Référence des paramètres et de la syntaxe de l'interface de ligne de commande du kit AWS Encryption SDK - AWS Encryption SDK
AWSSyntaxe CLI de chiffrementAWSParamètres de ligne de commande CLIParamètres avancés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Référence des paramètres et de la syntaxe de l'interface de ligne de commande du kit AWS Encryption SDK

Cette rubrique fournit des diagrammes de syntaxe et de brèves descriptions des paramètres pour vous aider à utiliser l'interface de ligne de commande (CLI) du kit AWS Encryption SDK. Pour obtenir de l'aide sur l'encapsulation des clés et d'autres paramètres, consultezComment utiliser l'interface de ligne de commande AWS de chiffrement. Pour obtenir des exemples, consultez Exemples deAWSCLI de chiffrement. Pour obtenir la documentation complète, consultez Lisez les documents.

AWSSyntaxe CLI de chiffrement

Ces diagrammes de syntaxe de la CLI deAWS chiffrement présentent la syntaxe de chaque tâche que vous effectuez avec la CLI deAWS chiffrement. Ils représentent la syntaxe recommandée dansAWS Encryption CLI version 2.1. x et versions ultérieures.

De nouvelles fonctionnalités de sécurité ont été initialement publiées dans les versions 1.7 de l'AWSEncryption CLI. x et 2.0. x. Toutefois,AWS Encryption CLI version 1.8. x remplace la version 1.7. x etAWS Encryption CLI 2.1. x remplace 2.0. x. Pour plus de détails, consultez l'avis de sécurité correspondant dans le aws-encryption-sdk-cliréférentiel sur GitHub.

Note

Sauf indication contraire dans la description du paramètre, chaque paramètre ou attribut ne peut être utilisé qu'une seule fois dans chaque commande.

Si vous utilisez un attribut non pris en charge par un paramètre, la CLI deAWS chiffrement ignore cet attribut non pris en charge sans avertissement ni erreur.

Obtenir de l'aide

Pour obtenir la syntaxe complète de la CLI deAWS chiffrement avec les descriptions des paramètres, utilisez--help ou-h.

aws-encryption-cli (--help | -h)
Obtenir la version

Pour obtenir le numéro de version de votre installationAWS Encryption CLI, utilisez--version. Assurez-vous d'inclure la version lorsque vous posez des questions, signalez des problèmes ou partagez des conseils sur l'utilisation de la CLI deAWS chiffrement.

aws-encryption-cli --version
Chiffrer des données

Le diagramme de syntaxe suivant montre les paramètres utilisés par une commande encrypt. 

aws-encryption-cli --encrypt
                   --input <input> [--recursive] [--decode]
                   --output <output> [--interactive] [--no-overwrite] [--suffix [<suffix>]] [--encode]
                   --wrapping-keys  [--wrapping-keys] ...
                       key=<keyID> [key=<keyID>] ...
                       [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>]
                   --metadata-output <location> [--overwrite-metadata] | --suppress-metadata]
                   [--commitment-policy <commitment-policy>]
                   [--encryption-context <encryption_context> [<encryption_context> ...]]
                   [--max-encrypted-data-keys <integer>]
                   [--algorithm <algorithm_suite>]
                   [--caching <attributes>] 
                   [--frame-length <length>]
                   [-v | -vv | -vvv | -vvvv]
                   [--quiet]
Déchiffrer des données

Le diagramme de syntaxe suivant montre les paramètres utilisés par une commande decrypt.

Dans la version 1.8. x, le--wrapping-keys paramètre est facultatif lors du déchiffrement, mais recommandé. À partir de version 2.1. x, le--wrapping-keys paramètre est requis lors du chiffrement et du déchiffrement. EnAWS KMS keys effet, vous pouvez utiliser l'attribut key pour spécifier des clés d'encapsulation (meilleure pratique) ou définir l'attribut de découverte surtrue, ce qui ne limite pas le nombre de clés d'encapsulation que la CLI deAWS chiffrement peut utiliser.

aws-encryption-cli --decrypt (or [--decrypt-unsigned]) 
                   --input <input> [--recursive] [--decode]
                   --output <output> [--interactive] [--no-overwrite]  [--suffix [<suffix>]] [--encode]           
                   --wrapping-keys  [--wrapping-keys] ...
                       [key=<keyID>] [key=<keyID>] ...
                       [discovery={true|false}] [discovery-partition=<aws-partition-name> discovery-account=<aws-account-ID> [discovery-account=<aws-account-ID>] ...] 
                       [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>]
                   --metadata-output <location> [--overwrite-metadata] | --suppress-metadata]
                   [--commitment-policy <commitment-policy>]
                   [--encryption-context <encryption_context> [<encryption_context> ...]]
                   [--buffer]
                   [--max-encrypted-data-keys <integer>]
                   [--caching <attributes>]
                   [--max-length <length>]
                   [-v | -vv | -vvv | -vvvv]
                   [--quiet]
Utiliser des fichiers de configuration

Vous pouvez faire référence aux fichiers de configuration qui contiennent les paramètres et leurs valeurs. Cela équivaut à saisir les paramètres et les valeurs dans la commande. Pour voir un exemple, consultez Procédure pour stocker les paramètres dans un fichier de configuration.

aws-encryption-cli @<configuration_file>

# In a PowerShell console, use a backtick to escape the @.
aws-encryption-cli `@<configuration_file>

AWSParamètres de ligne de commande CLI

Cette liste fournit une description de base des paramètres de la commandeAWS Encryption CLI. Pour une description complète, consultez la aws-encryption-sdk-clidocumentation.

--encrypt (-e)

Chiffre les données d'entrée. Chaque commande doit avoir un--decrypt-unsigned paramètre--encrypt--decrypt, ou, ou.

--decrypt (-d)

Déchiffre les données d'entrée. Chaque commande doit avoir un--decrypt-unsigned paramètre--encrypt--decrypt, ou.

--decrypt-unsigned [Introduit dans les versions 1.9. x et 2.2. x]

Le--decrypt-unsigned paramètre déchiffre le texte chiffré et garantit que les messages ne sont pas signés avant le déchiffrement. Utilisez ce paramètre si vous l'--algorithmavez utilisé et sélectionné une suite d'algorithmes sans signature numérique pour crypter les données. Si le texte chiffré est signé, le déchiffrement échoue.

Vous pouvez utiliser--decrypt ou--decrypt-unsigned pour le déchiffrement, mais pas les deux.

--wrapping-keys (-w) [Introduit dans la version 1.8. x]

Spécifie les clés d'encapsulation (ou clés principales) utilisées dans les opérations de chiffrement et de déchiffrement. Vous pouvez utiliser plusieurs--wrapping-keys paramètres dans chaque commande.

À partir de version 2.1. x, le--wrapping-keys paramètre est requis dans les commandes de chiffrement et de déchiffrement. Dans la version 1.8. x, les commandes de chiffrement nécessitent un--wrapping-keys ou un--master-keys paramètre. Dans la version 1.8. x commandes de déchiffrement, un--wrapping-keys paramètre est facultatif mais recommandé.

Lorsque vous utilisez un fournisseur de clé principale personnalisé, les commandes de chiffrement et de déchiffrement nécessitent des attributs de clé et de fournisseur. Lors de leur utilisationAWS KMS keys, les commandes de chiffrement nécessitent un attribut clé. Les commandes de déchiffrement nécessitent un attribut clé ou un attribut de découverte avec une valeur detrue (mais pas les deux). Il est recommandé d'utiliser l'attribut clé lors du AWS Encryption SDKdéchiffrement. C'est particulièrement important si vous déchiffrez des lots de messages inconnus, tels que ceux qui se trouvent dans un compartiment Amazon S3 ou une file d'attente Amazon SQS.

Pour un exemple montrant comment utiliser des clésAWS KMS multirégions comme clés d'encapsulation, consultezUtilisation de plusieurs régions AWS KMS keys.

Attributs : la valeur du paramètre --wrapping-keys comprend les attributs suivants. Le format est le suivant attribute_name=value.

key

Identifie la clé d'encapsulation utilisée dans l'opération. Le format est une clé=paire d'ID. Vous pouvez spécifier plusieurs attributs key dans chaque valeur du paramètre --wrapping-keys.

  • Commandes de chiffrement : toutes les commandes de chiffrement nécessitent l'attribut clé. Lorsque vous utilisez une commandeAWS KMS key in an encrypt, la valeur de l'attribut clé peut être un ID de clé, un ARN de clé, un nom d'alias ou un ARN d'alias. Pour obtenir une description des identificateursAWS KMS clés, voir Identifiants clés dans le Guide duAWS Key Management Service développeur.

  • Commandes de déchiffrement : lors du déchiffrement avecAWS KMS keys, le--wrapping-keys paramètre nécessite un attribut clé avec une valeur ARN clé ou un attribut de découverte avec une valeur detrue (mais pas les deux). L'utilisation de l'attribut clé est une AWS Encryption SDKbonne pratique. Lors du déchiffrement avec un fournisseur de clé principale personnalisé, l'attribut clé est obligatoire.

    Note

    Pour spécifier une cléAWS KMS d'encapsulation dans une commande de déchiffrement, la valeur de l'attribut clé doit être un ARN clé. Si vous utilisez un ID de clé, un nom d'alias ou un ARN d'alias, la CLI deAWS chiffrement ne reconnaît pas la clé d'encapsulation.

Vous pouvez spécifier plusieurs attributs key dans chaque valeur du paramètre --wrapping-keys. Toutefois, tous les attributs de fournisseur, de région et de profil d'un--wrapping-keys paramètre s'appliquent à toutes les clés d'encapsulation de cette valeur de paramètre. Pour spécifier des clés d'encapsulation avec différentes valeurs d'attribut, utilisez plusieurs--wrapping-keys paramètres dans la commande.

découverte

Autorise la CLI deAWS chiffrement à utiliser n'importeAWS KMS key laquelle pour déchiffrer le message. La valeur de découverte peut êtretrue oufalse. La valeur par défaut est false. L'attribut de découverte n'est valide que dans les commandes de déchiffrement et uniquement lorsque le fournisseur de clé principale l'estAWS KMS.

Lors du déchiffrement avecAWS KMS keys, le--wrapping-keys paramètre nécessite un attribut clé ou un attribut de découverte avec une valeur detrue (mais pas les deux). Si vous utilisez l'attribut key, vous pouvez utiliser un attribut de découverte avec une valeur defalse pour rejeter explicitement la découverte.

  • False(par défaut) — Lorsque l'attribut de découverte n'est pas spécifié ou que sa valeur l'estfalse, la CLI deAWS chiffrement déchiffre le message en utilisant uniquement l'attributAWS KMS keys spécifié par la clé du--wrapping-keys paramètre. Si vous ne spécifiez aucun attribut clé lors de la découvertefalse, la commande de déchiffrement échoue. Cette valeur est conforme aux meilleures pratiques de l'interface de ligne de commande deAWS chiffrement.

  • True— Lorsque la valeur de l'attribut de découverte esttrue égale à, la CLIAWS KMS keys deAWS chiffrement obtient les métadonnées du message crypté et les utiliseAWS KMS keys pour déchiffrer le message. L'attribut discovery dont la valeur esttrue se comporte comme les versions de l'AWSEncryption CLI antérieures à la version 1.8. x qui ne vous permettait pas de spécifier une clé d'encapsulation lors du déchiffrement. Toutefois, votre intention d'en utiliserAWS KMS key est explicite. Si vous spécifiez un attribut clé lors de la découvertetrue, la commande de déchiffrement échoue.

    Latrue valeur peut entraîner l'utilisation de la CLI deAWS chiffrementAWS KMS keys dans différentes régionsComptes AWS et, ou une tentative d'utilisationAWS KMS keys que l'utilisateur n'est pas autorisé à utiliser.

Lorsque c'est le castrue, il est recommandé d'utiliser les attributs discovery-partition et discovery-account pour limiter les attributsAWS KMS keys utilisés à ceuxComptes AWS que vous spécifiez.

compte de découverte

Limite les valeursAWS KMS keys utilisées pour le déchiffrement à celles spécifiéesCompte AWS. La seule valeur valide pour cet attribut est un Compte AWSidentifiant.

Cet attribut est facultatif et valide uniquement dans les commandes de déchiffrement dansAWS KMS keys lesquelles l'attribut discovery est définitrue et l'attribut discovery-partition est spécifié.

Chaque attribut de compte de découverte ne prend qu'un seulCompte AWS identifiant, mais vous pouvez spécifier plusieurs attributs de compte de découverte dans le même--wrapping-keys paramètre. Tous les comptes spécifiés dans un--wrapping-keys paramètre donné doivent se trouver dans laAWS partition spécifiée.

découverte

Spécifie laAWS partition des comptes dans l'attribut discovery-account. Sa valeur doit être uneAWS partition, telle queawsaws-cn, ouaws-gov-cloud. Pour plus d'informations, consultez Amazon Resource Names dans le Références générales AWS.

Cet attribut est obligatoire lorsque vous utilisez l'attribut discovery-account. Vous ne pouvez spécifier qu'un seul attribut discovery-partition dans chaque--wrapping keys paramètre. Pour spécifierComptes AWS dans plusieurs partitions, utilisez un--wrapping-keys paramètre supplémentaire.

provider

Identifie le fournisseur de clés principales. Le format est un fournisseur=paire d'ID. La valeur par défaut, aws-kms, représente AWS KMS. Cet attribut est obligatoire uniquement lorsque le fournisseur de clés principales n'est pas AWS KMS.

Région

IdentifieRégion AWS leAWS KMS key. Cet attribut n'est valide que pourAWS KMS keys. Il est utilisé uniquement lorsque l'identifiant de l'attribut key ne spécifie pas de région ; sinon, il est ignoré. Lorsqu'il est utilisé, il remplace la région par défaut dans le profil nommé de l'interface de ligne de commande AWS.

profile

Identifie un AWS CLIprofil nommé pour l'. Cet attribut n'est valide que pourAWS KMS keys. La région du profil est utilisée uniquement lorsque l'identifiant de clé ne spécifie pas de région et qu'il n'y a pas d'attribut region dans la commande.

--input (-i)

Spécifie l'emplacement des données à chiffrer ou déchiffrer. Ce paramètre est obligatoire. La valeur peut être un chemin d'accès à un fichier ou à un répertoire, ou un modèle de nom de fichier. Si vous dirigez l'entrée vers la commande (stdin), utilisez -.

Si l'entrée n'existe pas, la commande se termine correctement sans erreur ni avertissement.

--recursive (-r, -R)

Effectue l'opération sur les fichiers du répertoire d'entrée et ses sous-répertoires. Ce paramètre est obligatoire lorsque la valeur de --input est un répertoire.

--decode

Décode l'entrée codée en Base64.

Si vous déchiffrez un message qui a été chiffré puis codé, vous devez décoder le message avant de le déchiffrer. C'est ce que ce paramètre fait pour vous.

Par exemple, si vous avez utilisé le paramètre --encode dans une commande de chiffrement, utilisez le paramètre --decode dans la commande de déchiffrement correspondante. Vous pouvez également utiliser ce paramètre pour décoder l'entrée codée en Base64 avant de la chiffrer.

--output (-o)

Spécifie une destination pour la sortie. Ce paramètre est obligatoire. La valeur peut être un nom de fichier, un répertoire existant ou -, qui écrit la sortie dans la ligne de commande (stdout).

Si le répertoire de sortie spécifié n'existe pas, la commande échoue. Si l'entrée contient des sous-répertoires, la CLI deAWS chiffrement reproduit les sous-répertoires dans le répertoire de sortie que vous spécifiez.

Par défaut, la CLI deAWS chiffrement remplace les fichiers portant le même nom. Pour modifier ce comportement, utilisez les paramètres --interactive ou --no-overwrite. Pour supprimer l'avertissement de remplacement, utilisez le paramètre --quiet.

Note

Si une commande susceptible de remplacer un fichier de sortie échoue, le fichier de sortie est supprimé.

--interactif

Envoie une invite avant de remplacer le fichier.

--no-overwrite

Ne remplace pas les fichiers. Au lieu de cela, si le fichier de sortie existe, la CLI deAWS chiffrement ignore l'entrée correspondante.

--suffix

Spécifie un suffixe de nom de fichier personnalisé pour les fichiers créés par la CLI deAWS chiffrement. Pour indiquer que vous ne souhaitez aucun suffixe, utilisez le paramètre sans valeur (--suffix).

Par défaut, lorsque le paramètre --output ne spécifie pas de nom de fichier, le nom du fichier de sortie est le même que celui du fichier d'entrée, auquel est ajouté le suffixe. Le suffixe pour les commandes de chiffrement est .encrypted. Le suffixe pour les commandes de déchiffrement est .decrypted.

--encode

Applique le codage Base64 (binaire en texte) à la sortie. Le codage empêche le programme hôte du shell de mal interpréter les caractères non ASCII dans le texte de sortie.

Utilisez ce paramètre lorsque vous écrivez une sortie cryptée dans stdout (--output -), en particulier dans une PowerShell console, même lorsque vous redirigez la sortie vers une autre commande ou que vous l'enregistrez dans une variable.

--metadata-output

Spécifie un emplacement pour les métadonnées relatives aux opérations de chiffrement. Saisissez un chemin et un nom de fichier. Si le répertoire n'existe pas, la commande échoue. Pour écrire les métadonnées sur la ligne de commande (stdout), utilisez -.

Vous ne pouvez pas écrire la sortie de commande (--output) et la sortie des métadonnées (--metadata-output) dans stdout dans la même commande. De plus, lorsque la valeur de --input ou --output est un répertoire (sans nom de fichier), vous ne pouvez pas écrire la sortie des métadonnées dans le même répertoire ou dans un sous-répertoire de ce répertoire.

Si vous spécifiez un fichier existant, la CLI deAWS chiffrement ajoute par défaut de nouveaux enregistrements de métadonnées à tout contenu du fichier. Cette fonctionnalité vous permet de créer un fichier unique qui contient les métadonnées pour l'ensemble de vos opérations de chiffrement. Pour remplacer le contenu dans un fichier existant, utilisez le paramètre --overwrite-metadata.

La CLI deAWS chiffrement renvoie un enregistrement de métadonnées au format JSON pour chaque opération de chiffrement ou de déchiffrement exécutée par la commande. Chaque enregistrement de métadonnées inclut les chemins d'accès complets aux fichiers d'entrée et de sortie, le contexte de chiffrement, la suite d'algorithmes, et d'autres informations utiles que vous pouvez utiliser pour vérifier l'opération et vous assurer qu'elle respecte vos normes de sécurité.

--overwrite-metadata

Remplace le contenu dans le fichier de sortie des métadonnées. Par défaut, le paramètre --metadata-output ajoute les métadonnées à un contenu existant dans le fichier.

--suppress-metadata (-S)

Supprime les métadonnées relatives à l'opération de chiffrement ou de déchiffrement.

--politique-d'engagement

Spécifie la politique d'engagement pour les commandes de chiffrement et de déchiffrement. La politique d'engagement détermine si votre message est crypté et déchiffré à l'aide de la fonctionnalité clé de sécurité d'engagement.

Le--commitment-policy paramètre est introduit dans la version 1.8. x. Il est valide dans les commandes de chiffrement et de déchiffrement.

Dans la version 1.8. x, la CLI deAWS chiffrement utilise la politique d'forbid-encrypt-allow-decryptengagement pour toutes les opérations de chiffrement et de déchiffrement. Lorsque vous utilisez le--wrapping-keys paramètre dans une commande de chiffrement ou de déchiffrement, un--commitment-policy paramètre avec laforbid-encrypt-allow-decrypt valeur est requis. Si vous n'utilisez pas le--wrapping-keys paramètre, celui-ci n'est pas valide.--commitment-policy La définition d'une politique d'engagement empêche explicitement la modification automatique de votre politique d'engagementrequire-encrypt-require-decrypt lors de la mise à niveau vers la version 2.1. x

À partir de version 2.1. x, toutes les valeurs de la politique d'engagement sont prises en charge. Le--commitment-policy paramètre est facultatif et la valeur par défaut estrequire-encrypt-require-decrypt.

Ce paramètre a les valeurs suivantes:

  • forbid-encrypt-allow-decrypt— Impossible de chiffrer avec la saisie de la clé. Il peut déchiffrer des textes chiffrés avec ou sans saisie de clé.

    Dans la version 1.8. x, c'est la seule valeur valide. La CLI deAWS chiffrement utilise la politique d'forbid-encrypt-allow-decryptengagement pour toutes les opérations de chiffrement et de déchiffrement.

  • require-encrypt-allow-decrypt— Chiffre uniquement avec un engagement clé. Déchiffre avec et sans engagement de clé. Cette valeur est introduite dans la version 2.1. x.

  • require-encrypt-require-decrypt(par défaut) — Chiffre et déchiffre uniquement avec un engagement de clé. Cette valeur est introduite dans la version 2.1. x. Il s'agit de la valeur par défaut dans les versions 2.1. x et versions ultérieures. Avec cette valeur, l'interface de ligne de commande deAWS chiffrement ne déchiffrera aucun texte chiffré avec des versions antérieures duAWS Encryption SDK.

Pour plus d'informations sur la définition de votre politique d'engagement, consultezMigrer votreAWS Encryption SDK.

--encryption-context (-c)

Spécifie un contexte de chiffrement pour l'opération. Ce paramètre n'est pas obligatoire, mais il est recommandé.

  • Dans une commande --encrypt, entrez une ou plusieurs paires name=value. Utilisez des espaces pour séparer les paires.

  • Dans une--decrypt commande, entrez desname=value paires,name des éléments sans valeur, ou les deux.

Si name ou value dans une paire name=value contient des espaces ou des caractères spéciaux, placez la totalité de la paire entre guillemets. Par exemple, --encryption-context "department=software development".

--buffer (-b) [Introduit dans les versions 1.9. x et 2.2. x]

Renvoie le texte en clair uniquement après le traitement de toutes les entrées, y compris la vérification de la signature numérique si elle est présente.

--max-encrypted-data-keys [Introduit dans les versions 1.9. x et 2.2. x]

Spécifie le nombre maximal de clés de données cryptées dans un message crypté. Ce paramètre est facultatif.

Les valeurs valides vont de 1 à 65 535. Si vous omettez ce paramètre, la CLI deAWS chiffrement n'impose pas de maximum. Un message crypté peut contenir jusqu'à 65 535 (2^16 - 1) clés de données cryptées.

Vous pouvez utiliser ce paramètre dans les commandes de chiffrement afin d'éviter un message mal formé. Vous pouvez l'utiliser dans des commandes de déchiffrement pour détecter les messages malveillants et éviter de déchiffrer des messages contenant de nombreuses clés de données cryptées que vous ne pouvez pas déchiffrer. Pour plus de détails et un exemple, reportez-vous à la section Limiter les clés de données chiffrées.

--help (-h)

Imprime l'utilisation et la syntaxe dans la ligne de commande.

--Version

Obtient la version de la CLI deAWS chiffrement.

-v | -vv | -vvv | -vvvv

Affiche des informations détaillées, des avertissements et des messages de débogage. Le niveau de détail dans la sortie augmente avec le nombre de v dans le paramètre. Le paramètre le plus détaillé (-vvvv) renvoie des données de débogage à partir de la CLI deAWS chiffrement et de tous les composants qu'elle utilise.

--quiet (-q)

Supprime les messages d'avertissement, comme le message qui s'affiche lorsque vous remplacez un fichier de sortie.

--master-keys (-m) [Obsolète]
Note

Le paramètre --master-keys est obsolète depuis la version 1.8. x et supprimé dans la version 2.1. x. Utilisez plutôt le paramètre --wrapping-keys.

Spécifie les clés principales utilisées dans les opérations de chiffrement et de déchiffrement. Vous pouvez utiliser plusieurs paramètres de clés principales dans chaque commande.

Le paramètre --master-keys est obligatoire dans les commandes de chiffrement. Elle est requise dans les commandes de déchiffrement uniquement lorsque vous utilisez un fournisseur de clé (nonAWS KMS) principale personnalisé.

Attributs : la valeur du paramètre --master-keys comprend les attributs suivants. Le format est le suivant attribute_name=value.

key

Identifie la clé d'encapsulation utilisée dans l'opération. Le format est une clé=paire d'ID. L'attribut key est obligatoire dans toutes les commandes de chiffrement.

Lorsque vous utilisez une commandeAWS KMS key in an encrypt, la valeur de l'attribut clé peut être un ID de clé, un ARN de clé, un nom d'alias ou un ARN d'alias. Pour plus de détails surAWS KMS les identificateurs clés, voir Identifiants clés dans le Guide duAWS Key Management Service développeur.

L'attribut clé est requis dans les commandes de déchiffrement lorsque le fournisseur de clé principale ne l'est pasAWS KMS. L'attribut clé n'est pas autorisé dans les commandes qui déchiffrent des données chiffrées dans le cadre d'unAWS KMS key.

Vous pouvez spécifier plusieurs attributs key dans chaque valeur du paramètre --master-keys. Toutefois, n'importe quel attribut provider, region et profile s'applique à toutes les clés principales de la valeur du paramètre. Pour spécifier des clés principales avec différentes valeurs d'attribut, utilisez plusieurs paramètres --master-keys dans la commande.

provider

Identifie le fournisseur de clés principales. Le format est un fournisseur=paire d'ID. La valeur par défaut, aws-kms, représente AWS KMS. Cet attribut est obligatoire uniquement lorsque le fournisseur de clés principales n'est pas AWS KMS.

Région

IdentifieRégion AWS leAWS KMS key. Cet attribut n'est valide que pourAWS KMS keys. Il est utilisé uniquement lorsque l'identifiant de l'attribut key ne spécifie pas de région ; sinon, il est ignoré. Lorsqu'il est utilisé, il remplace la région par défaut dans le profil nommé de l'interface de ligne de commande AWS.

profile

Identifie un AWS CLIprofil nommé pour l'. Cet attribut n'est valide que pourAWS KMS keys. La région du profil est utilisée uniquement lorsque l'identifiant de clé ne spécifie pas de région et qu'il n'y a pas d'attribut region dans la commande.

Paramètres avancés

--algorithm

Spécifie une autre suite d'algorithmes. Ce paramètre est facultatif et uniquement valide dans les commandes de chiffrement.

Si vous omettez ce paramètre, la CLI deAWS chiffrement utilise l'une des suites d'algorithmes par défaut pour les versionsAWS Encryption SDK introduites dans la version 1.8. x. Les deux algorithmes par défaut utilisent AES-GCM avec un HKDF, une signature ECDSA et une clé de cryptage 256 bits. L'un utilise un engagement clé ; l'autre ne le fait pas. Le choix de la suite d'algorithmes par défaut est déterminé par la politique d'engagement de la commande.

Les suites d'algorithmes par défaut sont recommandées pour la plupart des opérations de chiffrement. Pour obtenir une liste des valeurs valides, consultez les valeurs du paramètre algorithm dans Lisez les documents.

--frame-length

Crée la sortie avec la longueur de cadre spécifiée. Ce paramètre est facultatif et uniquement valide dans les commandes de chiffrement.

Entrez une valeur en octets. Les valeurs valides sont 0 et 1 — 2^31 - 1. La valeur 0 indique des données sans cadre. La valeur par défaut est de 4 096 (octets).

Note

Dans la mesure du possible, utilisez des données encadrées. IlAWS Encryption SDK prend en charge les données sans cadre uniquement pour une utilisation traditionnelle. Certaines implémentations linguistiques duAWS Encryption SDK peuvent toujours générer du texte chiffré sans cadre. Toutes les implémentations linguistiques prises en charge peuvent déchiffrer du texte chiffré encadré et non encadré.

--max-length

Indique la taille de trame maximale (ou la longueur maximale du contenu pour les messages non cadrés), en octets, à lire à partir de messages chiffrés. Ce paramètre est facultatif et uniquement valide dans les commandes de déchiffrement. Il est conçu pour vous protéger contre le déchiffrement de gros volumes de texte chiffré malveillant.

Entrez une valeur en octets. Si vous omettez ce paramètre, la taille d'imageAWS Encryption SDK ne limite pas la taille d'image lors du déchiffrement.

--caching

Active la fonctionnalité de mise en cache des clés de données, qui réutilise des clés de données plutôt que de générer une nouvelle clé de données pour chaque fichier d'entrée. Ce paramètre prend en charge un scénario plus avancé. Veillez à bien lire la documentation Mise en cache des clés de données avant d'utiliser cette fonctionnalité.

Le paramètre --caching possède les attributs suivants.

capacity (obligatoire)

Détermine le nombre maximum d'entrées dans le cache.

La valeur minimale est de 1. Il n'y a pas de valeur maximale.

max_age (obligatoire)

Déterminez la durée pendant laquelle les entrées du cache sont utilisées, en secondes, à compter de leur ajout au cache.

Saisissez une valeur supérieure à 0. Il n'y a pas de valeur maximale.

max_messages_encrypted (facultatif)

Détermine le nombre maximal de messages qu'une entrée mise en cache peut chiffrer.

Les valeurs valides vont de 1 à 2^32. La valeur par défaut est 2^32 (messages).

max_bytes_encrypted (facultatif)

Détermine le nombre maximal d'octets qu'une entrée mise en cache peut chiffrer.

Les valeurs valides sont 0 et 1 — 2^63 - 1. La valeur par défaut est 2^63 - 1 (messages). Une valeur de 0 vous permet d'utiliser la mise en cache des clés de données uniquement lorsque vous chiffrez des chaînes de message vides.