Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sintassi e riferimento parametri dell'interfaccia a riga di comando AWS Encryption SDK
Questo argomento fornisce diagrammi di sintassi e brevi descrizioni dei parametri per aiutarti a utilizzare l'interfaccia a riga di comando (CLI) AWS Encryption SDK. Per informazioni sulla disposizione delle chiavi e su altri parametri, consultaCome usare la CLI di AWS crittografia. Per alcuni esempi, consulta Esempi diAWSCLI di crittografia. Per la documentazione completa, consulta Leggi i documenti
Argomenti
AWSSintassi CLI di crittografia
Questi diagrammi di sintassi della CLI diAWS crittografia mostrano la sintassi per ogni attività eseguita con la CLI diAWS crittografia. Rappresentano la sintassi consigliata nella versione 2.1 dell'interfaccia a riga di comando diAWS crittografia. x e versioni successive.
Le nuove funzionalità di sicurezza sono state originariamente rilasciate nelle versioni 1.7 dell'interfaccia a riga di comando diAWS crittografia. x e 2.0. x. Tuttavia,AWS Encryption CLI versione 1.8. x sostituisce la versione 1.7. x eAWS Encryption CLI 2.1. x sostituisce 2.0. x. Per i dettagli, consulta l'avviso di sicurezza
Nota
A meno che non sia indicato nella descrizione del parametro, ogni parametro o attributo può essere utilizzato una sola volta in ogni comando.
Se si utilizza un attributo non supportato da un parametro, la CLI diAWS crittografia ignora l'attributo non supportato senza alcun avviso o errore.
- Chiedere aiuto
-
Per ottenere la sintassi completa della CLI diAWS crittografia con le descrizioni dei parametri, usa
--help
or-h
.aws-encryption-cli (--help | -h)
- Ottenere la versione
-
Per ottenere il numero di versione dell'installazione della CLI diAWS crittografia, usa
--version
. Assicurati di includere la versione quando fai domande, segnali problemi o condividi suggerimenti sull'uso della CLI diAWS crittografia.aws-encryption-cli --version
- Crittografare i dati
-
Il seguente diagramma di sintassi mostra i parametri utilizzati da un comando encrypt.
aws-encryption-cli --encrypt --input
<input>
[--recursive] [--decode] --output<output>
[--interactive] [--no-overwrite] [--suffix [<suffix>
]] [--encode] --wrapping-keys [--wrapping-keys] ... key=<keyID>
[key=<keyID>
] ... [provider=<provider-name>
] [region=<aws-region>
] [profile=<aws-profile>
] --metadata-output<location>
[--overwrite-metadata] | --suppress-metadata] [--commitment-policy <commitment-policy
>] [--encryption-context<encryption_context>
[<encryption_context>
...]] [--max-encrypted-data-keys<integer>
] [--algorithm<algorithm_suite>
] [--caching<attributes>
] [--frame-length<length>
] [-v | -vv | -vvv | -vvvv] [--quiet] - Decrittare i dati
-
Il seguente diagramma di sintassi mostra i parametri utilizzati da un comando decrypt.
Nella versione 1.8. x, il
--wrapping-keys
parametro è facoltativo durante la decrittografia, ma consigliato. A partire dalla versione 2.1. x, il--wrapping-keys
parametro è necessario per la crittografia e la decrittografia. InfattiAWS KMS keys, è possibile utilizzare l'attributo key per specificare le chiavi di wrapping (procedura consigliata) o impostare l'attributo discovery sutrue
, il che non limita le chiavi di wrapping che la CLI diAWS crittografia può utilizzare.aws-encryption-cli --decrypt (or [--decrypt-unsigned]) --input
<input>
[--recursive] [--decode] --output<output>
[--interactive] [--no-overwrite] [--suffix [<suffix>
]] [--encode] --wrapping-keys [--wrapping-keys] ... [key=<keyID>
] [key=<keyID>
] ... [discovery={true|false}] [discovery-partition=<aws-partition-name
> discovery-account=<aws-account-ID
> [discovery-account=<aws-account-ID
>] ...] [provider=<provider-name>
] [region=<aws-region>
] [profile=<aws-profile>
] --metadata-output<location>
[--overwrite-metadata] | --suppress-metadata] [--commitment-policy <commitment-policy
>] [--encryption-context<encryption_context>
[<encryption_context>
...]] [--buffer] [--max-encrypted-data-keys<integer>
] [--caching<attributes>
] [--max-length<length>
] [-v | -vv | -vvv | -vvvv] [--quiet] - Utilizzare i file di configurazione
-
Puoi consultare i file di configurazione che contengono i parametri e i relativi valori. Ciò equivale a digitare i parametri e i valori nel comando. Per un esempio, consulta Come archiviare i parametri in un file di configurazione.
aws-encryption-cli @
<configuration_file>
# In a PowerShell console, use a backtick to escape the @. aws-encryption-cli `@<configuration_file>
AWSParametri della riga di comando della crittografia
Questo elenco fornisce una descrizione di base dei parametri del comandoAWS Encryption CLI. Per una descrizione completa, consulta la aws-encryption-sdk-clidocumentazione
- --crittografa (-e)
-
Crittografia dei dati di input. Ogni comando deve avere un
--decrypt-unsigned
parametro--encrypt
--decrypt
, o o. - --decrittografa (-d)
-
Decrittografia dei dati di input. Ogni comando deve avere un
--decrypt-unsigned
parametro--encrypt
--decrypt
, o. - --decrypt-unsigned [Introdotto nelle versioni 1.9. x e 2.2. x]
-
Il
--decrypt-unsigned
parametro decrittografa il testo cifrato e garantisce che i messaggi non siano firmati prima della decrittografia. Utilizza questo parametro se hai utilizzato il--algorithm
parametro e hai selezionato una suite di algoritmi senza firma digitale per crittografare i dati. Se il testo cifrato è firmato, la decrittografia fallisce.È possibile utilizzare
--decrypt
o--decrypt-unsigned
per la decrittografia, ma non entrambi. - --wrapping-keys (-w) [Introdotto nella versione 1.8. x]
-
Specifica le chiavi di wrapping (o chiavi master) utilizzate nelle operazioni di crittografia e decrittografia. È possibile utilizzare più--wrapping-keys parametri in ogni comando.
A partire dalla versione 2.1. x, il
--wrapping-keys
parametro è obbligatorio nei comandi di crittografia e decrittografia. Nella versione 1.8. x, i comandi di crittografia richiedono un--master-keys
parametro--wrapping-keys
or. Nella versione 1.8. x decrypt i comandi, un--wrapping-keys
parametro è facoltativo ma consigliato.Quando si utilizza un provider di chiave master personalizzato, i comandi di crittografia e decrittografia richiedono gli attributi della chiave e del provider. Quando si utilizzanoAWS KMS keys, i comandi di crittografia richiedono un attributo chiave. I comandi di decrittografia richiedono un attributo chiave o un attributo discovery con un valore pari a
true
(ma non entrambi). L'utilizzo dell'attributo key durante la decrittografia è una proceduraAWS Encryption SDK consigliata. È particolarmente importante se stai decifrando batch di messaggi sconosciuti, come quelli in un bucket Amazon S3 o in una coda Amazon SQS.Per un esempio che mostra come utilizzare le chiaviAWS KMS multiregione come chiavi di confezionamento, vedereUtilizzo di più regioni AWS KMS keys.
Attributi: il valore del parametro
--wrapping-keys
consiste nei seguenti attributi. Il formato èattribute_name=value
.- key
-
Identifica la chiave di wrapping utilizzata nell'operazione. Il formato è una coppia chiave=ID. È possibile specificare più attributi delle chiavi in ogni valore del parametro
--wrapping-keys
.-
Comandi di crittografia: tutti i comandi di crittografia richiedono l'attributo key. Quando utilizzi un comandoAWS KMS key in un ciasas, il valore dell'attributo della chiave, l'ARN della chiave, il nome della chiave, il nome della chiave, il nome della chiave, il nome della chiave, l'ARN della chiave, il nome della chiave, il nome della chiave, l'ARN della chiave, il nome della chiave, il nome della chiave, il nome della chiave Per le descrizioni degli identificatoriAWS KMS chiave, consulta Identificatori chiave nella Guida per gliAWS Key Management Service sviluppatori.
-
Comandi di decrittografia: quando si decodifica conAWS KMS keys, il
--wrapping-keys
parametro richiede un attributo chiave con un valore ARN chiave o un attributo discovery con un valore ditrue
(ma non entrambi). L'utilizzo dell'attributo chiave è una proceduraAWS Encryption SDK consigliata. Quando si esegue la decrittografia con un provider di chiave master personalizzato, è necessario l'attributo key.Nota
Per specificare una chiave diAWS KMS wrapping in un comando di decrittografia, il valore dell'attributo key deve essere un ARN chiave. Se utilizzhi un ID chiave, un nome o un ARN dell'alias, la CLI dellaAWS crittografia non riconoscerà la chiave di Writer.
È possibile specificare più attributi delle chiavi in ogni valore del parametro
--wrapping-keys
. Tuttavia, qualsiasi attributo di provider, regione e profilo in un--wrapping-keys
parametro si applica a tutte le chiavi di wrapping in quel valore del parametro. Per specificare chiavi di wrapping con valori di attributo diversi, utilizzate più--wrapping-keys
parametri nel comando. -
- scoperta
-
Consente alla CLI diAWS crittografia di utilizzarne uno qualsiasiAWS KMS key per decrittografare il messaggio. Il valore di scoperta può essere
true
ofalse
. Il valore di default èfalse
. L'attributo discovery è valido solo nei comandi di decrittografia e solo quando lo è il provider della chiave masterAWS KMS.Quando si decodifica conAWS KMS keys, il
--wrapping-keys
parametro richiede un attributo chiave o un attributo di scoperta con un valore ditrue
(ma non entrambi). Se si utilizza l'attributo key, è possibile utilizzare un attributo discovery con un valore difalse
per rifiutare esplicitamente la scoperta.-
False
(impostazione predefinita) — Quando l'attributo discovery non è specificato o il suo valore lo èfalse
, la CLI diAWS crittografia decrittografa il messaggio utilizzando soloAWS KMS keys quanto specificato dall'attributo chiave del--wrapping-keys
parametro. Se non si specifica un attributo chiave durante il rilevamentofalse
, il comando decrypt ha esito negativo. Questo valore supporta una best practice della CLI diAWS crittografia. -
True
— Quando il valore dell'attributo discovery ètrue
, la CLI diAWS crittografia ottiene i metadatiAWS KMS keys dal messaggio crittografato e li utilizzaAWS KMS keys per decrittografare il messaggio. L'attributo discovery con un valore pari atrue
si comporta come le versioni della CLI diAWS crittografia precedenti alla versione 1.8. x che non permetteva di specificare una chiave di wrapping durante la decrittografia. Tuttavia, la tua intenzione di utilizzarne unoAWS KMS key è esplicita. Se si specifica un attributo chiave durante il rilevamentotrue
, il comando decrypt ha esito negativo.Il
true
valore potrebbe far sì che la CLI diAWS crittografiaAWS KMS keys venga utilizzata in diverseAccount AWS aree geografiche o tentare di utilizzareAWS KMS keys qualcosa che l'utente non è autorizzato a utilizzare.
In caso di rilevamento
true
, è consigliabile utilizzare gli attributi discovery-partition e discovery-account per limitare l'AWS KMS keysuso a quelliAccount AWS specificati. -
- Reader di individuazione
-
Limita l'AWS KMS keysuso per la decrittografia a quelli specificatiAccount AWS. L'unico valore valido per questo attributo è un Account AWSID.
Questo attributo è facoltativo e valido solo nei comandi di decrittografia inAWS KMS keys cui l'attributo discovery è impostato su
true
e viene specificato l'attributo discovery-partition.Ogni attributo discovery-account richiede un soloAccount AWS ID, ma puoi specificare più attributi discovery-account nello stesso
--wrapping-keys
parametro. Tutti gli account specificati in un determinato--wrapping-keys
parametro devono trovarsi nellaAWS partizione specificata. - Reader di individuazione
-
Specifica laAWS partizione per gli account nell'attributo discovery-account. Il suo valore deve essere unaAWS partizione, ad esempio
aws
aws-cn
, oaws-gov-cloud
. Per informazioni, consulta Amazon Resource Names nel Riferimenti generali di AWS.Questo attributo è obbligatorio quando si utilizza l'attributo discovery-account. È possibile specificare un solo attributo discovery-partition in ogni
--wrapping keys
parametro. Per specificareAccount AWS in più partizioni, utilizzare un--wrapping-keys
parametro aggiuntivo. - provider
-
Identifica il provider della chiave master. Il formato è una coppia provider=ID. Il valore di default, aws-kms, rappresenta AWS KMS. Questo attributo è obbligatorio solo quando il provider della chiave master non è AWS KMS.
- Regione
-
Identifica ilRegione AWS di unAWS KMS key. Questo attributo è valido solo perAWS KMS keys. È utilizzato solo quando l'identificatore della chiave non specifica una regione. In caso contrario, verrà ignorato. Quando viene utilizzato, sovrascrive la regione predefinita nel profilo denominato dell'interfaccia a riga di comando AWS.
- profile
-
Identifica un AWS CLIdenominato profilohttps://docs.aws.amazon.com/cli/latest/userguide/cli-multiple-profiles.html. Questo attributo è valido solo perAWS KMS keys. La regione nel profilo è utilizzata solo quando l'identificatore chiave non consente di specificare una regione e non è previsto alcun attributo regione nel comando.
- --input (-i)
-
Specifica la posizione dei dati da crittografare o decrittografare. Questo parametro è obbligatorio. Il valore può essere un percorso a un file o a una directory o un modello di nome di file. Se stai reindirizzando input al comando (stdin), utilizza
-
.Se l'input non esiste, il comando viene completato correttamente, senza errori o avvertenze.
- --recursive (-r, -R)
-
Esegue l'operazione sul file nella directory di input e nelle relative sottodirectory. Questo parametro è obbligatorio quando il valore di
--input
è una directory. - --decode
-
Decodifica input codificati Base64.
Se stai decrittografando un messaggio che è stato crittografato e quindi codificato, è necessario decodificare il messaggio prima di decrittografarlo. Questo parametro lo fa per te.
Ad esempio, se utilizzi il parametro
--encode
in un comando di crittografia, utilizza il parametro--decode
nel comando di decrittografia corrispondente. È inoltre possibile utilizzare questo parametro per decodificare l'input codificati Base64 prima di crittografarlo.
- --output (-o)
-
Specifica una destinazione per l'output. Questo parametro è obbligatorio. Il valore può essere un nome di file, una directory esistente oppure
-
, che scrive l'output sulla riga di comando (stdout).Se la directory di output specificata non esiste, il comando ha esito negativo. Se l'input contiene sottodirectory, la CLI diAWS crittografia riproduce le sottodirectory nella directory di output specificata.
Per impostazione predefinita, la CLI diAWS crittografia sovrascrive i file con lo stesso nome. Per modificare questo comportamento, utilizza i parametri
--interactive
o--no-overwrite
. Per annullare l'avvertenza relativa alla sovrascrittura, utilizza il parametro--quiet
.Nota
Se un comando che sovrascrive un file di output ha esito negativo, il file di output viene eliminato.
- --interattivo
-
Chiede prima di sovrascrivere il file.
- --nessuna sovrascrittura
-
Non sovrascrive i file. Invece, se il file di output esiste, l'AWSEncryption CLI ignora l'input corrispondente.
- --suffisso
-
Specifica un suffisso di nome file personalizzato per i file creati dalla CLI diAWS crittografia. Per indicare l'assenza di un suffisso, utilizza il parametro con nessun valore (
--suffix
).Per impostazione predefinita, quando il parametro
--output
non specifica un nome di file, il nome del file di output ha lo stesso nome del nome del file di input più il suffisso. Il suffisso per i comandi di crittografia è.encrypted
. Il suffisso per i comandi di decrittografia è.decrypted
. - --encode
-
Applica la codifica Base64 (da binario a testo) all'output. La codifica evita che il programma host shell interpreti erroneamente i caratteri non ASCII nel testo di output.
Utilizzate questo parametro quando scrivete un output crittografato su stdout (
--output -
), specialmente in una PowerShell console, anche quando reindirizzate l'output a un altro comando o lo salvate in una variabile.
- --metadata-output
-
Specifica una posizione per i metadati relativi alle operazioni di crittografia. Inserisci un percorso e un nome di file. Se la directory non esiste, il comando ha esito negativo. Per scrivere i metadati nella riga di comando (stdout), utilizza
-
.Non è possibile scrivere l'output di comando (
--output
) e l'output dei metadati (--metadata-output
) su stdout nello stesso comando. Inoltre, quando il valore di--input
o di--output
è una directory (senza nomi di file), non è possibile scrivere l'output dei metadati nella stessa directory o in qualsiasi sottodirectory di tale directory.Se si specifica un file esistente, per impostazione predefinita, la CLI diAWS crittografia aggiunge nuovi record di metadati a qualsiasi contenuto del file. Questa funzione consente di creare un singolo file che contiene i metadati per tutte le operazioni di crittografia. Per sovrascrivere i contenuti in un file esistente, utilizza il parametro
--overwrite-metadata
.La CLI diAWS crittografia restituisce un record di metadati in formato JSON per ogni operazione di crittografia o decrittografia eseguita dal comando. Ogni record dei metadati include i percorsi completi al file di input e di output, il contesto di crittografia, la suite di algoritmi e altre informazioni utili che puoi utilizzare per rivedere l'operazione e verificare che soddisfi gli standard di sicurezza.
- --overwrite-metadata
-
Sovrascrive i contenuti nel file di output dei metadati. Per impostazione predefinita, il parametro
--metadata-output
aggiunge i metadati a qualsiasi contenuto esistente nel file.
- --suppress-metadata (-S)
-
Sopprime i metadati relativi all'operazione di crittografia o decrittografia.
- --politica-impegno
-
Specifica la politica di impegno per i comandi di crittografia e decrittografia. La politica di impegno determina se il messaggio è crittografato e decrittografato con la funzionalità di sicurezza chiave dell'impegno.
Il
--commitment-policy
parametro è stato introdotto nella versione 1.8. x. È valido nei comandi di crittografia e decrittografia.Nella versione 1.8. x, la CLI diAWS crittografia utilizza la politica di
forbid-encrypt-allow-decrypt
impegno per tutte le operazioni di crittografia e decrittografia. Quando si utilizza il--wrapping-keys
parametro in un comando di crittografia o decrittografia, è necessario un--commitment-policy
parametro con ilforbid-encrypt-allow-decrypt
valore. Se non si utilizza il--wrapping-keys
parametro, il--commitment-policy
parametro non è valido. L'impostazione di una politica di impegno impedisce esplicitamente che la politica di impegno venga modificata automaticamenterequire-encrypt-require-decrypt
quando si esegue l'aggiornamento alla versione 2.1. xA partire dalla versione 2.1. x, tutti i valori della politica di impegno sono supportati. Il
--commitment-policy
parametro è facoltativo e il valore predefinito èrequire-encrypt-require-decrypt
.Questo parametro ha i seguenti valori:
-
forbid-encrypt-allow-decrypt
— Non è possibile crittografare con impegno chiave. Può decrittografare i testi cifrati con o senza impegno chiave.Nella versione 1.8. x, questo è l'unico valore valido. La CLI diAWS crittografia utilizza la politica di
forbid-encrypt-allow-decrypt
impegno per tutte le operazioni di crittografia e decrittografia. -
require-encrypt-allow-decrypt
— Crittografa solo con impegno chiave. Decifra con e senza impegno chiave. Questo valore è stato introdotto nella versione 2.1. x. -
require-encrypt-require-decrypt
(impostazione predefinita): crittografa e decrittografa solo con l'impegno della chiave. Questo valore è stato introdotto nella versione 2.1. x. È il valore predefinito nelle versioni 2.1. x e versioni successive. Con questo valore, la CLI diAWS crittografia non decrittograferà alcun testo cifrato con versioni precedenti diAWS Encryption SDK.
Per informazioni dettagliate sull'impostazione di impostazione di impegno, consultaMigrazione della tuaAWS Encryption SDK.
-
- --encryption-context (-c)
-
Specifica un contesto di crittografia per l'operazione. Questa parametro non è obbligatorio, ma è consigliato.
-
In un comando
--encrypt
, immetti una o più coppiename=value
. Utilizza gli spazi per separare le coppie. -
In un
--decrypt
comando, immettetename=value
coppie,name
elementi senza valori o entrambi.
Se
name
ovalue
in una coppianame=value
include spazi o caratteri speciali, racchiudi la coppia completa tra virgolette. Ad esempio,--encryption-context "department=software development"
. -
- --buffer (-b) [Introdotto nelle versioni 1.9. x e 2.2. x]
-
Restituisce il testo in chiaro solo dopo l'elaborazione di tutti gli input, inclusa la verifica della firma digitale, se presente.
- --max-encrypted-data-keys [Introdotto nelle versioni 1.9. x e 2.2. x]
Specifica il numero massimo di chiavi di dati crittografate in un messaggio crittografato. Questo parametro è facoltativo.
I valori validi sono compresi tra 1 e 65.535. Se ometti questo parametro, la CLI diAWS Encryption non applicherà alcun valore. Un messaggio crittografato può contenere fino a 65.535 (2^16 - 1) chiavi di dati crittografate.
È possibile utilizzare questo parametro nei comandi di crittografia per evitare un messaggio malformato. Puoi usarlo nei comandi di decrittografia per rilevare messaggi dannosi ed evitare di decrittografare i messaggi con numerose chiavi di dati crittografate che non puoi decrittografare. Per informazioni dettagliate e un esempio, consulta Limitazione delle chiavi di dati crittografate.
- --help (-h)
-
Stampa utilizzo e sintassi nella riga di comando.
- --versione
-
Ottiene la versione della CLI diAWS crittografia.
- -v | -vv | -vvv | -vvvv
-
Visualizza informazioni, avvisi e messaggi di debug verbosi. Il dettaglio nell'output aumenta con il numero di
v
nel parametro. L'impostazione più dettagliata (-vvvv
) restituisce i dati a livello di debug dalla CLI diAWS crittografia e da tutti i componenti che utilizza. - --quiet (-q)
-
Sopprime messaggi di avviso, ad esempio il messaggio visualizzato quando si sovrascrive un file di output.
- --master-keys (-m) [Obsoleto]
-
Nota
Il parametro --master-keys è obsoleto nella versione 1.8. x e rimosso nella versione 2.1. x. Utilizzate invece il parametro --wrapping-keys.
Specifica le chiavi master utilizzate nelle operazioni di crittografia e decrittografia. È possibile utilizzare i parametri di più chiavi master in ogni comando.
Il parametro
--master-keys
è obbligatorio nei comandi di crittografia. È necessaria nei comandi di decrittografia solo quando si utilizza un provider di chiavi master (nonAWS KMS) personalizzate.Attributi: il valore del parametro
--master-keys
consiste nei seguenti attributi. Il formato èattribute_name=value
.- key
-
Identifica la chiave di wrapping utilizzata nell'operazione. Il formato è una coppia chiave=ID. L'attributo chiave è obbligatorio in tutti i comandi di crittografia.
Quando utilizzi un comandoAWS KMS key in un ciasas, il valore dell'attributo della chiave, l'ARN della chiave, il nome della chiave, il nome della chiave, il nome della chiave, il nome della chiave, l'ARN della chiave, il nome della chiave, il nome della chiave, l'ARN della chiave, il nome della chiave, il nome della chiave, il nome della chiave Per dettagli sugli identificatoriAWS KMS chiave, consulta Identificatori chiave nella Guida per gliAWS Key Management Service sviluppatori.
L'attributo key è obbligatorio nei comandi di decrittografia quando il fornitore della chiave master non lo èAWS KMS. L'attributo key non è consentito nei comandi che decrittografano i dati crittografati con unAWS KMS key.
È possibile specificare più attributi delle chiavi in ogni valore del parametro
--master-keys
. Tuttavia, qualsiasi attributo di provider, regione e profilo si applica a tutte le chiavi master nel valore del parametro. Per specificare le chiavi master con differenti valori degli attributi, utilizza più parametri--master-keys
nel comando. - provider
-
Identifica il provider della chiave master. Il formato è una coppia provider=ID. Il valore di default, aws-kms, rappresenta AWS KMS. Questo attributo è obbligatorio solo quando il provider della chiave master non è AWS KMS.
- Regione
-
Identifica ilRegione AWS di unAWS KMS key. Questo attributo è valido solo perAWS KMS keys. È utilizzato solo quando l'identificatore della chiave non specifica una regione. In caso contrario, verrà ignorato. Quando viene utilizzato, sovrascrive la regione predefinita nel profilo denominato dell'interfaccia a riga di comando AWS.
- profile
-
Identifica un AWS CLIdenominato profilohttps://docs.aws.amazon.com/cli/latest/userguide/cli-multiple-profiles.html. Questo attributo è valido solo perAWS KMS keys. La regione nel profilo è utilizzata solo quando l'identificatore chiave non consente di specificare una regione e non è previsto alcun attributo regione nel comando.
Parametri avanzati
- --algorithm
-
Specifica una suite di algoritmi alternativa. Questo parametro è facoltativo ed è valido solo nei comandi di crittografia.
Se si omette questo parametro, l'AWSEncryption CLI utilizza una delle suite di algoritmi predefinite per quelleAWS Encryption SDK introdotte nella versione 1.8. x. Entrambi gli algoritmi predefiniti utilizzano AES-GCM con un HKDF
, una firma ECDSA e una chiave di crittografia a 256 bit. Uno usa l'impegno chiave; l'altro no. La scelta della suite di algoritmi predefinita è determinata dalla politica di impegno per il comando. Le suite di algoritmi predefinite sono consigliate per la maggior parte delle operazioni di crittografia. Per un elenco dei valori validi, consulta i valori per il parametro
algorithm
in Leggi i documenti. - --frame-length
-
Crea output con una lunghezza frame specificata. Questo parametro è facoltativo ed è valido solo nei comandi di crittografia.
Inserisci un valore in byte. I valori validi sono 0 e 1 — 2^31 - 1. Un valore pari a 0 indica i dati senza cornice. L'impostazione predefinita è 4096 (byte).
Nota
Quando possibile, usa dati incorniciati. AWS Encryption SDKSupporta dati senza frame solo per uso legacy. Alcune implementazioni linguistiche diAWS Encryption SDK possono ancora generare testo cifrato senza cornice. Tutte le implementazioni linguistiche supportate possono decrittografare testo cifrato con e senza cornice.
- --max-length
-
Indica la dimensione massima del frame (o la lunghezza massima dei contenuti per messaggi non framed) in byte per leggere i messaggi crittografati. Questo parametro è facoltativo ed è valido solo nei comandi di decrittografia. È concepito per proteggerti dalla decrittografia di testo cifrato dannoso di grandi dimensioni.
Inserisci un valore in byte. Se ometti questo parametro,AWS Encryption SDK non limiterà la dimensione del frame durante la decodifica.
- --caching
-
Abilita la funzionalità di caching della chiave dei dati, che riutilizza le chiavi di dati, invece di generare una nuova chiave di dati per ogni file di input. Questo parametro supporta uno scenario avanzato. Assicurati di leggere la documentazione Caching della chiave dei dati prima di utilizzare questa funzionalità.
Il parametro
--caching
ha i seguenti attributi.- capacità (obbligatorio)
-
Stabilisce il numero massimo di voci nella cache.
Il valore minimo è 1. Non è previsto un valore massimo.
- max_age (obbligatorio)
-
Determina per quanto tempo vengono utilizzate le voci della cache, in secondi, a partire da quando vengono aggiunte alla cache.
Immetti un valore superiore a 0. Non è previsto un valore massimo.
- max_messages_encrypted (opzionale)
-
Stabilisce il numero massimo di messaggi che una voce nella cache è in grado di crittografare.
I valori validi sono compresi tra 1 e 2^32. Il valore predefinito è 2^32 (messaggi).
- max_bytes_encrypted (opzionale)
-
Stabilisce il numero massimo di byte che una voce nella cache è in grado di crittografare.
I valori validi sono 0 e 1 — 2^63 - 1. Il valore predefinito è 2^63 - 1 (messaggi). Il valore 0 consente di utilizzare il caching della chiave di dati solo quando stai crittografando stringhe di messaggio vuote.