Référence des paramètres et de la syntaxe de l'interface de ligne de commande du kit AWS Encryption SDK - AWS Encryption SDK

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Référence des paramètres et de la syntaxe de l'interface de ligne de commande du kit AWS Encryption SDK

Cette rubrique fournit des diagrammes de syntaxe et de brèves descriptions des paramètres pour vous aider à utiliser l'interface de ligne de commande (CLI) du kit AWS Encryption SDK. Pour obtenir de l'aide concernant l'encapsulation des clés et d'autres paramètres, veuillez consulterComment utiliser le moduleAWSCLI de chiffrement. Pour obtenir des exemples, consultez Exemples deAWSCLI de chiffrement. Pour obtenir la documentation complète, consultez Lisez les documents.

AWSSyntaxe du CLI de chiffrement

Ceux-ciAWSLes diagrammes de syntaxe de ligne de commande de chiffrement illustrent la syntaxe de chaque tâche que vous exécutez avec l'AWSCLI de chiffrement. Ils représentent la syntaxe recommandée dansAWSCli de chiffrement version 2.1.h/24, j/7et version ultérieure.

Les nouvelles fonctionnalités de sécurité ont été initialement publiées dansAWSVersion de la CLI de chiffrement 1.7.h/24, j/7et 2.0.h/24, j/7. Toutefois,AWSCli de chiffrement version 1.8.h/24, j/7remplace la version 1.7.h/24, j/7etAWSCli de chiffrement 2.1.h/24, j/7remplace 2,0.h/24, j/7. Pour plus d'informations, consultez lesconseil de sécuritédans leaws-encryption-sdk-clirepository surGitHub.

Note

Sauf indication dans la description du paramètre, chaque paramètre ou attribut ne peut être utilisé qu'une seule fois dans chaque commande.

Si vous utilisez un attribut qu'un paramètre ne prend pas en charge, le paramètreAWSL'interface CLI de chiffrement ignore cet attribut non pris en charge sans avertissement ni erreur.

Obtenir de l'aide

Pour obtenir l'intégralitéAWSSyntaxe CLI de chiffrement avec descriptions de paramètres, utilisez--helpou-h.

aws-encryption-cli (--help | -h)
Obtenir la version

Pour obtenir le numéro de version de votreAWSInstallation de l'interface CLI de chiffrement, utilisation--version. Assurez-vous d'inclure la version lorsque vous posez des questions, signalez des problèmes ou partagez des conseils sur l'utilisation de l'AWSCLI de chiffrement.

aws-encryption-cli --version
Chiffrer des données

Le diagramme de syntaxe suivant montre les paramètres utilisés par une commande encrypt.

aws-encryption-cli --encrypt --input <input> [--recursive] [--decode] --output <output> [--interactive] [--no-overwrite] [--suffix [<suffix>]] [--encode] --wrapping-keys [--wrapping-keys] ... key=<keyID> [key=<keyID>] ... [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>] --metadata-output <location> [--overwrite-metadata] | --suppress-metadata] [--commitment-policy <commitment-policy>] [--encryption-context <encryption_context> [<encryption_context> ...]] [--max-encrypted-data-keys <integer>] [--algorithm <algorithm_suite>] [--caching <attributes>] [--frame-length <length>] [-v | -vv | -vvv | -vvvv] [--quiet]
Déchiffrer des données

Le diagramme de syntaxe suivant montre les paramètres utilisés par une commande decrypt.

Dans la version 1.8.h/24, j/7, le--wrapping-keysest facultatif lors du déchiffrement, mais il est recommandé. Depuis la version 2.1.h/24, j/7, le--wrapping-keysest requis lors du chiffrement et du déchiffrement. PourAWS KMS keys, vous pouvez utiliser leclépour spécifier les clés d'encapsulation (bonnes pratiques) ou définir l'attributdécouverteAttributstrue, qui ne limite pas les clés d'encapsulation que leAWSL'interface CLI de chiffrement peut utiliser.

aws-encryption-cli --decrypt (or [--decrypt-unsigned]) --input <input> [--recursive] [--decode] --output <output> [--interactive] [--no-overwrite] [--suffix [<suffix>]] [--encode] --wrapping-keys [--wrapping-keys] ... [key=<keyID>] [key=<keyID>] ... [discovery={true|false}] [discovery-partition=<aws-partition-name> discovery-account=<aws-account-ID> [discovery-account=<aws-account-ID>] ...] [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>] --metadata-output <location> [--overwrite-metadata] | --suppress-metadata] [--commitment-policy <commitment-policy>] [--encryption-context <encryption_context> [<encryption_context> ...]] [--buffer] [--max-encrypted-data-keys <integer>] [--caching <attributes>] [--max-length <length>] [-v | -vv | -vvv | -vvvv] [--quiet]
Utiliser des fichiers de configuration

Vous pouvez faire référence aux fichiers de configuration qui contiennent les paramètres et leurs valeurs. Cela équivaut à saisir les paramètres et les valeurs dans la commande. Pour voir un exemple, consultez Procédure pour stocker les paramètres dans un fichier de configuration.

aws-encryption-cli @<configuration_file> # In a PowerShell console, use a backtick to escape the @. aws-encryption-cli `@<configuration_file>

AWSParamètres de ligne de commande de ligne de commande de clé

Cette liste fournit une description basique duAWSParamètres de commande CLI de chiffrement. Pour une description complète, consultezaws-encryption-sdkdocumentation -CLI.

--encrypt (-e)

Chiffre les données d'entrée. Chaque commande doit avoir un--encrypt, ou--decrypt, ou--decrypt-unsigned  Paramètre .

--decrypt (-d)

Déchiffre les données d'entrée. Chaque commande doit avoir un--encrypt,--decrypt, ou--decrypt-unsigned  Paramètre .

—decrypt-unsigned [Introduit dans les versions 1.9.h/24, j/7et 2.2.h/24, j/7]

Le--decrypt-unsigneddécrypte le texte chiffré et garantit que les messages ne sont pas signés avant le déchiffrement. Utilisez ce paramètre si vous avez utilisé le--algorithmet sélectionné une suite d'algorithmes sans signature numérique pour chiffrer les données. Si le texte chiffré est signé, le déchiffrement échoue.

Vous pouvez utiliser--decryptou--decrypt-unsignedpour le déchiffrement, mais pas les deux.

—wrapping-keys (-w) [Introduit dans la version 1.8.h/24, j/7]

Spécifie leclés d'emballage(ouclés principales) utilisé dans les opérations de chiffrement et de déchiffrement. Vous pouvez utilisermultiple--wrapping-keysparamètresdans chaque commande.

Depuis la version 2.1.h/24, j/7, le--wrapping-keysest obligatoire dans les commandes de chiffrement et de déchiffrement. Dans la version 1.8.h/24, j/7, les commandes de chiffrement requièrent soit un--wrapping-keysou--master-keys  Paramètre . Dans la version 1.8.h/24, j/7commandes de déchiffrement, un--wrapping-keysest facultatif, mais il est recommandé.

Lorsque vous utilisez un fournisseur de clés principales personnalisé, les commandes de chiffrement et de déchiffrement nécessitentcléetfournisseurattributs. Lorsque vous utilisezAWS KMS keys, les commandes de chiffrement nécessitent uncléattribut. Les commandes de déchiffrement nécessitent uncléou attributdécouverteavec une valeur detrue(mais pas les deux). Utilisation declélorsque le déchiffrement est un attributAWS Encryption SDKbonne pratique. Il est particulièrement important si vous déchiffrez des lots de messages inconnus, tels que ceux d'un compartiment Amazon S3 ou d'une file d'attente Amazon SQS.

Pour un exemple montrant comment utiliserAWS KMSClés multi-région comme clés d'encapsulation, consultezUtilisation de plusieurs régionsAWS KMS keys.

Attributes (Attributs) : La valeur du--wrapping-keysse compose des attributs suivants. Le format est le suivant attribute_name=value.

key

Identifie la clé d'encapsulation utilisée dans l'opération. Le format est une clé=paire d'ID. Vous pouvez spécifier plusieurs attributs key dans chaque valeur du paramètre --wrapping-keys.

  • Commandes de chiffrement : Toutes les commandes de chiffrement requièrent l'optioncléattribut. Lorsque vous utilisez unAWS KMS keydans une commande Encrypt, la valeur de la commandeclépeut être un ID de clé, un ARN de clé, un ARN de clé, un ARN d'alias ou un ARN d'alias. Pour obtenir des descriptions duAWS KMSidentificateurs de clés, voirIdentificateurs clésdans leAWS Key Management ServiceManuel du développeur.

  • Commandes de déchiffrer : Lors du déchiffrement avecAWS KMS keys, le--wrapping-keysrequiert uncléattribut avec unARN de clévaleur oudécouverteavec une valeur detrue(mais pas les deux). Utilisation decléest un attributAWS Encryption SDKbonne pratique. Lors du déchiffrement avec un fournisseur de clés principales personnalisé, lecléest obligatoire.

    Note

    Pour spécifier unAWS KMSclé d'encapsulation dans une commande de déchiffrement, la valeur de laclédoit être un ARN clé. Si vous utilisez un ID de clé, un ID de clé, un ARN d'alias ou un ARN d'alias, l'AWSL'interface de ligne de commande de chiffrement ne reconnaît pas la clé d'encapsulation.

Vous pouvez spécifier plusieurs attributs key dans chaque valeur du paramètre --wrapping-keys. Cependant, n'importe quelfournisseur,région, etprofilattributs dans un--wrapping-keyss'applique à toutes les clés d'encapsulation de cette valeur de paramètre. Pour spécifier des clés d'encapsulation avec différentes valeurs d'attribut, utilisez plusieurs clés d'encapsulation--wrapping-keysparamètres de la commande.

découverte

Autorise leAWSCLI de chiffrement pour utiliser n'importe quelAWS KMS keypour déchiffrer le message. Ledécouvertevaleur peut êtretrueoufalse. La valeur par défaut est false. Ledécouverteest valide uniquement dans les commandes de déchiffrement et uniquement lorsque le fournisseur de clés principales estAWS KMS.

Lors du déchiffrement avecAWS KMS keys, le--wrapping-keysrequiert uncléou attributdécouverteavec une valeur detrue(mais pas les deux). Si vous utilisez le pluginclé, vous pouvez utiliser un attributdécouverteavec une valeur defalsepour rejeter explicitement la découverte.

  • False(valeur par défaut) — Lorsque ledécouverten'est pas spécifié ou sa valeur estfalse, leAWSL'interface de ligne de commande de chiffrement déchiffre le message à l'aide uniquement de laAWS KMS keysspécifié par lecléattribut du--wrapping-keys  Paramètre . Si vous ne spécifiez aucuncléattribut lorsque la découverte estfalse, la commande de déchiffrement échoue. Cette valeur prend en charge unAWSCLI de chiffrementbonne pratique.

  • True— Lorsque la valeur dudécouverteesttrue, leAWSL'interface CLI de chiffrement obtient leAWS KMS keysà partir des métadonnées contenues dans le message chiffré, et les utiliseAWS KMS keyspour déchiffrer le message. Ledécouverteavec une valeur detruese comporte comme des versions duAWSCLI de chiffrement avant la version 1.8.h/24, j/7qui ne vous permettait pas de spécifier une clé d'encapsulation lors du déchiffrement. Cependant, votre intention d'utiliser n'importe quelAWS KMS keyest explicite. Si vous spécifiez uncléattribut lorsque la découverte esttrue, la commande de déchiffrement échoue.

    Letruela valeur peut entraîner laAWSCLI de chiffrement à utiliserAWS KMS keysdans différentsComptes AWSet Regions, ou tentez d'utiliserAWS KMS keysque l'utilisateur n'est pas autorisé à utiliser.

Quanddécouverteesttrue, c'est une bonne pratique d'utiliser leDécouverte - Partitionetdécovery-accountAttributs pour limiter leAWS KMS keyshabitués à ceux duComptes AWSque vous spécifiez.

compte de découverte

Limite leAWS KMS keysutilisé pour le déchiffrement vers ceux qui se trouvent dans la zone spécifiéeCompte AWS. La seule valeur valide pour cet attribut est uneCompte AWSIDENTIFIANT.

Cet attribut est facultatif et uniquement valide dans les commandes de déchiffrement avecAWS KMS keysoù ledécouverteest défini surtrueet l'Découverte - Partitionest spécifié.

EACHcompte de découverteattribut n'en prend qu'unCompte AWSID, mais vous pouvez spécifier plusieurscompte de découverteattributs dans le même--wrapping-keys  Paramètre . Tous les comptes spécifiés dans un compte donné--wrapping-keysLe paramètre doit être défini surAWSpartition.

Découverte - Partition

Spécifie leAWSpartition pour les comptes dans lecompte de découverteattribut. Sa valeur doit êtreAWSpartition, telle queaws,aws-cn, ouaws-gov-cloud. Pour plus d'informations, consultezAmazon Resource Namesdans leAWSRéférence générale.

Cet attribut est obligatoire lorsque vous utilisez ledécovery-accountattribut. Vous ne pouvez spécifier qu'un seulDécouverte - Partitionattribut dans chaque--wrapping keys  Paramètre . Pour spécifierComptes AWSdans plusieurs partitions, utilisez un--wrapping-keys  Paramètre .

provider

Identifie le fournisseur de clés principales. Le format est un fournisseur=paire d'ID. La valeur par défaut, aws-kms, représente AWS KMS. Cet attribut est obligatoire uniquement lorsque le fournisseur de clés principales n'est pas AWS KMS.

Région

Identifie leRégion AWSd'unAWS KMS key. Cet attribut est valide uniquement pour les clésAWS KMS keys. Il est utilisé uniquement lorsque l'identifiant de l'attribut key ne spécifie pas de région ; sinon, il est ignoré. Lorsqu'il est utilisé, il remplace la région par défaut dans le profil nommé de l'interface de ligne de commande AWS.

profile

Identifie un AWS CLIprofil nommé pour l'. Cet attribut est valide uniquement pour les clésAWS KMS keys. La région du profil est utilisée uniquement lorsque l'identifiant de clé ne spécifie pas de région et qu'il n'y a pas d'attribut region dans la commande.

--input (-i)

Spécifie l'emplacement des données à chiffrer ou déchiffrer. Ce paramètre est obligatoire. La valeur peut être un chemin d'accès à un fichier ou à un répertoire, ou un modèle de nom de fichier. Si vous dirigez l'entrée vers la commande (stdin), utilisez -.

Si l'entrée n'existe pas, la commande se termine correctement sans erreur ni avertissement.

--recursive (-r, -R)

Effectue l'opération sur les fichiers du répertoire d'entrée et ses sous-répertoires. Ce paramètre est obligatoire lorsque la valeur de --input est un répertoire.

--decode

Décode l'entrée codée en Base64.

Si vous déchiffrez un message qui a été chiffré puis codé, vous devez décoder le message avant de le déchiffrer. C'est ce que ce paramètre fait pour vous.

Par exemple, si vous avez utilisé le paramètre --encode dans une commande de chiffrement, utilisez le paramètre --decode dans la commande de déchiffrement correspondante. Vous pouvez également utiliser ce paramètre pour décoder l'entrée codée en Base64 avant de la chiffrer.

--output (-o)

Spécifie une destination pour la sortie. Ce paramètre est obligatoire. La valeur peut être un nom de fichier, un répertoire existant ou -, qui écrit la sortie dans la ligne de commande (stdout).

Si le répertoire de sortie spécifié n'existe pas, la commande échoue. Si l'entrée contient des sous-répertoires, l'AWSL'interface de ligne de commande de chiffrement reproduit les sous-répertoires sous le répertoire de sortie que vous spécifiez.

Par défaut, leAWSL'interface de ligne de commande de chiffrement remplace les fichiers portant le même nom. Pour modifier ce comportement, utilisez les paramètres --interactive ou --no-overwrite. Pour supprimer l'avertissement de remplacement, utilisez le paramètre --quiet.

Note

Si une commande susceptible de remplacer un fichier de sortie échoue, le fichier de sortie est supprimé.

--interactif

Envoie une invite avant de remplacer le fichier.

--no-overwrite

Ne remplace pas les fichiers. Au lieu de cela, si le fichier de sortie existe, l'AWSL'interface de ligne de commande de chiffrement ignore l'entrée correspondante.

--suffix

Spécifie un suffixe de nom de fichier personnalisé pour les fichiers que l'AWSLa CLI de chiffrement crée. Pour indiquer que vous ne souhaitez aucun suffixe, utilisez le paramètre sans valeur (--suffix).

Par défaut, lorsque le paramètre --output ne spécifie pas de nom de fichier, le nom du fichier de sortie est le même que celui du fichier d'entrée, auquel est ajouté le suffixe. Le suffixe pour les commandes de chiffrement est .encrypted. Le suffixe pour les commandes de déchiffrement est .decrypted.

--encode

Applique le codage Base64 (binaire en texte) à la sortie. Le codage empêche le programme hôte du shell de mal interpréter les caractères non ASCII dans le texte de sortie.

Utilisez ce paramètre lorsque vous écrivez une sortie chiffrée sur stdout (--output -), en particulier dans unPowerShell, même lorsque vous dirigez la sortie vers une autre commande ou que vous l'enregistrez dans une variable.

--metadata-output

Spécifie un emplacement pour les métadonnées relatives aux opérations de chiffrement. Saisissez un chemin et un nom de fichier. Si le répertoire n'existe pas, la commande échoue. Pour écrire les métadonnées sur la ligne de commande (stdout), utilisez -.

Vous ne pouvez pas écrire la sortie de commande (--output) et la sortie des métadonnées (--metadata-output) dans stdout dans la même commande. De plus, lorsque la valeur de --input ou --output est un répertoire (sans nom de fichier), vous ne pouvez pas écrire la sortie des métadonnées dans le même répertoire ou dans un sous-répertoire de ce répertoire.

Si vous spécifiez un fichier existant, par défaut, l'AWSL'interface de ligne de commande de chiffrement ajoute les nouveaux enregistrements de métadonnées à n'importe quel contenu du fichier. Cette fonctionnalité vous permet de créer un fichier unique qui contient les métadonnées pour l'ensemble de vos opérations de chiffrement. Pour remplacer le contenu dans un fichier existant, utilisez le paramètre --overwrite-metadata.

LeAWSL'interface de ligne de commande de chiffrement renvoie un enregistrement de métadonnées au format JSON pour chaque opération de chiffrement ou de déchiffrement que la commande effectue. Chaque enregistrement de métadonnées inclut les chemins d'accès complets aux fichiers d'entrée et de sortie, le contexte de chiffrement, la suite d'algorithmes, et d'autres informations utiles que vous pouvez utiliser pour vérifier l'opération et vous assurer qu'elle respecte vos normes de sécurité.

--overwrite-metadata

Remplace le contenu dans le fichier de sortie des métadonnées. Par défaut, le paramètre --metadata-output ajoute les métadonnées à un contenu existant dans le fichier.

--suppress-metadata (-S)

Supprime les métadonnées relatives à l'opération de chiffrement ou de déchiffrement.

—politique d'engagement

Spécifie lepolitique d'engagementpour les commandes de chiffrement et de déchiffrement. La stratégie d'engagement détermine si votre message est chiffré et déchiffré avec leengagement cléfonction de sécurité.

Le--commitment-policyest introduit dans la version 1.8.h/24, j/7. Il est valide dans les commandes de chiffrement et de déchiffrement.

Dans la version 1.8.h/24, j/7, leAWSL'interface CLI de chiffrement utilise leforbid-encrypt-allow-decryptpolitique d'engagement pour toutes les opérations de chiffrement et de déchiffrement. Lorsque vous utilisez le--wrapping-keysdans une commande de chiffrement ou de déchiffrement,--commitment-policyavec le paramètreforbid-encrypt-allow-decryptvaleur est obligatoire. Si vous n'utilisez pas le--wrapping-keys, le--commitment-policyLe paramètre n'est pas valide. La définition d'une stratégie d'engagement empêche explicitement votre politique d'engagement de passer automatiquement àrequire-encrypt-require-decryptlorsque vous mettez à niveau vers la version 2.1.h/24, j/7

Début deversion 2.1.h/24, j/7, toutes les valeurs de la politique d'engagement sont soutenues. Le--commitment-policyest facultatif et la valeur par défaut estrequire-encrypt-require-decrypt.

Ce paramètre a les valeurs suivantes:

  • forbid-encrypt-allow-decrypt— Impossible de chiffrer avec un engagement clé. Il peut déchiffrer les textes chiffrés avec ou sans engagement clé.

    Dans la version 1.8.h/24, j/7, il s'agit de la seule valeur valide. LeAWSL'interface CLI de chiffrement utilise leforbid-encrypt-allow-decryptpolitique d'engagement pour toutes les opérations de chiffrement et de déchiffrement.

  • require-encrypt-allow-decrypt— Chiffre uniquement avec un engagement clé. Décrypte avec ou sans engagement clé. Cette valeur est introduite dans la version 2.1.h/24, j/7.

  • require-encrypt-require-decrypt(par défaut) : chiffre et décrypte uniquement avec un engagement clé. Cette valeur est introduite dans la version 2.1.h/24, j/7. Il s'agit de la valeur par défaut des versions 2.1.h/24, j/7et version ultérieure. Avec cette valeur, leAWSL'interface de ligne de commande de chiffrement ne déchiffrera aucun texte chiffré avec les versions antérieures de l'AWS Encryption SDK.

Pour obtenir des informations détaillées sur la définition de votre politique d'engagement, veuillez consulterMigration vers les versions 2.0.h/24, j/7et version ultérieure.

--encryption-context (-c)

Spécifie un contexte de chiffrement pour l'opération. Ce paramètre n'est pas obligatoire, mais il est recommandé.

  • Dans une commande --encrypt, entrez une ou plusieurs paires name=value. Utilisez des espaces pour séparer les paires.

  • Dans un--decrypt, saisissezname=valuepaires,namedes éléments sans valeur, ou les deux.

Si name ou value dans une paire name=value contient des espaces ou des caractères spéciaux, placez la totalité de la paire entre guillemets. Par exemple, --encryption-context "department=software development".

—buffer (-b) [Introduit dans les versions 1.9.h/24, j/7et 2.2.h/24, j/7]

Renvoie le texte brut uniquement après le traitement de toutes les entrées, y compris la vérification de la signature numérique si elle est présente.

--max-encrypted-data-keys [Introduit dans les versions 1.9.h/24, j/7et 2.2.h/24, j/7]

Spécifie le nombre maximal de clés de données chiffrées dans un message chiffré. Ce paramètre est facultatif.

Les valeurs valides vont de 1 à 65 535. Si vous omettez ce paramètre,AWSL'interface de ligne de commande de chiffrement n'applique aucun maximum. Un message chiffré peut contenir jusqu'à 65 535 clés de données chiffrées (2^16 - 1).

Vous pouvez utiliser ce paramètre dans les commandes de chiffrement pour éviter un message mal formé. Vous pouvez l'utiliser dans les commandes de déchiffrement pour détecter les messages malveillants et éviter de déchiffrer les messages contenant de nombreuses clés de données chiffrées que vous ne pouvez pas déchiffrer. Pour plus de détails et un exemple, reportez-vous à la section Limiter les clés de données chiffrées.

--help (-h)

Imprime l'utilisation et la syntaxe dans la ligne de commande.

--Version

Permet de récupérer la version duAWSCLI de chiffrement.

-v | -vv | -vvv | -vvvv

Affiche des informations détaillées, des avertissements et des messages de débogage. Le niveau de détail dans la sortie augmente avec le nombre de v dans le paramètre. Le réglage le plus détaillé (-vvvv) renvoie des données au niveau du débogage à partir duAWSL'interface de ligne de commande de chiffrement et tous les composants qu'elle utilise.

--quiet (-q)

Supprime les messages d'avertissement, comme le message qui s'affiche lorsque vous remplacez un fichier de sortie.

—master-keys (-m) [Obsolète]
Note

Le paramètre —master-keys est obsolète dans 1.8.h/24, j/7et supprimé dans la version 2.1.h/24, j/7. Utilisez plutôt le—clés d'emballage  Paramètre .

Spécifie les clés principales utilisées dans les opérations de chiffrement et de déchiffrement. Vous pouvez utiliser plusieurs paramètres de clés principales dans chaque commande.

Le paramètre --master-keys est obligatoire dans les commandes de chiffrement. Il est obligatoire dans les commandes de déchiffrement uniquement lorsque vous utilisez un personnalisé (non -AWS KMS) fournisseur de clés principales.

Attributes (Attributs) : La valeur du--master-keysse compose des attributs suivants. Le format est le suivant attribute_name=value.

key

Identifie leclé d'encapsulationutilisé dans l'opération. Le format est une clé=paire d'ID. L'attribut key est obligatoire dans toutes les commandes de chiffrement.

Lorsque vous utilisez unAWS KMS keydans une commande Encrypt, la valeur de la commandeclépeut être un ID de clé, un ARN de clé, un ARN de clé, un ARN d'alias ou un ARN d'alias. Pour plus d'informations surAWS KMSidentificateurs de clés, voirIdentificateurs clésdans leAWS Key Management ServiceManuel du développeur.

Lecléest obligatoire dans les commandes de déchiffrement lorsque le fournisseur de clés principales n'est pasAWS KMS. Leclén'est pas autorisé dans les commandes qui déchiffrent les données chiffrées sous unAWS KMS key.

Vous pouvez spécifier plusieurs attributs key dans chaque valeur du paramètre --master-keys. Toutefois, n'importe quel attribut provider, region et profile s'applique à toutes les clés principales de la valeur du paramètre. Pour spécifier des clés principales avec différentes valeurs d'attribut, utilisez plusieurs paramètres --master-keys dans la commande.

provider

Identifie le fournisseur de clés principales. Le format est un fournisseur=paire d'ID. La valeur par défaut, aws-kms, représente AWS KMS. Cet attribut est obligatoire uniquement lorsque le fournisseur de clés principales n'est pas AWS KMS.

Région

Identifie leRégion AWSd'unAWS KMS key. Cet attribut est valide uniquement pour les clésAWS KMS keys. Il est utilisé uniquement lorsque l'identifiant de l'attribut key ne spécifie pas de région ; sinon, il est ignoré. Lorsqu'il est utilisé, il remplace la région par défaut dans le profil nommé de l'interface de ligne de commande AWS.

profile

Identifie un AWS CLIprofil nommé pour l'. Cet attribut est valide uniquement pour les clésAWS KMS keys. La région du profil est utilisée uniquement lorsque l'identifiant de clé ne spécifie pas de région et qu'il n'y a pas d'attribut region dans la commande.

Paramètres avancés

--algorithm

Spécifie une autre suite d'algorithmes. Ce paramètre est facultatif et uniquement valide dans les commandes de chiffrement.

Si vous omettez ce paramètre,AWSEncryption CLI utilise l'une des suites d'algorithmes par défaut pour leAWS Encryption SDKintroduit dans la version 1.8.h/24, j/7. Les deux algorithmes par défaut utilisent AES-GCM avec uneHKDF, une signature ECDSA et une clé de chiffrement de 256 bits. On utilise un engagement clé ; on ne le fait pas. Le choix de la suite d'algorithmes par défaut est déterminé par lepolitique d'engagementpour le commandement.

Les suites d'algorithmes par défaut sont recommandées pour la plupart des opérations de chiffrement. Pour obtenir une liste des valeurs valides, consultez les valeurs du paramètre algorithm dans Lisez les documents.

--frame-length

Crée la sortie avec la longueur de cadre spécifiée. Ce paramètre est facultatif et uniquement valide dans les commandes de chiffrement.

Entrez une valeur en octets. Les valeurs valides sont 0 et 1 — 2^31 - 1. La valeur 0 indique les données non encadrées. La valeur par défaut est 4096 (octets).

Note

Dans la mesure du possible, utilisez des données encadrées. LeAWS Encryption SDKprend en charge les données non encadrées uniquement pour une utilisation héritée. Certaines implémentations linguistiques de laAWS Encryption SDKpeut toujours générer du texte chiffré non encadré. Toutes les implémentations linguistiques prises en charge peuvent déchiffrer le texte chiffré encadré et non encadré.

--max-length

Indique la taille de trame maximale (ou la longueur maximale du contenu pour les messages non cadrés), en octets, à lire à partir de messages chiffrés. Ce paramètre est facultatif et uniquement valide dans les commandes de déchiffrement. Il est conçu pour vous protéger contre le déchiffrement de gros volumes de texte chiffré malveillant.

Entrez une valeur en octets. Si vous omettez ce paramètre,AWS Encryption SDKne limite pas la taille de l'image lors du déchiffrement.

--caching

Active la fonctionnalité de mise en cache des clés de données, qui réutilise des clés de données plutôt que de générer une nouvelle clé de données pour chaque fichier d'entrée. Ce paramètre prend en charge un scénario plus avancé. Veillez à bien lire la documentation Mise en cache des clés de données avant d'utiliser cette fonctionnalité.

Le paramètre --caching possède les attributs suivants.

capacity (obligatoire)

Détermine le nombre maximum d'entrées dans le cache.

La valeur minimale est de 1. Il n'y a pas de valeur maximale.

max_age (obligatoire)

Détermine la durée d'utilisation des entrées de cache, en quelques secondes, à partir du moment où elles sont ajoutées au cache.

Saisissez une valeur supérieure à 0. Il n'y a pas de valeur maximale.

max_messages_encrypted (facultatif)

Détermine le nombre maximal de messages qu'une entrée mise en cache peut chiffrer.

Les valeurs valides sont 1 — 2^32. La valeur par défaut est 2^32 (messages).

max_bytes_encrypted (facultatif)

Détermine le nombre maximal d'octets qu'une entrée mise en cache peut chiffrer.

Les valeurs valides sont 0 et 1 — 2^63 - 1. La valeur par défaut est 2^63 - 1 (messages). Une valeur de 0 vous permet d'utiliser la mise en cache des clés de données uniquement lorsque vous chiffrez des chaînes de message vides.