Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Encryption SDKSintaks CLI dan referensi parameter
Topik ini menyediakan diagram sintaks dan deskripsi parameter singkat untuk membantu Anda menggunakanAWS Encryption SDK Command Line Interface (CLI). Untuk bantuan dengan kunci pembungkus dan parameter lainnya, lihatCara menggunakan AWS Enkripsi CLI. Sebagai contoh, lihat Contoh dariAWSEnkripsi CLI. Untuk dokumentasi lengkap, lihat Membaca Docs
AWSEnkripsi sintaks CLI
Diagram sintaksAWS Enkripsi CLI ini menunjukkan sintaks untuk setiap tugas yang Anda lakukan denganAWS Enkripsi CLI. Mereka mewakili sintaks direkomendasikan dalamAWS Enkripsi CLI versi 2.1. x dan kemudian.
Fitur keamanan baru awalnya dirilis diAWS Encryption CLI versi 1.7. x dan 2.0. x. Namun,AWS Enkripsi CLI versi 1.8. x menggantikan versi 1.7. x danAWS Enkripsi CLI 2.1. x menggantikan 2.0. x. Untuk detailnya, lihat penasihat keamanan
catatan
Kecuali dicatat dalam deskripsi parameter, setiap parameter atau atribut hanya dapat digunakan sekali di setiap perintah.
Jika Anda menggunakan atribut yang tidak didukung parameter, CLIAWS Encryption mengabaikan atribut yang tidak didukung tanpa peringatan atau kesalahan.
- Dapatkan bantuan
-
Untuk mendapatkan sintaks CLIAWS Enkripsi lengkap dengan deskripsi parameter, gunakan
--help
atau-h
.aws-encryption-cli (--help | -h)
- Dapatkan versinya
-
Untuk mendapatkan nomor versi instalasiAWS Encryption CLI Anda, gunakan
--version
. Pastikan untuk menyertakan versi saat Anda mengajukan pertanyaan, melaporkan masalah, atau berbagi tips tentang penggunaanAWS Enkripsi CLI.aws-encryption-cli --version
- Enkripsi data
-
Diagram sintaks berikut menunjukkan parameter yang menggunakanencrypt perintah.
aws-encryption-cli --encrypt --input
<input>
[--recursive] [--decode] --output<output>
[--interactive] [--no-overwrite] [--suffix [<suffix>
]] [--encode] --wrapping-keys [--wrapping-keys] ... key=<keyID>
[key=<keyID>
] ... [provider=<provider-name>
] [region=<aws-region>
] [profile=<aws-profile>
] --metadata-output<location>
[--overwrite-metadata] | --suppress-metadata] [--commitment-policy <commitment-policy
>] [--encryption-context<encryption_context>
[<encryption_context>
...]] [--max-encrypted-data-keys<integer>
] [--algorithm<algorithm_suite>
] [--caching<attributes>
] [--frame-length<length>
] [-v | -vv | -vvv | -vvvv] [--quiet] - Dekripsi data
-
Diagram sintaks berikut menunjukkan parameter yang menggunakandecrypt perintah.
Dalam versi 1.8. x,
--wrapping-keys
parameternya opsional saat mendekripsi, tetapi disarankan. Dimulai pada versi 2.1. x,--wrapping-keys
parameter diperlukan saat mengenkripsi dan mendekripsi. Untuk ituAWS KMS keys, Anda dapat menggunakan atribut kunci untuk menentukan kunci pembungkus (praktik terbaik) atau menyetel atribut discoverytrue
, yang tidak membatasi kunci pembungkus yang dapat digunakanAWS Encryption CLI.aws-encryption-cli --decrypt (or [--decrypt-unsigned]) --input
<input>
[--recursive] [--decode] --output<output>
[--interactive] [--no-overwrite] [--suffix [<suffix>
]] [--encode] --wrapping-keys [--wrapping-keys] ... [key=<keyID>
] [key=<keyID>
] ... [discovery={true|false}] [discovery-partition=<aws-partition-name
> discovery-account=<aws-account-ID
> [discovery-account=<aws-account-ID
>] ...] [provider=<provider-name>
] [region=<aws-region>
] [profile=<aws-profile>
] --metadata-output<location>
[--overwrite-metadata] | --suppress-metadata] [--commitment-policy <commitment-policy
>] [--encryption-context<encryption_context>
[<encryption_context>
...]] [--buffer] [--max-encrypted-data-keys<integer>
] [--caching<attributes>
] [--max-length<length>
] [-v | -vv | -vvv | -vvvv] [--quiet] - Gunakan file konfigurasi
-
Anda dapat merujuk ke file konfigurasi yang berisi parameter dan nilainya. Ini setara dengan mengetik parameter dan nilai dalam perintah. Sebagai contoh, lihat Cara menyimpan parameter dalam file konfigurasi.
aws-encryption-cli @
<configuration_file>
# In a PowerShell console, use a backtick to escape the @. aws-encryption-cli `@<configuration_file>
AWSParameter baris perintah CLI enkripsi
Daftar ini memberikan deskripsi dasar dari parameter perintahAWS Enkripsi CLI. Untuk penjelasan lengkap, lihat aws-encryption-sdk-clidokumentasi
- -enkripsi (-e)
-
Mengenkripsi data input. Setiap perintah harus memiliki
--encrypt
, atau--decrypt
, atau--decrypt-unsigned
parameter. - -dekripsi (-d)
-
mendekripsi data input. Setiap perintah harus memiliki
--encrypt
,--decrypt
, atau--decrypt-unsigned
parameter. - --decrypt-unsigned [Diperkenalkan dalam versi 1.9. x dan 2.2. x]
-
--decrypt-unsigned
Parameter mendekripsi ciphertext dan memastikan bahwa pesan tidak ditandatangani sebelum dekripsi. Gunakan parameter ini jika Anda menggunakan--algorithm
parameter dan memilih rangkaian algoritma tanpa penandatanganan digital untuk mengenkripsi data. Jika ciphertext ditandatangani, dekripsi gagal.Anda dapat menggunakan
--decrypt
atau--decrypt-unsigned
untuk dekripsi tetapi tidak keduanya. - --wrapping-keys (-w) [Diperkenalkan dalam versi 1.8. x]
-
Menentukan kunci pembungkus (atau kunci master) yang digunakan dalam enkripsi dan dekripsi operasi. Anda dapat menggunakan beberapa--wrapping-keys parameter di setiap perintah.
Dimulai pada versi 2.1. x,
--wrapping-keys
parameter diperlukan dalam perintah enkripsi dan dekripsi. Dalam versi 1.8. x, perintah mengenkripsi memerlukan baik--wrapping-keys
atau--master-keys
parameter. Dalam versi 1.8. x mendekripsi perintah,--wrapping-keys
parameter opsional tetapi dianjurkan.Saat menggunakan penyedia kunci master khusus, perintah enkripsi dan dekripsi memerlukan atribut kunci dan penyedia. Saat menggunakanAWS KMS keys, perintah enkripsi memerlukan atribut kunci. Dekripsi perintah memerlukan atribut kunci atau atribut discovery dengan nilai
true
(tapi tidak keduanya). Menggunakan atribut kunci saat mendekripsi adalah praktikAWS Encryption SDK terbaik. Hal ini sangat penting jika Anda mendekripsi kumpulan pesan asing, seperti yang ada di bucket Amazon S3 atau antrean Amazon SQS.Untuk contoh yang menunjukkan cara menggunakan tombolAWS KMS Multi-region sebagai kunci pembungkus, lihatMenggunakan Multi-region AWS KMS keys.
Atribut: Nilai
--wrapping-keys
parameter terdiri dari atribut berikut. Formatnya adalahattribute_name=value
.- kunci
-
Mengidentifikasi kunci pembungkus yang digunakan dalam operasi. Formatnya adalah pasangan kunci = ID. Anda dapat menentukan beberapa atribut kunci di setiap nilai
--wrapping-keys
parameter.-
Enkripsi perintah: Semua perintah enkripsi memerlukan atribut kunci. Bila Anda menggunakan perintahAWS KMS key dalam enkripsi, nilai atribut kunci dapat berupa ID kunci, kunci ARN, nama alias, atau alias ARN. Untuk deskripsi pengenalAWS KMS kunci, lihat Pengenal kunci dalam PanduanAWS Key Management Service Pengembang.
-
Dekripsi perintah: Saat mendekripsi denganAWS KMS keys,
--wrapping-keys
parameter memerlukan atribut kunci dengan nilai ARN kunci atau atribut penemuan dengan nilaitrue
(tetapi tidak keduanya). Menggunakan atribut kunci adalah praktikAWS Encryption SDK terbaik. Saat mendekripsi dengan penyedia kunci master kustom, atribut kunci diperlukan.catatan
Untuk menentukan kunciAWS KMS pembungkus dalam perintah dekripsi, nilai atribut kunci harus berupa ARN kunci. Jika Anda menggunakan ID kunci, nama alias, nama alias, nama alias, nama alias, ARN kunci, nama alias, nama alias, nama alias, namaAWS alias, nama alias, ARN kunci, nama alias, ARN kunci, nama
Anda dapat menentukan beberapa atribut kunci di setiap nilai
--wrapping-keys
parameter. Namun, atribut penyedia, wilayah, dan profil apa pun dalam--wrapping-keys
parameter berlaku untuk semua kunci pembungkus dalam nilai parameter tersebut. Untuk menentukan kunci pembungkus dengan nilai atribut yang berbeda, gunakan beberapa--wrapping-keys
parameter dalam perintah. -
- penemuan
-
MemungkinkanAWS Enkripsi CLI untuk menggunakan apapunAWS KMS key untuk mendekripsi pesan. Nilai penemuan dapat
true
ataufalse
. Nilai default-nya adalahfalse
. Atribut discovery hanya valid dalam perintah dekripsi dan hanya jika penyedia kunci master beradaAWS KMS.Saat mendekripsi denganAWS KMS keys,
--wrapping-keys
parameter memerlukan atribut kunci atau atribut penemuan dengan nilaitrue
(tetapi tidak keduanya). Jika Anda menggunakan atribut kunci, Anda dapat menggunakan atribut discovery dengan nilaifalse
untuk menolak penemuan secara eksplisit.-
False
(default) - Ketika atribut discovery tidak ditentukan atau nilainyafalse
, CLIAWS Enkripsi mendekripsi pesan hanya menggunakan atribut kunci--wrapping-keys
parameter yangAWS KMS keys ditentukan. Jika Anda tidak menentukan atribut kunci saat penemuanfalse
, perintah dekripsi gagal. Nilai ini mendukung praktik terbaikAWS Enkripsi CLI. -
True
- Ketika nilai atribut discovery adalahtrue
,AWS Encryption CLI mendapatkan metadataAWS KMS keys from dalam pesan terenkripsi, dan menggunakannyaAWS KMS keys untuk mendekripsi pesan. Atribut discovery dengan nilaitrue
berperilaku seperti versiAWS Encryption CLI sebelum versi 1.8. x yang tidak mengizinkan Anda untuk menentukan kunci pembungkus saat mendekripsi. Namun, niat Anda untuk menggunakan apa punAWS KMS key bersifat eksplisit. Jika Anda menentukan atribut kunci saat penemuantrue
, perintah dekripsi gagal.true
Nilai tersebut dapat menyebabkan CLIAWS Enkripsi digunakanAWS KMS keys di berbagai WilayahAkun AWS dan Wilayah, atau mencoba menggunakanAWS KMS keys yang tidak diizinkan untuk digunakan oleh pengguna.
Saat penemuan
true
, sebaiknya gunakan atribut discovery-partition dan discovery-account untuk membatasi yangAWS KMS keys digunakan pada atribut yangAkun AWS Anda tentukan. -
- akun penemuan
-
MembatasiAWS KMS keys digunakan untuk mendekripsi kepada orang-orang di ditentukanAkun AWS. Satu-satunya nilai yang valid untuk atribut ini adalah Akun AWSID.
Atribut ini opsional dan hanya valid dalam perintah dekripsi denganAWS KMS keys tempat atribut discovery diatur ke
true
dan atribut discovery-partition ditentukan.Setiap atribut discovery-account hanya membutuhkan satuAkun AWS ID, tetapi Anda dapat menentukan beberapa atribut discovery-account dalam
--wrapping-keys
parameter yang sama. Semua akun yang ditentukan dalam--wrapping-keys
parameter tertentu harus berada diAWS partisi yang ditentukan. - partisi penemuan
-
MenentukanAWS partisi untuk account dalam atribut penemuan-akun. Nilainya harus berupaAWS partisi, seperti
aws
,aws-cn
, atauaws-gov-cloud
. Untuk informasi, lihat Nama Sumber Daya Amazon di bagian Referensi Umum AWS.Atribut ini diperlukan saat Anda menggunakan atribut discovery-account. Anda hanya dapat menentukan satu atribut penemuan-partisi di setiap
--wrapping keys
parameter. Untuk menentukanAkun AWS di beberapa partisi, gunakan--wrapping-keys
parameter tambahan. - penyedia
-
Mengidentifikasi penyedia kunci master. Formatnya adalah pasangan penyedia = ID. Nilai default, aws-kms, mewakiliAWS KMS. Atribut ini diperlukan hanya ketika penyedia kunci master tidakAWS KMS.
- wilayah
-
MengidentifikasiWilayah AWS dari sebuahAWS KMS key. Atribut ini hanya valid untukAWS KMS keys. Hal ini digunakan hanya ketika identifier kunci tidak menentukan Region; jika tidak, itu diabaikan. Ketika digunakan, itu menimpa Wilayah default di profil bernamaAWS CLI.
- profile
-
Mengidentifikasi profilAWS CLI bernama. Atribut ini hanya valid untukAWS KMS keys. Wilayah dalam profil hanya digunakan ketika pengidentifikasi kunci tidak menentukan Wilayah dan tidak ada atribut wilayah dalam perintah.
- --masukan (-i)
-
Menentukan lokasi data untuk mengenkripsi atau mendekripsi. Parameter ini diperlukan. Nilai dapat berupa path ke file atau direktori, atau pola nama file. Jika Anda pipa masukan ke perintah (stdin), gunakan
-
.Jika input tidak ada, perintah selesai dengan sukses tanpa kesalahan atau peringatan.
- --rekursif (-r, -R)
-
Melakukan operasi pada file di direktori input dan subdirektorinya. Parameter ini diperlukan jika nilai
--input
adalah direktori. - mendekode
-
mendekode masukan berkode Base64.
Jika Anda mendekripsi pesan yang dienkripsi dan kemudian dikodekan, Anda harus memecahkan kode pesan sebelum mendekripsi pesan tersebut. Parameter ini melakukan itu untuk Anda.
Misalnya, jika Anda menggunakan
--encode
parameter dalam perintah enkripsi, gunakan--decode
parameter dalam perintah dekripsi yang sesuai. Anda juga dapat menggunakan parameter ini untuk memecahkan kode masukan yang dikodekan Base64 sebelum mengenkripsinya.
- -output (-o)
-
Menentukan tujuan untuk output. Parameter ini diperlukan. Nilai dapat berupa nama file, direktori yang ada, atau
-
, yang menulis output ke baris perintah (stdout).Jika direktori output yang ditentukan tidak ada, perintah gagal. Jika input berisi subdirektori,AWS Enkripsi CLI mereproduksi subdirektori di bawah direktori keluaran yang Anda tentukan.
Secara default,AWS Encryption CLI menimpa file dengan nama yang sama. Untuk mengubah perilaku itu, gunakan
--no-overwrite
parameter--interactive
or. Untuk menekan peringatan menimpa, gunakan--quiet
parameter.catatan
Jika perintah yang akan menimpa file output gagal, file output dihapus.
- -interaktif
-
Anjuran sebelum menimpa file.
- --tidak-menimpa
-
Tidak menimpa file. Sebaliknya, jika file output ada,AWS Enkripsi CLI melewatkan input yang sesuai.
- sufiks
-
Menentukan akhiran nama file kustom untuk file yangAWS Enkripsi CLI menciptakan. Untuk menunjukkan tidak ada akhiran, gunakan parameter tanpa nilai (
--suffix
).Secara default, ketika
--output
parameter tidak menentukan nama file, nama file keluaran memiliki nama yang sama dengan nama file input ditambah akhiran. Akhiran untuk perintah enkripsi adalah.encrypted
. Akhiran untuk mendekripsi perintah adalah.decrypted
. - -enkode
-
Menerapkan pengkodean Base64 (biner ke teks) ke output. Encoding mencegah program host shell dari salah menafsirkan karakter non-ASCII dalam teks keluaran.
Gunakan parameter ini saat menulis output terenkripsi ke stdout (
--output -
), terutama di PowerShell konsol, bahkan ketika Anda menyalurkan output ke perintah lain atau menyimpannya dalam variabel.
- -metadata-keluaran
-
Menentukan lokasi untuk metadata tentang operasi kriptografi. Masukkan jalur dan nama file. Jika direktori tidak ada, perintah gagal. Untuk menulis metadata ke baris perintah (stdout), gunakan
-
.Anda tidak dapat menulis output perintah (
--output
) dan output metadata (--metadata-output
) ke stdout dalam perintah yang sama. Juga, ketika nilai--input
atau--output
adalah direktori (tanpa nama file), Anda tidak dapat menulis output metadata ke direktori yang sama atau ke subdirektori direktori itu.Jika Anda menentukan file yang ada, secara default,AWS Enkripsi CLI menambahkan catatan metadata baru ke konten apa pun dalam file. Fitur ini memungkinkan Anda membuat satu file yang berisi metadata untuk semua operasi kriptografi Anda. Untuk menimpa konten dalam file yang ada, gunakan
--overwrite-metadata
parameter.CLIAWS Enkripsi mengembalikan catatan metadata berformat JSON untuk setiap operasi enkripsi atau dekripsi yang dilakukan perintah. Setiap catatan metadata menyertakan jalur lengkap ke file input dan output, konteks enkripsi, rangkaian algoritme, dan informasi berharga lainnya yang dapat Anda gunakan untuk meninjau operasi dan memverifikasi bahwa data tersebut memenuhi standar keamanan Anda.
- --menimpa-metadata
-
Menimpa konten dalam file keluaran metadata. Secara default,
--metadata-output
parameter menambahkan metadata ke konten yang ada dalam file.
- -menekan metadata (-S)
-
Menekan metadata tentang operasi enkripsi atau dekripsi.
- --komitmen-kebijakan
-
Menentukan kebijakan komitmen untuk mengenkripsi dan mendekripsi perintah. Kebijakan komitmen menentukan apakah pesan Anda dienkripsi dan didekripsi dengan fitur keamanan komitmen utama.
--commitment-policy
Parameter diperkenalkan pada versi 1.8. x. Ini berlaku dalam perintah enkripsi dan dekripsi.Dalam versi 1.8. x,AWS Encryption CLI menggunakan kebijakan
forbid-encrypt-allow-decrypt
komitmen untuk semua operasi enkripsi dan dekripsi. Bila Anda menggunakan--wrapping-keys
parameter dalam perintah enkripsi atau dekripsi,--commitment-policy
parameter denganforbid-encrypt-allow-decrypt
nilai diperlukan. Jika Anda tidak menggunakan--wrapping-keys
parameter,--commitment-policy
parameter tidak valid. Menetapkan kebijakan komitmen secara eksplisit mencegah kebijakan komitmen Anda berubah secara otomatis menjadirequire-encrypt-require-decrypt
saat Anda meningkatkan ke versi 2.1. xDimulai pada versi 2.1. x, semua nilai kebijakan komitmen didukung.
--commitment-policy
Parameternya opsional dan nilai defaultnya adalahrequire-encrypt-require-decrypt
.Parameter ini memiliki nilai berikut:
-
forbid-encrypt-allow-decrypt
- Tidak dapat mengenkripsi dengan komitmen kunci. Hal ini dapat mendekripsi ciphertexts dienkripsi dengan atau tanpa komitmen kunci.Dalam versi 1.8. x, ini adalah satu-satunya nilai yang valid. AWSEnkripsi CLI menggunakan kebijakan
forbid-encrypt-allow-decrypt
komitmen untuk semua operasi enkripsi dan dekripsi. -
require-encrypt-allow-decrypt
- Mengenkripsi hanya dengan komitmen kunci. Mendekripsi dengan dan tanpa komitmen kunci. Nilai ini diperkenalkan di versi 2.1. x. -
require-encrypt-require-decrypt
(default) - Mengenkripsi dan mendekripsi hanya dengan komitmen kunci. Nilai ini diperkenalkan di versi 2.1. x. Ini adalah nilai default dalam versi 2.1. x dan kemudian. Dengan nilai ini,AWS Encryption CLI tidak akan mendekripsi ciphertext apa pun yang dienkripsi dengan versi sebelumnyaAWS Encryption SDK.
Untuk informasi rinci tentang menetapkan kebijakan komitmen Anda, lihatMigrasiAWS Encryption SDK.
-
- --enkripsi-konteks (-c)
-
Menentukan konteks enkripsi untuk operasi. Parameter ini tidak diperlukan, tetapi direkomendasikan.
-
Dalam
--encrypt
perintah, masukkan satu atau lebihname=value
pasangan. Gunakan spasi untuk memisahkan pasangan. -
Dalam
--decrypt
perintah, masukkanname=value
pasangan,name
elemen tanpa nilai, atau keduanya.
Jika
name
atauvalue
dalamname=value
pasangan termasuk spasi atau karakter khusus, lampirkan seluruh pasangan dalam tanda kutip. Sebagai contoh,--encryption-context "department=software development"
. -
- --buffer (-b) [Diperkenalkan dalam versi 1.9. x dan 2.2. x]
-
Mengembalikan plaintext hanya setelah semua masukan diproses, termasuk memverifikasi tanda tangan digital jika ada.
- --max-encrypted-data-keys [Diperkenalkan dalam versi 1.9. x dan 2.2. x]
Menentukan jumlah maksimum kunci data terenkripsi dalam pesan terenkripsi. Parameter ini bersifat opsional.
Nilai yang valid adalah 1 - 65,535. Jika Anda menghilangkan parameter ini, CLIAWS enkripsi tidak memberlakukan maksimum apa pun. Pesan terenkripsi dapat menampung hingga 65.535 (2^16 - 1) kunci data terenkripsi.
Anda dapat menggunakan parameter ini dalam perintah enkripsi untuk mencegah pesan cacat. Anda dapat menggunakannya dalam mendekripsi perintah untuk mendeteksi pesan berbahaya dan menghindari mendekripsi pesan dengan banyak kunci data terenkripsi yang tidak dapat Anda dekripsi. Untuk detail dan contoh, lihat Membatasi kunci data terenkripsi.
- --bantuan (-h)
-
Penggunaan cetakan dan sintaks pada baris perintah.
- -versi
-
Mendapat versiAWS Encryption CLI.
- -v | -vv | -vvv | -vvvv
-
Menampilkan informasi verbose, peringatan, dan pesan debugging. Detail dalam output meningkat dengan jumlah
v
s dalam parameter. Pengaturan (-vvvv
) yang paling rinci mengembalikan data tingkat debugging dariAWS Encryption CLI dan semua komponen yang digunakannya. - --tenang (-q)
-
Menekan pesan peringatan, seperti pesan yang muncul saat Anda menimpa file keluaran.
- --master-keys (-m) [Usang]
-
catatan
Parameter --master-keys diusangkan di 1.8. x dan dihapus dalam versi 2.1. x. Sebagai gantinya, gunakan parameter --wrapping-keys.
Menentukan kunci master yang digunakan dalam enkripsi dan dekripsi operasi. Anda dapat menggunakan beberapa parameter kunci master di setiap perintah.
--master-keys
Parameter diperlukan dalam perintah enkripsi. Hal ini diperlukan dalam mendekripsi perintah hanya ketika Anda menggunakan kustom (non-AWS KMS) penyedia kunci master.Atribut: Nilai
--master-keys
parameter terdiri dari atribut berikut. Formatnya adalahattribute_name=value
.- kunci
-
Mengidentifikasi kunci pembungkus yang digunakan dalam operasi. Formatnya adalah pasangan kunci = ID. Atribut kunci diperlukan di semua perintah enkripsi.
Bila Anda menggunakan perintahAWS KMS key dalam enkripsi, nilai atribut kunci dapat berupa ID kunci, kunci ARN, nama alias, atau alias ARN. Untuk detail tentang pengenalAWS KMS kunci, lihat Pengenal kunci di PanduanAWS Key Management Service Pengembang.
Atribut kunci diperlukan dalam perintah dekripsi ketika penyedia kunci master tidakAWS KMS. Atribut kunci tidak diizinkan dalam perintah yang mendekripsi data yang dienkripsi di bawahAWS KMS key.
Anda dapat menentukan beberapa atribut kunci di setiap nilai
--master-keys
parameter. Namun, atribut penyedia, wilayah, dan profil apa pun berlaku untuk semua kunci utama dalam nilai parameter. Untuk menentukan kunci master dengan nilai atribut yang berbeda, gunakan beberapa--master-keys
parameter dalam perintah. - penyedia
-
Mengidentifikasi penyedia kunci master. Formatnya adalah pasangan penyedia = ID. Nilai default, aws-kms, mewakiliAWS KMS. Atribut ini diperlukan hanya ketika penyedia kunci master tidakAWS KMS.
- wilayah
-
MengidentifikasiWilayah AWS dari sebuahAWS KMS key. Atribut ini hanya valid untukAWS KMS keys. Hal ini digunakan hanya ketika identifier kunci tidak menentukan Region; jika tidak, itu diabaikan. Ketika digunakan, itu menimpa Wilayah default di profil bernamaAWS CLI.
- profile
-
Mengidentifikasi profilAWS CLI bernama. Atribut ini hanya valid untukAWS KMS keys. Wilayah dalam profil hanya digunakan ketika pengidentifikasi kunci tidak menentukan Wilayah dan tidak ada atribut wilayah dalam perintah.
Parameter Lanjutan
- -algoritma
-
Menentukan algoritma suite alternatif. Parameter ini opsional dan hanya berlaku dalam perintah enkripsi.
Jika Anda menghilangkan parameter ini,AWS Encryption CLI menggunakan salah satu suite algoritma default untukAWS Encryption SDK diperkenalkan di versi 1.8. x. Kedua algoritma default menggunakan AES-GCM dengan HKDF
, tanda tangan ECDSA, dan kunci enkripsi 256-bit. Seseorang menggunakan komitmen kunci; satu tidak. Pilihan standar algoritma suite ditentukan oleh kebijakan komitmen untuk perintah. Rangkaian algoritma default direkomendasikan untuk sebagian besar operasi enkripsi. Untuk daftar nilai yang valid, lihat nilai untuk
algorithm
parameter di Baca Dokumen. - --bingkai-panjang
-
Menciptakan output dengan panjang bingkai tertentu. Parameter ini opsional dan hanya berlaku dalam perintah enkripsi.
Masukkan nilai dalam byte. Nilai yang valid adalah 0 dan 1 - 2 ^ 31 - 1. Nilai 0 menunjukkan data yang tidak dibingkai. Defaultnya adalah 4096 (byte).
catatan
Bila memungkinkan, gunakan data berbingkai. AWS Encryption SDKMendukung data nonframed hanya untuk penggunaan lama. Beberapa implementasi bahasa dari masihAWS Encryption SDK dapat menghasilkan ciphertext nonframed. Semua implementasi bahasa yang didukung dapat mendekripsi ciphertext berbingkai dan nonframed.
- --max-panjang
-
Menunjukkan ukuran bingkai maksimum (atau panjang konten maksimum untuk pesan tanpa bingkai) dalam byte untuk dibaca dari pesan terenkripsi. Parameter ini opsional dan hanya berlaku dalam perintah dekripsi. Ini dirancang untuk melindungi Anda dari mendekripsi ciphertext berbahaya yang sangat besar.
Masukkan nilai dalam byte. Jika Anda menghilangkan parameter ini,AWS Encryption SDK tidak membatasi ukuran bingkai saat mendekripsi.
- --caching
-
Memungkinkan fitur caching kunci data, yang menggunakan kembali kunci data, alih-alih menghasilkan kunci data baru untuk setiap file input. Parameter ini mendukung skenario lanjutan. Pastikan untuk membaca dokumentasi Data Key Caching sebelum menggunakan fitur ini.
--caching
Parameter memiliki atribut berikut.- kapasitas (diperlukan)
-
Menentukan jumlah maksimum entri dalam cache.
Nilai minimum adalah 1. Tidak ada nilai maksimum.
- max_age (diperlukan)
-
Tentukan berapa lama entri cache digunakan, dalam hitungan detik, dimulai ketika mereka ditambahkan ke cache.
Masukkan nilai yang lebih besar dari 0. Tidak ada nilai maksimum.
- max_messages_encrypted (opsional)
-
Menentukan jumlah pesan maksimum yang dapat dienkripsi entri dalam cache.
Nilai yang valid adalah 1—2^32. Nilai default adalah 2^32 (pesan).
- max_bytes_encrypted (opsional)
-
Menentukan jumlah maksimum byte yang dapat dienkripsi entri dalam cache.
Nilai yang valid adalah 0 dan 1 - 2^63 - 1. Nilai default adalah 2^63 - 1 (pesan). Nilai 0 memungkinkan Anda menggunakan caching kunci data hanya ketika Anda mengenkripsi string pesan kosong.