnis (ohne Dateinamen) ist, können Sie die Metadatenausgabe nicht in das gleiche Verzeichnis oder in ein Unterverzeichnis dieses Verzeichnisses schreiben.

Wenn Sie eine vorhandene Datei angeben, hängt dieAWS Verschlüsselungs-CLI standardmäßig neue Metadatensätze an alle Inhalte in der Datei an. Mit dieser Funktion können Sie eine einzige Datei erstellen, die die Metadaten für alle Ihre kryptografischen Operationen enthält. Um den Inhalt einer bestehenden Datei zu überschreiben, verwenden Sie den --overwrite-metadata-Parameter.

DieAWS Verschlüsselungs-CLI gibt für jeden Verschlüsselungs- oder Entschlüsselungsvorgang, den der Befehl ausführt, einen JSON-formatierten Metadatendatensatz zurück. Jeder Metadatensatz enthält die vollständigen Pfade zur Ein- und Ausgabedatei, den Verschlüsselungskontext, das Algorithmen-Paket und andere praktische Informationen, anhand derer Sie die Operation überprüfen und sicherstellen können, ob sie Ihren Sicherheitsstandards entspricht.

--overwrite-metadata

Überschreibt den Inhalt in der Metadaten-Ausgabedatei. Standardmäßig fügt der --metadata-output-Parameter Metadaten an vorhandenen Inhalt der Datei an.

--suppress-metadata (-S)

Unterdrückt die Metadaten über die Verschlüsselungs- oder Entschlüsselungsoperation.

--Engagementpolitik

Gibt die Commitment-Richtlinie für Verschlüsselungs- und Entschlüsselungsbefehle an. Die Commitment-Richtlinie legt fest, ob Ihre Nachricht mit der Key Commitment-Sicherheitsfunktion ver- und entschlüsselt wird.

Der--commitment-policy Parameter wurde in Version 1.8 eingeführt. x. Es ist gültig für Befehle zum Verschlüsseln und Entschlüsseln.

In Version 1.8. x, dieAWS Verschlüsselungs-CLI verwendet dieforbid-encrypt-allow-decrypt Commitment-Richtlinie für alle Verschlüsselungs- und Entschlüsselungsvorgänge. Wenn Sie den--wrapping-keys Parameter in einem Verschlüsselungs- oder Entschlüsselungsbefehl verwenden, ist ein--commitment-policy Parameter mit demforbid-encrypt-allow-decrypt Wert erforderlich. Wenn Sie den--wrapping-keys Parameter nicht verwenden, ist der--commitment-policy Parameter ungültig. Durch die explizite Festlegung einer Commitment-Richtlinie wird verhindert, dass sich Ihre Commitment-Richtlinie automatisch ändert,require-encrypt-require-decrypt wenn Sie auf Version 2.1 aktualisieren. x

Beginnend mit Version 2.1 x, alle Werte der Engagementpolitik werden unterstützt. Der--commitment-policy Parameter ist optional und der Standardwert istrequire-encrypt-require-decrypt.

Dieser Parameter hat die folgenden Werte:

  • forbid-encrypt-allow-decrypt— Verschlüsselung mit Schlüsselzuweisung nicht möglich. Es kann Chiffretexte entschlüsseln, die mit oder ohne Schlüsselbindung verschlüsselt sind.

    In Version 1.8 x, das ist der einzig gültige Wert. DieAWS Verschlüsselungs-CLI verwendet dieforbid-encrypt-allow-decrypt Commitment-Richtlinie für alle Verschlüsselungs- und Entschlüsselungsvorgänge.

  • require-encrypt-allow-decrypt— Verschlüsselt nur mit Schlüsselzuweisung. Entschlüsselt mit und ohne Schlüsselbindung. Dieser Wert wurde in Version 2.1 eingeführt. x.

  • require-encrypt-require-decrypt(Standard) — Verschlüsselt und entschlüsselt nur mit Schlüsselzuweisung. Dieser Wert wurde in Version 2.1 eingeführt. x. Dies ist der Standardwert in den Versionen 2.1. x und später. Mit diesem Wert entschlüsselt dieAWS Verschlüsselungs-CLI keinen Chiffretext, der mit früheren Versionen von verschlüsselt wurdeAWS Encryption SDK.

Ausführliche Informationen zum Festlegen Ihrer Verpflichtungsrichtlinie finden Sie unterMigrieren Sie IhreAWS Encryption SDK.

--encryption-context (-c)

Gibt einen Verschlüsselungskontext für die Operation an. Dieser Parameter ist nicht erforderlich, wird jedoch empfohlen.

  • In einem --encrypt -Befehl geben Sie ein oder mehrere name=value Paare an. Verwenden Sie Leerzeichen, um die zu trennen.

  • Geben Sie in einem--decrypt Befehlname=value Paare,name Elemente ohne Werte oder beides ein.

Wenn der name oder value in einem name=value-Paar Leerzeichen oder Sonderzeichen enthält, schließen Sie gesamte Paar in Anführungszeichen ein. Zum Beispiel --encryption-context "department=software development".

--buffer (-b) [Eingeführt in Versionen 1.9. x und 2.2. x]

Gibt Klartext erst zurück, nachdem alle Eingaben verarbeitet wurden, einschließlich der Überprüfung der digitalen Signatur, falls eine vorhanden ist.

--max-encrypted-data-keys [In den Versionen 1.9 eingeführt. x und 2.2. x]

Gibt die maximale Anzahl verschlüsselter Datenschlüssel in einer verschlüsselten Nachricht an. Dieser Parameter ist optional.

Gültige Werte sind 1 — 65.535. Wenn Sie diesen Parameter auslassen, erzwingt dieAWS Verschlüsselungs-CI kein Maximum. Eine verschlüsselte Nachricht kann bis zu 65.535 (2^16 - 1) verschlüsselte Datenschlüssel enthalten.

Sie können diesen Parameter in Verschlüsselungsbefehlen verwenden, um eine fehlerhafte Nachricht zu verhindern. Sie können es in Entschlüsselungsbefehlen verwenden, um bösartige Nachrichten zu erkennen und zu vermeiden, dass Nachrichten mit zahlreichen verschlüsselten Datenschlüsseln entschlüsselt werden, die Sie nicht entschlüsseln können. Einzelheiten und ein Beispiel finden Sie unter Beschränkung verschlüsselter Datenschlüssel.

--help (-h)

Gibt Verwendung und Syntax in der Befehlszeile aus.

--version

Ruft die Version derAWS Verschlüsselungs-CLI ab.

-v | -vv | -vvv | -vvvv

Zeigt ausführliche Informationen, Warnungen und Debugging-Nachrichten an. Die Details in der Ausgabe nehmen mit der Anzahl der v im Parameter zu. Die detaillierteste Einstellung (-vvvv) gibt Daten auf Debugging-Ebene aus derAWS Verschlüsselungs-CLI und allen verwendeten Komponenten zurück.

--quiet (-q)

Unterdrückt Warnmeldungen, z. B. die Nachricht, die angezeigt wird, wenn Sie eine Ausgabedatei überschreiben.

--master-keys (-m) [Veraltet]
Anmerkung

Der Parameter --master-keys ist in 1.8 veraltet. x und in Version 2.1 entfernt. x. Verwenden Sie stattdessen den Parameter --wrapping-keys.

Gibt die in Ver- und Entschlüsselungsoperationen verwendeten Masterschlüssel an. Sie können in einem Befehl mehrere Masterschlüsselparameter verwenden.

Der --master-keys-Parameter muss in Verschlüsselungsbefehle angegeben werden. Sie ist für Entschlüsselungsbefehle nur erforderlich, wenn Sie einen benutzerdefinierten (Nicht-AWS KMS) Master-Key-Anbieter verwenden.

Attribute: Der Wert des --master-keys-Parameters besteht aus den folgenden Attributen. Das Format ist attribute_name=value.

Schlüssel

Identifiziert den Wrapping-Schlüssel, der bei der Operation verwendet wurde. Das Format ist ein key= ID-Paar. Das keyAttribut muss in allen Verschlüsselungsbefehlen angegeben werden.

Wenn Sie einen BefehlAWS KMS key in einem Schlüssel-ARN, kann der Wert des Schlüssel-Attributs eine Schlüssel-ID, einen Schlüssel-ARN, einen Alias-Namen oder Alias-ARN sein. Einzelheiten zuAWS KMS Schlüsselkennungen finden Sie unter Schlüsselkennungen im AWS Key Management ServiceEntwicklerhandbuch.

Das Schlüsselattribut ist in Entschlüsselungsbefehlen erforderlich, wenn der Master-Key-Anbieter dies nicht istAWS KMS. Das Schlüsselattribut ist in Befehlen, die Daten entschlüsseln, die unter einem verschlüsselt wurden, nicht zulässigAWS KMS key.

Sie können mehrere key-Attribute in jedem --master-keys-Parameterwert angeben. Die provider-, region- und profile-Attribute gelten jedoch für alle Masterschlüssel im Parameterwert. Um Masterschlüssel mit unterschiedlichen Attributwerten anzugeben, verwenden Sie mehrere --master-keys-Parameter im Befehl.

provider

Identifiziert den Masterschlüssel-Anbieter. Das Format ist ein provider= ID-Paar. Der Standardwert ist aws-kms und steht für AWS KMS. Dieses Attribut ist nur erforderlich, wenn der Masterschlüssel-Anbieter nicht AWS KMS ist.

region

Identifiziert dasAWS-Region von einemAWS KMS key. Dieses Attribut ist nur gültig fürAWS KMS keys. Es wird nur verwendet, wenn die key-ID keine Region angibt, andernfalls wird es ignoriert. Wenn es verwendet wird, überschreibt es die Standardregion im benannten Profil der AWS-CLI.

Profil

Identifiziert einAWS CLI benanntes Profil. Dieses Attribut ist nur gültig fürAWS KMS keys. Die Region im Profil wird nur verwendet, wenn die key-ID keine Region angibt und es kein region-Attribut im Befehl gibt.

Erweiterte Parameter

--algorithm

Gibt ein alternatives Algorithmen-Paket an. Dieser Parameter ist optional und nur in Verschlüsselungsbefehlen gültig.

Wenn Sie diesen Parameter weglassen, verwendet dieAWS Verschlüsselungs-CLI eine der Standard-Algorithmus-Suiten für die in Version 1.8AWS Encryption SDK eingeführte. x. Beide Standardalgorithmen verwenden AES-GCM mit einem HKDF, einer ECDSA-Signatur und einem 256-Bit-Verschlüsselungsschlüssel. Man setzt Schlüsselengagement ein, man tut es nicht. Die Wahl der Standard-Algorithmussuite wird durch die Commitment-Richtlinie für den Befehl bestimmt.

Die Standard-Algorithmus-Suites werden für die meisten Verschlüsselungsvorgänge empfohlen. Eine Liste gültiger Werte finden Sie unter den Werten für den algorithm-Parameter in Read the Docs.

--frame-length

Erstellt die Ausgabe mit angegebenen Frame-Länge. Dieser Parameter ist optional und nur in Verschlüsselungsbefehlen gültig.

Geben Sie einen Wert in Bytes ein. Gültige Werte sind 0 und 1 — 2^31 - 1. Ein Wert von 0 zeigt an, dass Daten nicht gerahmt sind. Die Standardeinstellung ist 4096 (Byte).

Anmerkung

Verwenden Sie nach Möglichkeit gerahmte Daten. DerAWS Encryption SDK unterstützt ungerahmte Daten nur für ältere Zwecke. Einige Sprachimplementierungen vonAWS Encryption SDK können immer noch Chiffretext ohne Rahmen generieren. Alle unterstützten Sprachimplementierungen können gerahmten und ungerahmten Chiffretext entschlüsseln.

--max-length

Gibt die maximale Frame-Größe (oder die maximale Inhaltslänge für Nachrichten ohne Frame) in Bytes an, die aus verschlüsselten Nachrichten gelesen werden. Dieser Parameter ist optional und nur in Entschlüsselungsbefehlen gültig. Es wurde entwickelt, um Sie vor der Entschlüsselung extrem großer bösartiger Verschlüsselungstexte zu schützen.

Geben Sie einen Wert in Bytes ein. Wenn Sie diesen ParameterAWS Encryption SDK nicht angeben, wird die Bildgröße beim Entschlüsseln nicht begrenzt.

--caching

Aktiviert das Datenschlüssel-Caching, womit Datenschlüssel wiederverwendet werden können, statt für jede Eingabedatei einen neuen Datenschüssel zu generieren. Dieser Parameter unterstützt ein erweitertes Szenario. Lesen Sie unbedingt die Dokumentation zum Datenschlüssel-Caching, bevor Sie diese Funktion verwenden.

Der --caching-Parameter hat die folgenden Attribute.

capacity (erforderlich)

Legt die maximale Anzahl der Einträge im Cache fest.

Der minimale Wert beträgt 1. Es gibt keinen Höchstwert.

max_age (erforderlich)

Ermitteln Sie, wie lange Cache-Einträge in Sekunden verwendet werden, beginnend mit dem Hinzufügen zum Cache.

Geben Sie einen Wert größer als 0 ein. Es gibt keinen Höchstwert.

max_messages_encrypted (optional)

Legt die maximale Anzahl der Nachrichten fest, die ein im Cache befindlicher Eintrag verschlüsseln kann.

Gültige Werte sind 1 — 2^32. Der Standardwert lautet 2^32 (Nachrichten).

max_bytes_encrypted (optional)

Legt die maximale Anzahl der Bytes fest, die ein im Cache befindlicher Eintrag verschlüsseln kann.

Gültige Werte sind 0 und 1 — 2^63 - 1. Der Standardwert ist 2^63 - 1 (Nachrichten). Bei einem Wert von 0 können Sie Datenschlüssel-Caching nur verwenden, wenn Sie leere Nachrichtenzeichenfolgen verschlüsseln.