Sintassi e riferimento parametri dell'interfaccia a riga di comando AWS Encryption SDK - AWS Encryption SDK
AWSSintassi CLI di crittografiaAWSParametri della riga di comando della crittografiaParametri avanzati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sintassi e riferimento parametri dell'interfaccia a riga di comando AWS Encryption SDK

Questo argomento fornisce diagrammi di sintassi e brevi descrizioni dei parametri per aiutarti a utilizzare l'interfaccia a riga di comando (CLI) AWS Encryption SDK. Per informazioni sulla disposizione delle chiavi e su altri parametri, consultaCome usare la CLI di AWS crittografia. Per alcuni esempi, consulta Esempi diAWSCLI di crittografia. Per la documentazione completa, consulta Leggi i documenti.

AWSSintassi CLI di crittografia

Questi diagrammi di sintassi della CLI diAWS crittografia mostrano la sintassi per ogni attività eseguita con la CLI diAWS crittografia. Rappresentano la sintassi consigliata nella versione 2.1 dell'interfaccia a riga di comando diAWS crittografia. x e versioni successive.

Le nuove funzionalità di sicurezza sono state originariamente rilasciate nelle versioni 1.7 dell'interfaccia a riga di comando diAWS crittografia. x e 2.0. x. Tuttavia,AWS Encryption CLI versione 1.8. x sostituisce la versione 1.7. x eAWS Encryption CLI 2.1. x sostituisce 2.0. x. Per i dettagli, consulta l'avviso di sicurezza pertinente nel aws-encryption-sdk-clirepository su GitHub.

Nota

A meno che non sia indicato nella descrizione del parametro, ogni parametro o attributo può essere utilizzato una sola volta in ogni comando.

Se si utilizza un attributo non supportato da un parametro, la CLI diAWS crittografia ignora l'attributo non supportato senza alcun avviso o errore.

Chiedere aiuto

Per ottenere la sintassi completa della CLI diAWS crittografia con le descrizioni dei parametri, usa--help or-h.

aws-encryption-cli (--help | -h)
Ottenere la versione

Per ottenere il numero di versione dell'installazione della CLI diAWS crittografia, usa--version. Assicurati di includere la versione quando fai domande, segnali problemi o condividi suggerimenti sull'uso della CLI diAWS crittografia.

aws-encryption-cli --version
Crittografare i dati

Il seguente diagramma di sintassi mostra i parametri utilizzati da un comando encrypt. 

aws-encryption-cli --encrypt
                   --input <input> [--recursive] [--decode]
                   --output <output> [--interactive] [--no-overwrite] [--suffix [<suffix>]] [--encode]
                   --wrapping-keys  [--wrapping-keys] ...
                       key=<keyID> [key=<keyID>] ...
                       [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>]
                   --metadata-output <location> [--overwrite-metadata] | --suppress-metadata]
                   [--commitment-policy <commitment-policy>]
                   [--encryption-context <encryption_context> [<encryption_context> ...]]
                   [--max-encrypted-data-keys <integer>]
                   [--algorithm <algorithm_suite>]
                   [--caching <attributes>] 
                   [--frame-length <length>]
                   [-v | -vv | -vvv | -vvvv]
                   [--quiet]
Decrittare i dati

Il seguente diagramma di sintassi mostra i parametri utilizzati da un comando decrypt.

Nella versione 1.8. x, il--wrapping-keys parametro è facoltativo durante la decrittografia, ma consigliato. A partire dalla versione 2.1. x, il--wrapping-keys parametro è necessario per la crittografia e la decrittografia. InfattiAWS KMS keys, è possibile utilizzare l'attributo key per specificare le chiavi di wrapping (procedura consigliata) o impostare l'attributo discovery sutrue, il che non limita le chiavi di wrapping che la CLI diAWS crittografia può utilizzare.

aws-encryption-cli --decrypt (or [--decrypt-unsigned]) 
                   --input <input> [--recursive] [--decode]
                   --output <output> [--interactive] [--no-overwrite]  [--suffix [<suffix>]] [--encode]           
                   --wrapping-keys  [--wrapping-keys] ...
                       [key=<keyID>] [key=<keyID>] ...
                       [discovery={true|false}] [discovery-partition=<aws-partition-name> discovery-account=<aws-account-ID> [discovery-account=<aws-account-ID>] ...] 
                       [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>]
                   --metadata-output <location> [--overwrite-metadata] | --suppress-metadata]
                   [--commitment-policy <commitment-policy>]
                   [--encryption-context <encryption_context> [<encryption_context> ...]]
                   [--buffer]
                   [--max-encrypted-data-keys <integer>]
                   [--caching <attributes>]
                   [--max-length <length>]
                   [-v | -vv | -vvv | -vvvv]
                   [--quiet]
Utilizzare i file di configurazione

Puoi consultare i file di configurazione che contengono i parametri e i relativi valori. Ciò equivale a digitare i parametri e i valori nel comando. Per un esempio, consulta Come archiviare i parametri in un file di configurazione.

aws-encryption-cli @<configuration_file>

# In a PowerShell console, use a backtick to escape the @.
aws-encryption-cli `@<configuration_file>

AWSParametri della riga di comando della crittografia

Questo elenco fornisce una descrizione di base dei parametri del comandoAWS Encryption CLI. Per una descrizione completa, consulta la aws-encryption-sdk-clidocumentazione.

--crittografa (-e)

Crittografia dei dati di input. Ogni comando deve avere un--decrypt-unsigned parametro--encrypt--decrypt, o o.

--decrittografa (-d)

Decrittografia dei dati di input. Ogni comando deve avere un--decrypt-unsigned parametro--encrypt--decrypt, o.

--decrypt-unsigned [Introdotto nelle versioni 1.9. x e 2.2. x]

Il--decrypt-unsigned parametro decrittografa il testo cifrato e garantisce che i messaggi non siano firmati prima della decrittografia. Utilizza questo parametro se hai utilizzato il--algorithm parametro e hai selezionato una suite di algoritmi senza firma digitale per crittografare i dati. Se il testo cifrato è firmato, la decrittografia fallisce.

È possibile utilizzare--decrypt o--decrypt-unsigned per la decrittografia, ma non entrambi.

--wrapping-keys (-w) [Introdotto nella versione 1.8. x]

Specifica le chiavi di wrapping (o chiavi master) utilizzate nelle operazioni di crittografia e decrittografia. È possibile utilizzare più--wrapping-keys parametri in ogni comando.

A partire dalla versione 2.1. x, il--wrapping-keys parametro è obbligatorio nei comandi di crittografia e decrittografia. Nella versione 1.8. x, i comandi di crittografia richiedono un--master-keys parametro--wrapping-keys or. Nella versione 1.8. x decrypt i comandi, un--wrapping-keys parametro è facoltativo ma consigliato.

Quando si utilizza un provider di chiave master personalizzato, i comandi di crittografia e decrittografia richiedono gli attributi della chiave e del provider. Quando si utilizzanoAWS KMS keys, i comandi di crittografia richiedono un attributo chiave. I comandi di decrittografia richiedono un attributo chiave o un attributo discovery con un valore pari atrue (ma non entrambi). L'utilizzo dell'attributo key durante la decrittografia è una proceduraAWS Encryption SDK consigliata. È particolarmente importante se stai decifrando batch di messaggi sconosciuti, come quelli in un bucket Amazon S3 o in una coda Amazon SQS.

Per un esempio che mostra come utilizzare le chiaviAWS KMS multiregione come chiavi di confezionamento, vedereUtilizzo di più regioni AWS KMS keys.

Attributi: il valore del parametro --wrapping-keys consiste nei seguenti attributi. Il formato è attribute_name=value.

key

Identifica la chiave di wrapping utilizzata nell'operazione. Il formato è una coppia chiave=ID. È possibile specificare più attributi delle chiavi in ogni valore del parametro --wrapping-keys.

  • Comandi di crittografia: tutti i comandi di crittografia richiedono l'attributo key. Quando utilizzi un comandoAWS KMS key in un ciasas, il valore dell'attributo della chiave, l'ARN della chiave, il nome della chiave, il nome della chiave, il nome della chiave, il nome della chiave, l'ARN della chiave, il nome della chiave, il nome della chiave, l'ARN della chiave, il nome della chiave, il nome della chiave, il nome della chiave Per le descrizioni degli identificatoriAWS KMS chiave, consulta Identificatori chiave nella Guida per gliAWS Key Management Service sviluppatori.

  • Comandi di decrittografia: quando si decodifica conAWS KMS keys, il--wrapping-keys parametro richiede un attributo chiave con un valore ARN chiave o un attributo discovery con un valore ditrue (ma non entrambi). L'utilizzo dell'attributo chiave è una proceduraAWS Encryption SDK consigliata. Quando si esegue la decrittografia con un provider di chiave master personalizzato, è necessario l'attributo key.

    Nota

    Per specificare una chiave diAWS KMS wrapping in un comando di decrittografia, il valore dell'attributo key deve essere un ARN chiave. Se utilizzhi un ID chiave, un nome o un ARN dell'alias, la CLI dellaAWS crittografia non riconoscerà la chiave di Writer.

È possibile specificare più attributi delle chiavi in ogni valore del parametro --wrapping-keys. Tuttavia, qualsiasi attributo di provider, regione e profilo in un--wrapping-keys parametro si applica a tutte le chiavi di wrapping in quel valore del parametro. Per specificare chiavi di wrapping con valori di attributo diversi, utilizzate più--wrapping-keys parametri nel comando.

scoperta

Consente alla CLI diAWS crittografia di utilizzarne uno qualsiasiAWS KMS key per decrittografare il messaggio. Il valore di scoperta può esseretrue ofalse. Il valore di default è false. L'attributo discovery è valido solo nei comandi di decrittografia e solo quando lo è il provider della chiave masterAWS KMS.

Quando si decodifica conAWS KMS keys, il--wrapping-keys parametro richiede un attributo chiave o un attributo di scoperta con un valore ditrue (ma non entrambi). Se si utilizza l'attributo key, è possibile utilizzare un attributo discovery con un valore difalse per rifiutare esplicitamente la scoperta.

  • False(impostazione predefinita) — Quando l'attributo discovery non è specificato o il suo valore lo èfalse, la CLI diAWS crittografia decrittografa il messaggio utilizzando soloAWS KMS keys quanto specificato dall'attributo chiave del--wrapping-keys parametro. Se non si specifica un attributo chiave durante il rilevamentofalse, il comando decrypt ha esito negativo. Questo valore supporta una best practice della CLI diAWS crittografia.

  • True— Quando il valore dell'attributo discovery ètrue, la CLI diAWS crittografia ottiene i metadatiAWS KMS keys dal messaggio crittografato e li utilizzaAWS KMS keys per decrittografare il messaggio. L'attributo discovery con un valore pari atrue si comporta come le versioni della CLI diAWS crittografia precedenti alla versione 1.8. x che non permetteva di specificare una chiave di wrapping durante la decrittografia. Tuttavia, la tua intenzione di utilizzarne unoAWS KMS key è esplicita. Se si specifica un attributo chiave durante il rilevamentotrue, il comando decrypt ha esito negativo.

    Iltrue valore potrebbe far sì che la CLI diAWS crittografiaAWS KMS keys venga utilizzata in diverseAccount AWS aree geografiche o tentare di utilizzareAWS KMS keys qualcosa che l'utente non è autorizzato a utilizzare.

In caso di rilevamentotrue, è consigliabile utilizzare gli attributi discovery-partition e discovery-account per limitare l'AWS KMS keysuso a quelliAccount AWS specificati.

Reader di individuazione

Limita l'AWS KMS keysuso per la decrittografia a quelli specificatiAccount AWS. L'unico valore valido per questo attributo è un Account AWSID.

Questo attributo è facoltativo e valido solo nei comandi di decrittografia inAWS KMS keys cui l'attributo discovery è impostato sutrue e viene specificato l'attributo discovery-partition.

Ogni attributo discovery-account richiede un soloAccount AWS ID, ma puoi specificare più attributi discovery-account nello stesso--wrapping-keys parametro. Tutti gli account specificati in un determinato--wrapping-keys parametro devono trovarsi nellaAWS partizione specificata.

Reader di individuazione

Specifica laAWS partizione per gli account nell'attributo discovery-account. Il suo valore deve essere unaAWS partizione, ad esempioawsaws-cn, oaws-gov-cloud. Per informazioni, consulta Amazon Resource Names nel Riferimenti generali di AWS.

Questo attributo è obbligatorio quando si utilizza l'attributo discovery-account. È possibile specificare un solo attributo discovery-partition in ogni--wrapping keys parametro. Per specificareAccount AWS in più partizioni, utilizzare un--wrapping-keys parametro aggiuntivo.

provider

Identifica il provider della chiave master. Il formato è una coppia provider=ID. Il valore di default, aws-kms, rappresenta AWS KMS. Questo attributo è obbligatorio solo quando il provider della chiave master non è AWS KMS.

Regione

Identifica ilRegione AWS di unAWS KMS key. Questo attributo è valido solo perAWS KMS keys. È utilizzato solo quando l'identificatore della chiave non specifica una regione. In caso contrario, verrà ignorato. Quando viene utilizzato, sovrascrive la regione predefinita nel profilo denominato dell'interfaccia a riga di comando AWS.

profile

Identifica un AWS CLIdenominato profilohttps://docs.aws.amazon.com/cli/latest/userguide/cli-multiple-profiles.html. Questo attributo è valido solo perAWS KMS keys. La regione nel profilo è utilizzata solo quando l'identificatore chiave non consente di specificare una regione e non è previsto alcun attributo regione nel comando.

--input (-i)

Specifica la posizione dei dati da crittografare o decrittografare. Questo parametro è obbligatorio. Il valore può essere un percorso a un file o a una directory o un modello di nome di file. Se stai reindirizzando input al comando (stdin), utilizza -.

Se l'input non esiste, il comando viene completato correttamente, senza errori o avvertenze.

--recursive (-r, -R)

Esegue l'operazione sul file nella directory di input e nelle relative sottodirectory. Questo parametro è obbligatorio quando il valore di --input è una directory.

--decode

Decodifica input codificati Base64.

Se stai decrittografando un messaggio che è stato crittografato e quindi codificato, è necessario decodificare il messaggio prima di decrittografarlo. Questo parametro lo fa per te.

Ad esempio, se utilizzi il parametro --encode in un comando di crittografia, utilizza il parametro --decode nel comando di decrittografia corrispondente. È inoltre possibile utilizzare questo parametro per decodificare l'input codificati Base64 prima di crittografarlo.

--output (-o)

Specifica una destinazione per l'output. Questo parametro è obbligatorio. Il valore può essere un nome di file, una directory esistente oppure -, che scrive l'output sulla riga di comando (stdout).

Se la directory di output specificata non esiste, il comando ha esito negativo. Se l'input contiene sottodirectory, la CLI diAWS crittografia riproduce le sottodirectory nella directory di output specificata.

Per impostazione predefinita, la CLI diAWS crittografia sovrascrive i file con lo stesso nome. Per modificare questo comportamento, utilizza i parametri --interactive o --no-overwrite. Per annullare l'avvertenza relativa alla sovrascrittura, utilizza il parametro --quiet.

Nota

Se un comando che sovrascrive un file di output ha esito negativo, il file di output viene eliminato.

--interattivo

Chiede prima di sovrascrivere il file.

--nessuna sovrascrittura

Non sovrascrive i file. Invece, se il file di output esiste, l'AWSEncryption CLI ignora l'input corrispondente.

--suffisso

Specifica un suffisso di nome file personalizzato per i file creati dalla CLI diAWS crittografia. Per indicare l'assenza di un suffisso, utilizza il parametro con nessun valore (--suffix).

Per impostazione predefinita, quando il parametro --output non specifica un nome di file, il nome del file di output ha lo stesso nome del nome del file di input più il suffisso. Il suffisso per i comandi di crittografia è .encrypted. Il suffisso per i comandi di decrittografia è .decrypted.

--encode

Applica la codifica Base64 (da binario a testo) all'output. La codifica evita che il programma host shell interpreti erroneamente i caratteri non ASCII nel testo di output.

Utilizzate questo parametro quando scrivete un output crittografato su stdout (--output -), specialmente in una PowerShell console, anche quando reindirizzate l'output a un altro comando o lo salvate in una variabile.

--metadata-output

Specifica una posizione per i metadati relativi alle operazioni di crittografia. Inserisci un percorso e un nome di file. Se la directory non esiste, il comando ha esito negativo. Per scrivere i metadati nella riga di comando (stdout), utilizza -.

Non è possibile scrivere l'output di comando (--output) e l'output dei metadati (--metadata-output) su stdout nello stesso comando. Inoltre, quando il valore di --input o di --output è una directory (senza nomi di file), non è possibile scrivere l'output dei metadati nella stessa directory o in qualsiasi sottodirectory di tale directory.

Se si specifica un file esistente, per impostazione predefinita, la CLI diAWS crittografia aggiunge nuovi record di metadati a qualsiasi contenuto del file. Questa funzione consente di creare un singolo file che contiene i metadati per tutte le operazioni di crittografia. Per sovrascrivere i contenuti in un file esistente, utilizza il parametro --overwrite-metadata.

La CLI diAWS crittografia restituisce un record di metadati in formato JSON per ogni operazione di crittografia o decrittografia eseguita dal comando. Ogni record dei metadati include i percorsi completi al file di input e di output, il contesto di crittografia, la suite di algoritmi e altre informazioni utili che puoi utilizzare per rivedere l'operazione e verificare che soddisfi gli standard di sicurezza.

--overwrite-metadata

Sovrascrive i contenuti nel file di output dei metadati. Per impostazione predefinita, il parametro --metadata-output aggiunge i metadati a qualsiasi contenuto esistente nel file.

--suppress-metadata (-S)

Sopprime i metadati relativi all'operazione di crittografia o decrittografia.

--politica-impegno

Specifica la politica di impegno per i comandi di crittografia e decrittografia. La politica di impegno determina se il messaggio è crittografato e decrittografato con la funzionalità di sicurezza chiave dell'impegno.

Il--commitment-policy parametro è stato introdotto nella versione 1.8. x. È valido nei comandi di crittografia e decrittografia.

Nella versione 1.8. x, la CLI diAWS crittografia utilizza la politica diforbid-encrypt-allow-decrypt impegno per tutte le operazioni di crittografia e decrittografia. Quando si utilizza il--wrapping-keys parametro in un comando di crittografia o decrittografia, è necessario un--commitment-policy parametro con ilforbid-encrypt-allow-decrypt valore. Se non si utilizza il--wrapping-keys parametro, il--commitment-policy parametro non è valido. L'impostazione di una politica di impegno impedisce esplicitamente che la politica di impegno venga modificata automaticamenterequire-encrypt-require-decrypt quando si esegue l'aggiornamento alla versione 2.1. x

A partire dalla versione 2.1. x, tutti i valori della politica di impegno sono supportati. Il--commitment-policy parametro è facoltativo e il valore predefinito èrequire-encrypt-require-decrypt.

Questo parametro ha i seguenti valori:

  • forbid-encrypt-allow-decrypt— Non è possibile crittografare con impegno chiave. Può decrittografare i testi cifrati con o senza impegno chiave.

    Nella versione 1.8. x, questo è l'unico valore valido. La CLI diAWS crittografia utilizza la politica diforbid-encrypt-allow-decrypt impegno per tutte le operazioni di crittografia e decrittografia.

  • require-encrypt-allow-decrypt— Crittografa solo con impegno chiave. Decifra con e senza impegno chiave. Questo valore è stato introdotto nella versione 2.1. x.

  • require-encrypt-require-decrypt(impostazione predefinita): crittografa e decrittografa solo con l'impegno della chiave. Questo valore è stato introdotto nella versione 2.1. x. È il valore predefinito nelle versioni 2.1. x e versioni successive. Con questo valore, la CLI diAWS crittografia non decrittograferà alcun testo cifrato con versioni precedenti diAWS Encryption SDK.

Per informazioni dettagliate sull'impostazione di impostazione di impegno, consultaMigrazione della tuaAWS Encryption SDK.

--encryption-context (-c)

Specifica un contesto di crittografia per l'operazione. Questa parametro non è obbligatorio, ma è consigliato.

  • In un comando --encrypt, immetti una o più coppie name=value. Utilizza gli spazi per separare le coppie.

  • In un--decrypt comando, immettetename=value coppie,name elementi senza valori o entrambi.

Se name o value in una coppia name=value include spazi o caratteri speciali, racchiudi la coppia completa tra virgolette. Ad esempio, --encryption-context "department=software development".

--buffer (-b) [Introdotto nelle versioni 1.9. x e 2.2. x]

Restituisce il testo in chiaro solo dopo l'elaborazione di tutti gli input, inclusa la verifica della firma digitale, se presente.

--max-encrypted-data-keys [Introdotto nelle versioni 1.9. x e 2.2. x]

Specifica il numero massimo di chiavi di dati crittografate in un messaggio crittografato. Questo parametro è facoltativo.

I valori validi sono compresi tra 1 e 65.535. Se ometti questo parametro, la CLI diAWS Encryption non applicherà alcun valore. Un messaggio crittografato può contenere fino a 65.535 (2^16 - 1) chiavi di dati crittografate.

È possibile utilizzare questo parametro nei comandi di crittografia per evitare un messaggio malformato. Puoi usarlo nei comandi di decrittografia per rilevare messaggi dannosi ed evitare di decrittografare i messaggi con numerose chiavi di dati crittografate che non puoi decrittografare. Per informazioni dettagliate e un esempio, consulta Limitazione delle chiavi di dati crittografate.

--help (-h)

Stampa utilizzo e sintassi nella riga di comando.

--versione

Ottiene la versione della CLI diAWS crittografia.

-v | -vv | -vvv | -vvvv

Visualizza informazioni, avvisi e messaggi di debug verbosi. Il dettaglio nell'output aumenta con il numero di v nel parametro. L'impostazione più dettagliata (-vvvv) restituisce i dati a livello di debug dalla CLI diAWS crittografia e da tutti i componenti che utilizza.

--quiet (-q)

Sopprime messaggi di avviso, ad esempio il messaggio visualizzato quando si sovrascrive un file di output.

--master-keys (-m) [Obsoleto]
Nota

Il parametro --master-keys è obsoleto nella versione 1.8. x e rimosso nella versione 2.1. x. Utilizzate invece il parametro --wrapping-keys.

Specifica le chiavi master utilizzate nelle operazioni di crittografia e decrittografia. È possibile utilizzare i parametri di più chiavi master in ogni comando.

Il parametro --master-keys è obbligatorio nei comandi di crittografia. È necessaria nei comandi di decrittografia solo quando si utilizza un provider di chiavi master (nonAWS KMS) personalizzate.

Attributi: il valore del parametro --master-keys consiste nei seguenti attributi. Il formato è attribute_name=value.

key

Identifica la chiave di wrapping utilizzata nell'operazione. Il formato è una coppia chiave=ID. L'attributo chiave è obbligatorio in tutti i comandi di crittografia.

Quando utilizzi un comandoAWS KMS key in un ciasas, il valore dell'attributo della chiave, l'ARN della chiave, il nome della chiave, il nome della chiave, il nome della chiave, il nome della chiave, l'ARN della chiave, il nome della chiave, il nome della chiave, l'ARN della chiave, il nome della chiave, il nome della chiave, il nome della chiave Per dettagli sugli identificatoriAWS KMS chiave, consulta Identificatori chiave nella Guida per gliAWS Key Management Service sviluppatori.

L'attributo key è obbligatorio nei comandi di decrittografia quando il fornitore della chiave master non lo èAWS KMS. L'attributo key non è consentito nei comandi che decrittografano i dati crittografati con unAWS KMS key.

È possibile specificare più attributi delle chiavi in ogni valore del parametro --master-keys. Tuttavia, qualsiasi attributo di provider, regione e profilo si applica a tutte le chiavi master nel valore del parametro. Per specificare le chiavi master con differenti valori degli attributi, utilizza più parametri --master-keys nel comando.

provider

Identifica il provider della chiave master. Il formato è una coppia provider=ID. Il valore di default, aws-kms, rappresenta AWS KMS. Questo attributo è obbligatorio solo quando il provider della chiave master non è AWS KMS.

Regione

Identifica ilRegione AWS di unAWS KMS key. Questo attributo è valido solo perAWS KMS keys. È utilizzato solo quando l'identificatore della chiave non specifica una regione. In caso contrario, verrà ignorato. Quando viene utilizzato, sovrascrive la regione predefinita nel profilo denominato dell'interfaccia a riga di comando AWS.

profile

Identifica un AWS CLIdenominato profilohttps://docs.aws.amazon.com/cli/latest/userguide/cli-multiple-profiles.html. Questo attributo è valido solo perAWS KMS keys. La regione nel profilo è utilizzata solo quando l'identificatore chiave non consente di specificare una regione e non è previsto alcun attributo regione nel comando.

Parametri avanzati

--algorithm

Specifica una suite di algoritmi alternativa. Questo parametro è facoltativo ed è valido solo nei comandi di crittografia.

Se si omette questo parametro, l'AWSEncryption CLI utilizza una delle suite di algoritmi predefinite per quelleAWS Encryption SDK introdotte nella versione 1.8. x. Entrambi gli algoritmi predefiniti utilizzano AES-GCM con un HKDF, una firma ECDSA e una chiave di crittografia a 256 bit. Uno usa l'impegno chiave; l'altro no. La scelta della suite di algoritmi predefinita è determinata dalla politica di impegno per il comando.

Le suite di algoritmi predefinite sono consigliate per la maggior parte delle operazioni di crittografia. Per un elenco dei valori validi, consulta i valori per il parametro algorithm in Leggi i documenti.

--frame-length

Crea output con una lunghezza frame specificata. Questo parametro è facoltativo ed è valido solo nei comandi di crittografia.

Inserisci un valore in byte. I valori validi sono 0 e 1 — 2^31 - 1. Un valore pari a 0 indica i dati senza cornice. L'impostazione predefinita è 4096 (byte).

Nota

Quando possibile, usa dati incorniciati. AWS Encryption SDKSupporta dati senza frame solo per uso legacy. Alcune implementazioni linguistiche diAWS Encryption SDK possono ancora generare testo cifrato senza cornice. Tutte le implementazioni linguistiche supportate possono decrittografare testo cifrato con e senza cornice.

--max-length

Indica la dimensione massima del frame (o la lunghezza massima dei contenuti per messaggi non framed) in byte per leggere i messaggi crittografati. Questo parametro è facoltativo ed è valido solo nei comandi di decrittografia. È concepito per proteggerti dalla decrittografia di testo cifrato dannoso di grandi dimensioni.

Inserisci un valore in byte. Se ometti questo parametro,AWS Encryption SDK non limiterà la dimensione del frame durante la decodifica.

--caching

Abilita la funzionalità di caching della chiave dei dati, che riutilizza le chiavi di dati, invece di generare una nuova chiave di dati per ogni file di input. Questo parametro supporta uno scenario avanzato. Assicurati di leggere la documentazione Caching della chiave dei dati prima di utilizzare questa funzionalità.

Il parametro --caching ha i seguenti attributi.

capacità (obbligatorio)

Stabilisce il numero massimo di voci nella cache.

Il valore minimo è 1. Non è previsto un valore massimo.

max_age (obbligatorio)

Determina per quanto tempo vengono utilizzate le voci della cache, in secondi, a partire da quando vengono aggiunte alla cache.

Immetti un valore superiore a 0. Non è previsto un valore massimo.

max_messages_encrypted (opzionale)

Stabilisce il numero massimo di messaggi che una voce nella cache è in grado di crittografare.

I valori validi sono compresi tra 1 e 2^32. Il valore predefinito è 2^32 (messaggi).

max_bytes_encrypted (opzionale)

Stabilisce il numero massimo di byte che una voce nella cache è in grado di crittografare.

I valori validi sono 0 e 1 — 2^63 - 1. Il valore predefinito è 2^63 - 1 (messaggi). Il valore 0 consente di utilizzare il caching della chiave di dati solo quando stai crittografando stringhe di messaggio vuote.