Référence des paramètres et de la syntaxe de l'interface de ligne de commande du kit Kit SDK de chiffrement AWS - Kit SDK de chiffrement AWS

Si nous fournissons une traduction de la version anglaise du guide, la version anglaise du guide aura préséance en cas de contradiction. La traduction sera une traduction automatique.

Référence des paramètres et de la syntaxe de l'interface de ligne de commande du kit Kit SDK de chiffrement AWS

Cette rubrique fournit des diagrammes de syntaxe et de brèves descriptions des paramètres pour vous aider à utiliser l'interface de ligne de commande (CLI) du kit Kit SDK de chiffrement AWS. Pour obtenir de l'aide concernant les clés principales et d'autres paramètres, veuillez consulter Utilisation de l'interface de ligne de commande du kit Kit SDK de chiffrement AWS. Pour obtenir des exemples, consultez Exemples de l'interface de ligne de commande (CLI) du kit Kit SDK de chiffrement AWS. Pour obtenir la documentation complète, consultez Lisez les documents.

Syntaxe de l'Kit CLI de chiffrement AWS

Ces diagrammes de syntaxe de l'Kit CLI de chiffrement AWS illustrent la syntaxe pour chaque tâche que vous exécutez avec l'Kit CLI de chiffrement AWS.

Obtenir de l'aide

Pour obtenir la syntaxe complète de l'Kit CLI de chiffrement AWS avec les descriptions des paramètres, utilisez --help ou -h.

aws-encryption-cli (--help | -h)
Obtenir la version

Pour obtenir le numéro de version de votre Kit CLI de chiffrement AWS installation, utilisation --version. N’oubliez pas d’inclure la version lorsque vous posez des questions, signalez des problèmes ou partagez des conseils sur l’utilisation de Kit CLI de chiffrement AWS.

aws-encryption-cli --version
Chiffrer des données

Le diagramme de syntaxe suivant montre les paramètres utilisés par une commande encrypt.

aws-encryption-cli --encrypt --input <input> [--recursive] [--decode] --output <output> [--interactive] [--no-overwrite] [--suffix [<suffix>]] [--encode] --master-keys [--master-keys ...] key=<keyID> [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>] --metadata-output <location> [--overwrite-metadata] | --suppress-metadata [--encryption-context <encryption_context> [<encryption_context> ...]] [--algorithm <algorithm_suite>] [--caching <attributes>] [--frame-length <length>] [-v | -vv | -vvv | -vvvv] [--quiet]
Déchiffrer des données

Le diagramme de syntaxe suivant montre les paramètres utilisés par une commande decrypt.

aws-encryption-cli --decrypt --input <input> [--recursive] [--decode] --output <output> [--interactive] [--no-overwrite] [--suffix [<suffix>]] [--encode] --metadata-output <location> [--overwrite-metadata] | --suppress-metadata [--master-keys [--master-keys ...] [key=<keyID>] [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>]] [--encryption-context <encryption_context> [<encryption_context> ...]] [--caching <attributes>] [--max-length <length>] [-v | -vv | -vvv | -vvvv] [--quiet]
Utiliser des fichiers de configuration

Vous pouvez faire référence aux fichiers de configuration qui contiennent les paramètres et leurs valeurs. Cela équivaut à saisir les paramètres et les valeurs dans la commande. Pour obtenir un exemple, veuillez consulter Procédure pour stocker les paramètres dans un fichier de configuration.

aws-encryption-cli @<configuration_file> # In a PowerShell console, use a backtick to escape the @. aws-encryption-cli `@<configuration_file>

Paramètres de ligne de commande Kit CLI de chiffrement AWS

Cette liste fournit une description basique des paramètres de commande de l'Kit CLI de chiffrement AWS. Pour obtenir une description complète, consultez la documentation aws-encryption-sdk-cli.

--encrypt (-e)

Chiffre les données d'entrée. Chaque commande doit avoir un paramètre --encrypt ou --decrypt.

--decrypt (-d)

Déchiffre les données d'entrée. Chaque commande doit avoir un paramètre --encrypt ou --decrypt.

--master-keys (-m)

Spécifie les clés principales utilisées dans les opérations de chiffrement et de déchiffrement. Vous pouvez utiliser plusieurs paramètres de clés principales dans chaque commande.

Le paramètre --master-keys est obligatoire dans les commandes de chiffrement. Il est obligatoire dans les commandes de déchiffrement uniquement lorsque vous utilisez un fournisseur de clés principales personnalisé.

Attributs La valeur du --master-keys se compose des attributs suivants. Le format est attribute_name=value.

key

Identifie le clé principale. Le format est une clé=paire d'ID. L'attribut key est obligatoire dans toutes les commandes de chiffrement.

Lorsque vous utilisez une clé principale client (CMK) AWS KMS dans une commande de chiffrement, la valeur de l'attribut key peut être un ID de clé, un ARN de clé, un nom d'alias ou un ARN d'alias. Pour plus de détails sur le

L'attribut key est obligatoire dans les commandes de déchiffrement lorsque le fournisseur de clés principales n'est pas AWS KMS. L'attribut key n'est pas autorisé dans les commandes qui déchiffrent les données chiffrées sous une clé CMK AWS KMS.

Vous pouvez spécifier plusieurs attributs key dans chaque valeur du paramètre --master-keys. Toutefois, n'importe quel attribut provider, region et profile s'applique à toutes les clés principales de la valeur du paramètre. Pour spécifier des clés principales avec différentes valeurs d'attribut, utilisez plusieurs paramètres --master-keys dans la commande.

provider

Identifie le fournisseur de clés principales. Le format est un fournisseur=paire d'ID. La valeur par défaut, aws-kms, représente AWS KMS. Cet attribut n'est requis que lorsque le fournisseur de clés principales n'est pas AWS KMS.

région

Identifie la région AWS d'une CMK AWS KMS. Cet attribut est valide uniquement pour les clés CMKs AWS KMS. Il est utilisé uniquement lorsque l'identifiant de l'attribut key ne spécifie pas de région ; sinon, il est ignoré. Lorsqu'il est utilisé, il remplace la région par défaut dans le profil nommé de l'interface de ligne de commande AWS.

profile

Identifie un profil nommé pour l'AWS CLI. Cet attribut est valide uniquement pour les clés CMKs AWS KMS. La région du profil est utilisée uniquement lorsque l'identifiant de clé ne spécifie pas de région et qu'il n'y a pas d'attribut region dans la commande.

--input (-i)

Spécifie l'emplacement des données à chiffrer ou déchiffrer. Ce paramètre est obligatoire. La valeur peut être un chemin d'accès à un fichier ou à un répertoire, ou un modèle de nom de fichier. Si vous dirigez l'entrée vers la commande (stdin), utilisez -.

Si l'entrée n'existe pas, la commande se termine correctement sans erreur ni avertissement.

--recursive (-r, -R)

Effectue l'opération sur les fichiers du répertoire d'entrée et ses sous-répertoires. Ce paramètre est obligatoire lorsque la valeur de --input est un répertoire.

--decode

Décode l'entrée codée en Base64.

Si vous déchiffrez un message qui a été chiffré puis codé, vous devez décoder le message avant de le déchiffrer. C'est ce que ce paramètre fait pour vous.

Par exemple, si vous avez utilisé le paramètre --encode dans une commande de chiffrement, utilisez le paramètre --decode dans la commande de déchiffrement correspondante. Vous pouvez également utiliser ce paramètre pour décoder l'entrée codée en Base64 avant de la chiffrer.

--output (-o)

Spécifie une destination pour la sortie. Ce paramètre est obligatoire. La valeur peut être un nom de fichier, un répertoire existant ou -, qui écrit la sortie dans la ligne de commande (stdout).

Si le répertoire de sortie spécifié n'existe pas, la commande échoue. Si l'entrée contient des sous-répertoires, l'Kit CLI de chiffrement AWS reproduit les sous-répertoires sous le répertoire de sortie que vous spécifiez.

Par défaut, l'Kit CLI de chiffrement AWS remplace les fichiers portant le même nom. Pour modifier ce comportement, utilisez les paramètres --interactive ou --no-overwrite. Pour supprimer l'avertissement de remplacement, utilisez le paramètre --quiet.

Note

Si une commande susceptible de remplacer un fichier de sortie échoue, le fichier de sortie est supprimé.

--interactif

Envoie une invite avant de remplacer le fichier.

--no-overwrite

Ne remplace pas les fichiers. Au lieu de cela, si le fichier de sortie existe, l'Kit CLI de chiffrement AWS ignore l'entrée correspondante.

--suffix

Spécifie un suffixe de nom de fichier personnalisé pour les fichiers créés par l'Kit CLI de chiffrement AWS. Pour indiquer que vous ne souhaitez aucun suffixe, utilisez le paramètre sans valeur (--suffix).

Par défaut, lorsque le paramètre --output ne spécifie pas de nom de fichier, le nom du fichier de sortie est le même que celui du fichier d'entrée, auquel est ajouté le suffixe. Le suffixe pour les commandes de chiffrement est .encrypted. Le suffixe pour les commandes de décryptage est .decrypted.

--encode

Applique le codage Base64 (binaire en texte) à la sortie. Le codage empêche le programme hôte du shell de mal interpréter les caractères non ASCII dans le texte de sortie.

Utilisez ce paramètre lorsque vous écrivez la sortie chiffrée dans stdout (--output -), en particulier dans une console PowerShell, même lorsque vous dirigez la sortie vers une autre commande ou que vous l'enregistrez dans une variable.

--metadata-output

Spécifie un emplacement pour les métadonnées relatives aux opérations de chiffrement. Saisissez un chemin et un nom de fichier. Si le répertoire n'existe pas, la commande échoue. Pour écrire les métadonnées sur la ligne de commande (stdout), utilisez -.

Vous ne pouvez pas écrire la sortie de commande (--output) et la sortie des métadonnées (--metadata-output) dans stdout dans la même commande. De plus, lorsque la valeur de --input ou --output est un répertoire (sans nom de fichier), vous ne pouvez pas écrire la sortie des métadonnées dans le même répertoire ou dans un sous-répertoire de ce répertoire.

Si vous spécifiez un fichier existant, l'Kit CLI de chiffrement AWS ajoute par défaut les nouveaux enregistrements de métadonnées à n'importe quel contenu du fichier. Cette fonctionnalité vous permet de créer un fichier unique qui contient les métadonnées pour l'ensemble de vos opérations de chiffrement. Pour remplacer le contenu dans un fichier existant, utilisez le paramètre --overwrite-metadata.

L'Kit CLI de chiffrement AWS renvoie un enregistrement de métadonnées au format JSON pour chaque opération de chiffrement ou de déchiffrement que la commande effectue. Chaque enregistrement de métadonnées inclut les chemins d'accès complets aux fichiers d'entrée et de sortie, le contexte de chiffrement, la suite d'algorithmes, et d'autres informations utiles que vous pouvez utiliser pour vérifier l'opération et vous assurer qu'elle respecte vos normes de sécurité.

--overwrite-metadata

Remplace le contenu dans le fichier de sortie des métadonnées. Par défaut, le paramètre --metadata-output ajoute les métadonnées à un contenu existant dans le fichier.

--suppress-metadata (-S)

Supprime les métadonnées relatives à l'opération de chiffrement ou de déchiffrement.

--encryption-context (-c)

Spécifie un contexte de chiffrement pour l'opération. Ce paramètre n'est pas obligatoire, mais il est recommandé.

  • Dans une commande --encrypt, entrez une ou plusieurs paires name=value. Utilisez des espaces pour séparer les paires.

  • Dans une commande de déchiffrement, saisissez les paires name=value, les éléments name sans valeur, ou les deux.

Si name ou value dans une paire name=value contient des espaces ou des caractères spéciaux, placez la totalité de la paire entre guillemets. Par exemple : --encryption-context "department=software development".

--help (-h)

Imprime l'utilisation et la syntaxe dans la ligne de commande.

version

Permet de récupérer la version de l'Kit CLI de chiffrement AWS.

-v | -vv | -vvv | -vvvv

Affiche des informations détaillées, des avertissements et des messages de débogage. Le niveau de détail dans la sortie augmente avec le nombre de v dans le paramètre. Le paramètre le plus détaillé (-vvvv) renvoie des données au niveau du débogage à partir de l'Kit CLI de chiffrement AWS ainsi que tous les composants qu'il utilise.

--quiet (-q)

Supprime les messages d'avertissement, comme le message qui s'affiche lorsque vous remplacez un fichier de sortie.

Paramètres avancés

--algorithm

Spécifie une autre suite d'algorithmes. Ce paramètre est facultatif et uniquement valide dans les commandes de chiffrement. Par défaut, l'Kit CLI de chiffrement AWS utilise la suite d'algorithmes par défaut pour le kit Kit SDK de chiffrement AWS, c'est-à-dire AES-GCM avec un HKDF, une signature ECDSA et une clé de chiffrement de 256 bits. Cette suite d'algorithmes est recommandée pour la plupart des opérations de chiffrement. Pour obtenir une liste des valeurs valides, consultez les valeurs du paramètre algorithm dans Lisez les documents.

--frame-length

Crée la sortie avec la longueur de cadre spécifiée. Ce paramètre est facultatif et uniquement valide dans les commandes de chiffrement.

Entrez une valeur en octets. Les valeurs valides sont 0 et 1 – 2^31 à 1. Une valeur de 0 indique des données non encadrées. La valeur par défaut est 4096 (octets).

Note

Dans la mesure du possible, utilisez des données encadrées. Le Kit SDK de chiffrement AWS prend en charge les données non encadrées uniquement pour une utilisation héritée. Certaines implémentations de langage de la Kit SDK de chiffrement AWS peuvent toujours générer du texte chiffré non encadré. Toutes les implémentations de langage prises en charge peuvent déchiffrer le texte chiffré encadré et non encadré.

max-length

Indique la taille de trame maximale (ou la longueur maximale du contenu pour les messages non cadrés), en octets, à lire à partir de messages chiffrés. Ce paramètre est facultatif et uniquement valide dans les commandes de déchiffrement. Il est conçu pour vous protéger contre le déchiffrement de gros volumes de texte chiffré malveillant.

Entrez une valeur en octets. Si vous omettez ce paramètre, le champ Kit SDK de chiffrement AWS ne limite pas la taille de la trame lors du déchiffrement de.

--caching

Active la fonctionnalité de mise en cache des clés de données, qui réutilise des clés de données plutôt que de générer une nouvelle clé de données pour chaque fichier d'entrée. Ce paramètre prend en charge un scénario plus avancé. Veillez à bien lire la documentation Mise en cache des clés de données avant d'utiliser cette fonctionnalité.

Le paramètre --caching possède les attributs suivants.

capacity (obligatoire)

Détermine le nombre maximum d'entrées dans le cache.

La valeur minimale est de 1. Il n'y a pas de valeur maximale.

max_age (obligatoire)

Détermine la durée d’utilisation des entrées de cache, en secondes, à partir de leur ajout au cache.

Saisissez une valeur supérieure à 0. Il n'y a pas de valeur maximale.

max_messages_encrypted (en option)

Détermine le nombre maximal de messages qu'une entrée mise en cache peut chiffrer.

Les valeurs valides sont 1 – à 2^32. La valeur par défaut est 2^32 messages.

max_bytes_encrypted (en option)

Détermine le nombre maximal d'octets qu'une entrée mise en cache peut chiffrer.

Les valeurs valides sont 0 et 1 – 2^63 à 1. La valeur par défaut est 2^63 -1 (messages). Une valeur de 0 vous permet d'utiliser la mise en cache des clés de données uniquement lorsque vous chiffrez des chaînes de message vides.