Referencia de sintaxis y parámetros de la CLI del AWS Encryption SDK - AWS Encryption SDK
Sintaxis de la CLI de cifrado del AWSParámetros de la línea de comando AWS de la CLI de cifradoParámetros avanzados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Referencia de sintaxis y parámetros de la CLI del AWS Encryption SDK

En este tema se proporcionan diagramas de sintaxis y descripciones breves de los parámetros para ayudarlo a usar la interfaz de línea de comandos (CLI) del AWS Encryption SDK. Para obtener ayuda con las claves de empaquetado y otros parámetros, consulte Cómo utilizar la CLI de cifrado del AWS. Para ver ejemplos, consulte Ejemplos de la CLI de cifrado del AWS. Para ver la documentación completa, consulte Read the Docs.

Sintaxis de la CLI de cifrado del AWS

Estos diagramas de sintaxis de la CLI de cifrado del AWS muestran la sintaxis para cada tarea que se realiza con la CLI de cifrado del AWS. Representan la sintaxis recomendada en la versión 2.1x de la CLI de cifrado del AWS y posteriores.

Las nuevas funciones de seguridad se publicaron originalmente en las versiones 1.7.x y 2.0.x. de la CLI de cifrado del AWS. Sin embargo, la versión 1.8.x de la CLI de cifrado de AWS reemplaza a la versión 1.7.x y la versión 2.1.x de la CLI de cifrado de AWS reemplaza a la 2.0.x. Para obtener más información, consulte el aviso de seguridad correspondiente en el repositorio aws-encryption-sdk-cli en GitHub.

nota

A menos que se indique lo contrario en la descripción del parámetro, cada parámetro o atributo solo se puede usar una vez en cada comando.

Si utiliza un atributo que un parámetro no admite, la CLI de cifrado del AWS ignora ese atributo no admitido sin que aparezca ninguna advertencia o error.

Obtención de ayuda

Para obtener la sintaxis completa de la CLI de cifrado del AWS con descripciones de los parámetros, utilice --help o -h.

aws-encryption-cli (--help | -h)
Obtención de la versión

Para obtener el número de versión de la instalación de la CLI de cifrado del AWS, utilice --version. Asegúrese de incluir la versión cuando formule preguntas, comunique problemas o comparta consejos sobre el uso de la CLI de cifrado del AWS.

aws-encryption-cli --version
Cifrado de datos

En el siguiente diagrama de sintaxis se muestran los parámetros que se utilizan en un comando de cifrado encrypt. 

aws-encryption-cli --encrypt
                   --input <input> [--recursive] [--decode]
                   --output <output> [--interactive] [--no-overwrite] [--suffix [<suffix>]] [--encode]
                   --wrapping-keys  [--wrapping-keys] ...
                       key=<keyID> [key=<keyID>] ...
                       [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>]
                   --metadata-output <location> [--overwrite-metadata] | --suppress-metadata]
                   [--commitment-policy <commitment-policy>]
                   [--encryption-context <encryption_context> [<encryption_context> ...]]
                   [--max-encrypted-data-keys <integer>]
                   [--algorithm <algorithm_suite>]
                   [--caching <attributes>] 
                   [--frame-length <length>]
                   [-v | -vv | -vvv | -vvvv]
                   [--quiet]
Descifrado de datos

En el siguiente diagrama de sintaxis se muestran los parámetros que se utilizan en un comando de descifrado decrypt.

En la versión 1.8.x, el parámetro --wrapping-keys es opcional al descifrar, pero se recomienda. A partir de la versión 2.1.x, el parámetro --wrapping-keys es obligatorio para cifrar y descifrar. Para AWS KMS keys, puede usar el atributo key para especificar las claves de empaquetado (práctica recomendada) o establecer el atributo discovery en true, lo que no limita las claves de empaquetado que puede usar la CLI de cifrado del AWS.

aws-encryption-cli --decrypt (or [--decrypt-unsigned]) 
                   --input <input> [--recursive] [--decode]
                   --output <output> [--interactive] [--no-overwrite]  [--suffix [<suffix>]] [--encode]           
                   --wrapping-keys  [--wrapping-keys] ...
                       [key=<keyID>] [key=<keyID>] ...
                       [discovery={true|false}] [discovery-partition=<aws-partition-name> discovery-account=<aws-account-ID> [discovery-account=<aws-account-ID>] ...] 
                       [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>]
                   --metadata-output <location> [--overwrite-metadata] | --suppress-metadata]
                   [--commitment-policy <commitment-policy>]
                   [--encryption-context <encryption_context> [<encryption_context> ...]]
                   [--buffer]
                   [--max-encrypted-data-keys <integer>]
                   [--caching <attributes>]
                   [--max-length <length>]
                   [-v | -vv | -vvv | -vvvv]
                   [--quiet]
Uso de archivos de configuración

Puede hacer referencia a archivos de configuración que contengan los parámetros y sus valores. Esto equivale a escribir los parámetros y sus valores en el comando. Para ver un ejemplo, consulte Cómo almacenar parámetros en un archivo de configuración.

aws-encryption-cli @<configuration_file>

# In a PowerShell console, use a backtick to escape the @.
aws-encryption-cli `@<configuration_file>

Parámetros de la línea de comando AWS de la CLI de cifrado

En esta lista se proporciona una descripción básica de los parámetros de comando de la CLI de cifrado del AWS. Para obtener una descripción completa, consulte la documentación de aws-encryption-sdk-cli.

--encrypt (-e)

Cifra los datos de entrada. Todos los comandos deben tener un parámetro --encrypt, --decrypt o --decrypt-unsigned

--decrypt (-d)

Descifra los datos de entrada. Todos los comandos deben tener un parámetro --encrypt, --decrypt o --decrypt-unsigned.

--decrypt-unsigned [Introducido en las versiones 1.9.x y 2.2.x]

El parámetro --decrypt-unsigned descifra el texto cifrado y garantiza que los mensajes no estén firmados antes del descifrado. Utilice este parámetro si utilizó el parámetro --algorithm y seleccionó un conjunto de algoritmos sin firma digital para cifrar los datos. Si el texto cifrado está firmado, se produce un error en el descifrado.

Puede utilizar --decrypt o --decrypt-unsigned para el descifrado, pero no ambos.

--wrapping-keys (-w) [Introducido en la versión 1.8.x]

Especifica las claves de empaquetado (o claves maestras) utilizadas en las operaciones de cifrado y descifrado. Puede utilizar múltiples parámetros --wrapping-keys en cada comando.

A partir de la versión 2.1.x, el parámetro --wrapping-keys es obligatorio para cifrar y descifrar comandos. En la versión 1.8.x, los comandos de cifrado requieren un parámetro --wrapping-keys o --master-keys. En los comandos de descifrado de la versión 1.8.x, un parámetro --wrapping-keys es opcional, pero se recomienda.

Al utilizar un proveedor de claves maestras personalizadas, los comandos de cifrado y descifrado requieren los atributos key y provider. Cuando se utiliza AWS KMS keys, los comandos de cifrado requieren un atributo key. Los comandos de descifrado requieren un atributo key o un atributo discovery con un valor de true (pero no ambos). Utilizar el atributo key al descifrar es una práctica recomendada de AWS Encryption SDK. Esto es especialmente importante si va a descifrar lotes de mensajes desconocidos, como los que se encuentran en un bucket de Amazon S3 o en una cola de Amazon SQS.

Para ver un ejemplo que muestra cómo utilizar claves AWS KMS multirregionales como claves de empaquetado, consulte Uso de AWS KMS keys multirregional.

Atributos: el valor del parámetro --wrapping-keys se compone de los siguientes atributos. El formato es el siguiente attribute_name=value.

key

Identifica la clave de empaquetado utilizada en la operación. Se expresa en formato de par key=ID. Puede especificar varios atributos key en cada valor del parámetro --wrapping-keys.

  • Comandos de cifrado: todos los comandos de cifrado requieren el atributo key. Cuando se utiliza un AWS KMS key en un comando de cifrado, el valor del atributo key puede ser un ID de clave, un ARN de clave, un nombre de alias o un ARN de alias. Para obtener descripciones sobre los identificadores clave de AWS KMS, consulte Identificadores clave en la Guía para desarrolladores de AWS Key Management Service.

  • Descifrar comandos: al descifrar con AWS KMS keys, el parámetro --wrapping-keys requiere un atributo key con un valor de ARN clave o un atributo discovery con un valor de true (pero no ambos). Utilizar el atributo key es una práctica recomendada de AWS Encryption SDK. Al descifrar con un proveedor de claves maestras personalizado, se requiere el atributo key.

    nota

    Para especificar una clave de empaquetado de AWS KMS en un comando de descifrado, el valor del atributo key debe ser un ARN de clave. Si usa el ID de la clave, el nombre de alias o el alias, la CLI de cifrado del AWS no reconoce la clave de empaquetado.

Puede especificar varios atributos key en cada valor del parámetro --wrapping-keys. Sin embargo, todos los atributos provider, region y profile en un parámetro --wrapping-keys se aplican a todas las claves de empaquetado del valor del parámetro. Para especificar claves de empaquetado con valores de atributos diferentes, utilice varios parámetros --wrapping-keys en el comando.

discovery

Permite que la CLI de cifrado del AWS utilice cualquier AWS KMS key para descifrar el mensaje. El valor de discovery puede ser true o false. El valor predeterminado es false. El atributo discovery es válido solo en los comandos de cifrado y únicamente cuando el proveedor de clave maestra es AWS KMS.

Al descifrar comandos con AWS KMS keys, el parámetro --wrapping-keys requiere un atributo key o un atributo discovery con un valor de true (pero no ambos). Si usa el atributo key, puede usar un atributo discovery con un valor de false para rechazar explícitamente la detección.

  • False (predeterminado): cuando no se especifica el atributo discovery o su valor es false, la CLI de cifrado del AWS descifra el mensaje utilizando únicamente el AWS KMS keys especificado en el atributo key del parámetro --wrapping-keys. Si no especifica un atributo key cuando discovery es false, se produce un error en el comando de descifrado. Este valor es compatible con una práctica recomendada de CLI de cifrado del AWS.

  • True: cuando el valor del atributo discovery es true, la CLI de cifrado del AWS obtiene el AWS KMS keys de los metadatos del mensaje cifrado y utiliza esos AWS KMS keys para descifrar el mensaje. El atributo discovery con un valor de true se comporta como las versiones de la CLI de cifrado del AWS anteriores a la versión 1.8.x que no permitían especificar una clave de empaquetado al descifrar. Sin embargo, su intención de utilizar cualquier AWS KMS key es explícita. Si especifica un atributo key cuando discovery es true, se produce un error en el comando de descifrado.

    El valor true puede provocar que la CLI de cifrado del AWS utilice AWS KMS keys en diferentes Cuentas de AWS y regiones o que intente utilizar AWS KMS keys, para lo que el usuario no está autorizado.

Cuando discovery es true, se recomienda utilizar los atributos discovery-partition y discovery-account para limitar el uso de AWS KMS keys a los Cuentas de AWS que especifique.

discovery-account

Limita el uso de AWS KMS keys para descifrar a los especificados en Cuenta de AWS. El único valor válido para este atributo es un identificador de Cuenta de AWS.

Este atributo es opcional y válido solo en los comandos de descifrado con AWS KMS keys en el que el atributo discovery esté establecido en true y el atributo discovery-partition esté especificado.

Cada atributo discovery-account solo tiene un identificador Cuenta de AWS, pero puede especificar varios atributos de discovery-account en el mismo parámetro --wrapping-keys. Todas las cuentas especificadas en un parámetro --wrapping-keys determinado deben estar en la partición AWS especificada.

discovery-partition

Especifica la partición AWS de las cuentas en el atributo discovery-account. Su valor debe ser una partición AWS, como aws, aws-cn o aws-gov-cloud. Para obtener información, consulte Nombres de recurso de Amazon en el Referencia general de AWS.

Este atributo es obligatorio cuando utiliza el atributo discovery-account. Solo puede especificar un atributo de discovery-partition en cada parámetro --wrapping keys. Para especificar Cuentas de AWS en varias particiones, utilice un parámetro --wrapping-keys adicional.

provider

Identifica el proveedor de claves maestras. Se expresa en formato de par provider=ID. El valor predeterminado, aws-kms, representa a AWS KMS. Este atributo solo se requiere cuando el proveedor de claves maestras no es AWS KMS.

region

Identifica el Región de AWS de un AWS KMS key. Este atributo es válido únicamente para AWS KMS keys. Se utiliza solo cuando el identificador key no especifica una región; de lo contrario, se omite. Cuando se utiliza, anula la región predeterminada del perfil con nombre de la CLI de AWS.

profile

Identifica un perfil con nombre de AWS CLI. Este atributo es válido únicamente para AWS KMS keys. La región del perfil se utiliza solamente cuando el identificador key no especifica ninguna región y no hay un atributo region en el comando.

--input (-i)

Especifica la ubicación de los datos que se van a cifrar o descifrar. Este parámetro es obligatorio. El valor puede ser una ruta a un archivo o directorio o un patrón de nombres de archivo. Si va a canalizar la entrada al comando (stdin), utilice -.

Si la entrada no existe, el comando se completa correctamente sin generar ningún error o advertencia.

--recursive (-r, -R)

Realiza la operación en los archivos del directorio de entrada y sus subdirectorios. Este parámetro es obligatorio cuando el valor de --input es un directorio.

--decode

Decodifica la entrada codificada en Base64.

Si va a descifrar un mensaje que se ha cifrado y, a continuación, codificado, debe descodificarlo antes de descifrarlo. Este parámetro se encarga de realizar esta tarea.

Por ejemplo, si ha utilizado el parámetro --encode en un comando de cifrado, utilice el parámetro --decode en el comando de descifrado correspondiente. También puede utilizar este parámetro para descodificar la entrada codificada en Base64 antes de cifrarla.

--output (-o)

Especifica un destino para el resultado. Este parámetro es obligatorio. El valor puede ser un nombre de archivo, un directorio existente o bien -, que escribe el resultado en la línea de comandos (stdout).

Si el directorio de salida especificado no existe, el comando genera un error. Si la entrada contiene subdirectorios, la CLI de cifrado del AWS los reproduce en el directorio de salida especificado.

De forma predeterminada, la CLI de cifrado del AWS sobrescribe los archivos que tienen el mismo nombre. Para cambiar ese comportamiento, utilice los parámetros --interactive o --no-overwrite. Para suprimir la advertencia de sobrescritura, utilice el parámetro --quiet.

nota

Si un comando que sobrescribiría un archivo no se ejecuta correctamente, el archivo de salida se elimina.

--interactive

Pregunta antes de sobrescribir el archivo.

--no-overwrite

No sobrescribe los archivos. En lugar de ello, si el archivo de salida existe, la CLI de cifrado del AWS omite la entrada correspondiente.

--suffix

Especifica un sufijo de nombre de archivo personalizado para los archivos que crea la CLI de cifrado del AWS. Para indicar que no se use ningún sufijo, utilice el parámetro sin ningún valor (--suffix).

De forma predeterminada, cuando el parámetro --output no especifica un nombre de archivo, el nombre del archivo de salida tiene el mismo nombre que el archivo de entrada, más el sufijo. El sufijo para los comandos de cifrado es .encrypted. El sufijo para los comandos de descifrado es .decrypted.

--encode

Aplica al resultado la codificación en Base64 (de binario a texto). La codificación impide que el programa del host del shell interprete incorrectamente los caracteres no ASCII del texto de salida.

Use este parámetro cuando escriba un resultado cifrado en stdout (--output -), sobre todo en una consola de PowerShell, aunque vaya a canalizar el resultado a otro comando o vaya a guardarlo en una variable.

--metadata-output

Especifica una ubicación para los metadatos relativos a las operaciones criptográficas. Escriba la ruta y el nombre de archivo. Si el directorio no existe, el comando genera un error. Para escribir los metadatos en la línea de comandos (stdout), utilice -.

No se puede escribir en stdout el resultado del comando (--output) y los metadatos de salida (--metadata-output) en el mismo comando. Además, cuando el valor de --input o --output es un directorio (sin los nombres de archivo), no puede escribir la salida de metadatos en el mismo directorio ni en ningún subdirectorio de ese directorio.

Si especifica un archivo existente, de forma predeterminada, la CLI de cifrado del AWS anexará nuevos registros de metadatos a cualquier contenido del archivo. Esta característica le permite crear un único archivo que contiene los metadatos de todas las operaciones criptográficas. Para sobrescribir el contenido en un archivo existente, utilice el parámetro --overwrite-metadata.

La CLI de cifrado del AWS devuelve un registro de metadatos con formato JSON por cada operación de cifrado y descifrado que el comando ejecuta. Cada registro de metadatos incluye las rutas completas a los archivos de entrada y salida, el contexto de cifrado, el conjunto de algoritmos y otra información valiosa que puede utilizar para revisar la operación y verificar que cumpla los estándares de seguridad.

--overwrite-metadata

Sobrescribe el contenido en el archivo de salida de metadatos. De forma predeterminada, el parámetro --metadata-output adjunta los metadatos a todo el contenido existente del archivo.

--suppress-metadata (-S)

Suprime los metadatos relativos a la operación de cifrado y descifrado.

--commitment-policy

Especifica la política de compromiso para los comandos de cifrado y descifrado. La política de compromiso determina si su mensaje está cifrado o descifrado con la característica de seguridad de compromiso de clave.

El parámetro --commitment-policy se introduce en la versión 1.8.x. Es válido en los comandos de cifrado y descifrado.

En la versión 1.8.x, la CLI de cifrado del AWS utiliza la política de compromiso de forbid-encrypt-allow-decrypt para todas las operaciones de cifrado y descifrado. Cuando se utiliza el parámetro --wrapping-keys en un comando de cifrado o descifrado, se requiere un parámetro --commitment-policy con el valor forbid-encrypt-allow-decrypt. Si no utiliza el parámetro --wrapping-keys, el parámetro --commitment-policy no es válido. Establecer este valor de forma explícita evita que la política de compromiso se modifique automáticamente a require-encrypt-require-decrypt cuando sube de categoría a la versión 2.1.x.

A partir de la versión 2.1.x, se admiten todos los valores de la política de compromiso. El parámetro --commitment-policy es opcional y el valor predeterminado es require-encrypt-require-decrypt.

Este parámetro tiene los siguientes valores:

  • forbid-encrypt-allow-decrypt: no se puede cifrar con un compromiso de clave. Puede descifrar textos cifrados, cifrados con o sin compromiso de clave.

    En la versión 1.8.x, este es el único valor válido. La CLI de cifrado del AWS utiliza la política de compromiso de forbid-encrypt-allow-decrypt para todas las operaciones de cifrado y descifrado.

  • require-encrypt-allow-decrypt: cifra solo con un compromiso de clave. Descifra con y sin compromiso de clave. Este valor se introduce en la versión 2.1.x.

  • require-encrypt-require-decrypt (predeterminado): cifra y descifra solo con el compromiso de clave. Este valor se introduce en la versión 2.1.x. Es el valor predeterminado en las versiones 2.1.x y posteriores. Con este valor, la CLI de cifrado del AWS no descifrará ningún texto cifrado que se haya cifrado con versiones anteriores de AWS Encryption SDK.

Para obtener información detallada sobre cómo establecer su política de compromiso, consulte Migrar su AWS Encryption SDK.

--encryption-context (-c)

Especifica un contexto de cifrado para la operación. Este parámetro no es obligatorio, pero se recomienda.

  • En un comando --encrypt, escriba uno o más pares name=value. Utilice espacios para separar los pares.

  • En un comando --decrypt, ingrese pares de name=value, elementos de name sin valores o ambos.

Si name o value de un par name=value incluye espacios o caracteres especiales, incluya el par completo entre comillas. Por ejemplo, --encryption-context "department=software development".

--buffer (-b) [Introducido en la versión 1.9.x y 2.2.x]

Devuelve el texto no cifrado solo después de procesar todas las entradas, incluida la verificación de la firma digital, si existe alguna.

--max-encrypted-data-keys [Introducido en la versión 1.9.x y 2.2.x]

Especifica el número máximo de claves de datos cifrados en un mensaje cifrado. Este parámetro es opcional.

Los valores válidos son de 1 a 65 535. Si omite este parámetro, la CLI de cifrado del AWS no aplica ningún máximo. Un mensaje cifrado puede contener hasta 65 535 (2^16 - 1) claves de datos cifrados.

Puede usar este parámetro en los comandos de cifrado para evitar un mensaje con un formato incorrecto. Puede usarlo en los comandos de descifrado para detectar mensajes malintencionados y evitar el descifrado de mensajes con numerosas claves de datos cifradas que no puede descifrar. Para obtener información detallada y un ejemplo, consulte Limitar las claves de datos cifrados.

--help (-h)

Imprime la sintaxis y la utilización en la línea de comandos.

--version

Obtiene la versión de la CLI de cifrado del AWS.

-v | -vv | -vvv | -vvvv

Muestra información detallada, advertencias y mensajes de depuración. Los detalles del resultado aumentan en función del número de veces que se repita la v en el parámetro. La opción más detallada (-vvvv) devuelve los datos de nivel de depuración de la CLI de cifrado del AWS y de todos los componentes que utiliza.

--quiet (-q)

Suprime mensajes de advertencia, como el mensaje que aparece al sobrescribir un archivo de salida.

--master-keys (-m) [Obsoleto]
nota

El parámetro --master-keys está obsoleto en la versión 1.8.x y se eliminó en la versión 2.1.x. En su lugar, utilice el parámetro --wrapping-keys.

Especifica las claves maestras utilizadas en las operaciones de cifrado y descifrado. Puede utilizar varios parámetros de clave maestra en cada comando.

El parámetro --master-keys es obligatorio en los comandos de cifrado. Es obligatorio en los comandos de descifrado solo cuando utiliza un proveedor de claves maestras (no AWS KMS) personalizadas.

Atributos: el valor del parámetro --master-keys se compone de los siguientes atributos. El formato es el siguiente attribute_name=value.

key

Identifica la clave de empaquetado utilizada en la operación. Se expresa en formato de par key=ID. El atributo key es obligatorio en todos los comandos de cifrado.

Cuando se utiliza un AWS KMS key en un comando de cifrado, el valor del atributo key puede ser un ID de clave, un ARN de clave, un nombre de alias o un ARN de alias. Para obtener más información sobre los identificadores clave deAWS KMS, consulte Identificadores clave en la Guía para desarrolladores de AWS Key Management Service.

El atributo key es obligatorio en los comandos de descifrado cuando el proveedor de claves maestras no es AWS KMS. El atributo key no se permite en los comandos que descifran datos que se han cifrado en un AWS KMS key.

Puede especificar varios atributos key en cada valor del parámetro --master-keys. Sin embargo, todos los atributos provider, region y profile se aplican a todas las claves maestras del valor del parámetro. Para especificar claves maestras con valores de atributos diferentes, utilice varios parámetros --master-keys en el comando.

provider

Identifica el proveedor de claves maestras. Se expresa en formato de par provider=ID. El valor predeterminado, aws-kms, representa a AWS KMS. Este atributo solo se requiere cuando el proveedor de claves maestras no es AWS KMS.

region

Identifica el Región de AWS de un AWS KMS key. Este atributo es válido únicamente para AWS KMS keys. Se utiliza solo cuando el identificador key no especifica una región; de lo contrario, se omite. Cuando se utiliza, anula la región predeterminada del perfil con nombre de la CLI de AWS.

profile

Identifica un perfil con nombre de AWS CLI. Este atributo es válido únicamente para AWS KMS keys. La región del perfil se utiliza solamente cuando el identificador key no especifica ninguna región y no hay un atributo region en el comando.

Parámetros avanzados

--algorithm

Especifica un conjunto de algoritmos alternativo. Este parámetro es opcional y solamente es válido en los comandos de cifrado.

Si omite este parámetro, la CLI de cifrado del AWS utiliza uno de los conjuntos de algoritmos predeterminados para los AWS Encryption SDK introducidos en la versión 1.8.x. Ambos algoritmos predeterminados utilizan AES-GCM con un HKDF, una firma ECDSA y una clave de cifrado de 256 bits. Uno usa el compromiso clave; el otro, no. La elección del conjunto de algoritmos predeterminado viene determinada por la política de compromiso del comando.

Los conjuntos de algoritmos se recomiendan para la mayoría de las operaciones de cifrado. Para obtener una lista de valores válidos, consulte los valores para el parámetro algorithm en Read the Docs.

--frame-length

Crea un resultado con la longitud de trama especificada. Este parámetro es opcional y solamente es válido en los comandos de cifrado.

Ingrese un valor en bytes. Los valores válidos son 0 y 1 – 2^31 - 1. Un valor de 0 indica datos sin trama. El valor predeterminado es 4096 (bytes).

nota

Siempre que sea posible, utilice datos con trama. El AWS Encryption SDK admite datos sin trama solo para uso heredado. Algunas implementaciones lingüísticas del AWS Encryption SDK aún pueden generar texto cifrado sin trama. Todas las implementaciones de idiomas compatibles pueden descifrar texto cifrado con trama y sin trama.

--max-length

Indica el tamaño máximo en bytes de la trama (o la longitud máxima del contenido para los mensajes sin trama) que se ha de leer en los mensajes cifrados. Este parámetro es opcional y solamente es válido en los comandos de descifrado. Se ha diseñado para protegerle contra el descifrado de texto cifrado malintencionado de tamaño excesivamente grande.

Ingrese un valor en bytes. Si omite este parámetro, el AWS Encryption SDK no limita el tamaño de trama al descifrar.

--caching

Habilita la característica de almacenamiento en caché de claves de datos, que reutiliza las claves de datos en lugar de generar una nueva para cada archivo de entrada. Este parámetro admite una situación avanzada. Asegúrese de leer la documentación Almacenamiento en caché de claves de datos antes de usar esta característica.

El parámetro --caching tiene los siguientes atributos.

capacity (obligatorio)

Determina el número máximo de entradas de la caché.

El valor mínimo es 1. No hay ningún valor máximo.

max_age (obligatorio)

Determina durante cuánto tiempo se usarán las entradas de la caché, en segundos, a partir del momento en que se agregaron a la caché.

Escriba un valor mayor que 0. No hay ningún valor máximo.

max_messages_encrypted (opcional)

Determina el número máximo de mensajes que se pueden cifrar con una misma entrada almacenada en caché.

Los valores válidos son 1 – 2^32. El valor predeterminado es 2^32 (mensajes).

max_bytes_encrypted (opcional)

Determina el número máximo de bytes se pueden cifrar con una misma entrada almacenada en caché.

Los valores válidos son 0 y 1 – 2^63 - 1. El valor predeterminado es 2^63 - 1 (mensajes). El valor 0 permite utilizar almacenamiento en caché de clave de datos solo al cifrar cadenas de mensaje vacías.