AWS Encryption CLI の使用方法

このトピックでは、AWS Encryption CLI でパラメータを使用する方法について説明します。例については、「AWS Encryption CLI の例」を参照してください。完全なドキュメントについては、「ドキュメントを読む」を参照してください。これらの例に示す構文は、AWS Encryption CLI バージョン 2.1.x 以降用です。

注記

4.0.0 より前のバージョンの AWS 暗号化 CLI は「サポート終了段階」にあります。

バージョン 2.1.x 以降から、コードやデータを変更せずに最新バージョンの AWS Encryption CLI に安全に更新できます。ただし、バージョン 2.1.x で導入された 新しいセキュリティ機能 には下位互換性がありません。バージョン 1.7.x、またはそれ以前からアップデートする場合は、まず AWS Encryption CLI の最新の 1.x バージョンに更新する必要があります。詳細については、「AWS Encryption SDK の移行」を参照してください。

新しいセキュリティ機能は、AWS Encryption CLI バージョン 1.7.x および 2.0.x で最初にリリースされました。ただし、AWS Encryption CLI バージョン 1.7.x はバージョン 1.8.x に、AWS Encryption CLI 2.0.x は 2.1.x に置き換わります。詳細については、GitHub の aws-encryption-sdk-cli リポジトリで関連するセキュリティアドバイザリを参照してください。

暗号化されたデータキーを制限するセキュリティ機能の使用方法の例については、「暗号化されたデータキーの制限」を参照してください。

AWS KMS マルチリージョンキーの使用方法の例については、「マルチリージョン AWS KMS keys の使用」を参照してください。

データを暗号化および復号する方法

AWS Encryption CLI は、AWS Encryption SDK の機能を使用してデータの安全な暗号化と復号を容易にします。

注記

--master-keys パラメータは AWS Encryption CLI のバージョン 1.8.x で非推奨となり、バージョン 2.1.x で削除されます。代わりに、--wrapping-keys パラメータを使用します。バージョン 2.1.x 以降は、--wrapping-keys パラメータが暗号化および復号化時に必要となります。詳細については、「AWS Encryption SDK CLI の構文およびパラメータのリファレンス」を参照してください。

• AWS Encryption CLI でデータを暗号化する場合は、プレーンテキストデータと、AWS Key Management Service (AWS KMS) の AWS KMS key などのラッピングキー (またはマスターキー) を指定します。カスタムのマスターキープロバイダーを使用する場合は、プロバイダーを指定する必要もあります。また、暗号化されたメッセージおよび暗号化オペレーションに関するメタデータの出力場所を指定します。暗号化コンテキストはオプションですが、推奨されています。

  バージョン 1.8.x では、--wrapping-keys パラメータを使用するときに --commitment-policy パラメータが必要です。これがない場合は無効です。バージョン 2.1.x 以降では、--commitment-policy パラメータはオプションですが推奨されます。

  aws-encryption-cli --encrypt --input myPlaintextData \
                     --wrapping-keys key=1234abcd-12ab-34cd-56ef-1234567890ab \
                     --output myEncryptedMessage \
                     --metadata-output ~/metadata \
                     --encryption-context purpose=test \
                     --commitment-policy require-encrypt-require-decrypt

  AWS Encryption CLI は、一意のデータキーでデータを暗号化します。その後、指定したラッピングキーでデータキーを暗号化します。暗号化されたメッセージとオペレーションに関するメタデータが返されます。暗号化されたメッセージには、暗号化されたデータ (暗号化テキスト) およびデータキーの暗号化されたコピーが含まれます。データキーの保存、管理、または紛失について心配する必要はありません。

   

• データを復号する際、暗号化されたメッセージ、オプションの暗号化コンテキスト、プレーンテキスト出力およびメタデータの場所を渡します。AWS Encryption CLI がメッセージの復号に使用できるラッピングキーを指定するか、メッセージを暗号化したラッピングキーを使用できることを AWS Encryption CLI に指示します。

  バージョン 1.8.x 以降では、復号時の --wrapping-keys パラメータはオプションですが推奨されます。バージョン 2.1.x 以降は、--wrapping-keys パラメータが暗号化および復号化時に必要となります。

  復号するときには、--wrapping-keys パラメータの key 属性を使用して、データを復号化するラッピングキーを指定します。復号時の AWS KMS ラッピングキーの指定はオプションですが、使用を意図していないキーの使用を防止するベストプラクティスです。カスタムのマスターキープロバイダーを使用する場合は、プロバイダーおよびラッピングキーを指定する必要があります。

  key 属性を使用しない場合は、--wrapping-keys パラメータの discovery 属性を true に設定する必要があります。AWS Encryption CLI が、メッセージを暗号化したラッピングキーを使用して復号化できるようになります。

  ベストプラクティスとして、--max-encrypted-data-keys パラメータを使用して、暗号化されたデータキーの数が多すぎる不正な形式のメッセージの復号化を回避してください。暗号化されたデータキーの予想数 (暗号化で使用されるラッピングキーごとに 1 つ)、または適切な最大値 (5 など) を指定します。詳細については、「暗号化されたデータキーの制限」を参照してください。

  --buffer パラメータでは、デジタル署名が存在する場合の検証も含めて、すべての入力が処理された後にのみプレーンテキストが返されます。

  --decrypt-unsigned パラメータでは、暗号化テキストを復号し、復号化前にメッセージが署名なしであることを確認します。このパラメータは、--algorithm パラメータを使用し、データを暗号化するためのデジタル署名なしのアルゴリズムスイートを選択した場合に使用します。暗号化テキストが署名されている場合、復号化は失敗します。

  --decrypt または --decrypt-unsigned を復号化に使用できますが、両方とも使用することはできません。

  aws-encryption-cli --decrypt --input myEncryptedMessage \
                     --wrapping-keys key=1234abcd-12ab-34cd-56ef-1234567890ab \
                     --output myPlaintextData \
                     --metadata-output ~/metadata \
                     --max-encrypted-data-keys 1 \
                     --buffer \
                     --encryption-context purpose=test \ 
                     --commitment-policy require-encrypt-require-decrypt

  AWS Encryption CLI は、ラッピングキーを使用して暗号化されたメッセージのデータキーを復号します。次に、データキーを使ってデータを復号します。プレーンテキストのデータとオペレーションに関するメタデータが返されます。

ラッピングキーの指定方法

AWS Encryption CLI でデータを暗号化するときは、少なくとも 1 つのラッピングキー (またはマスターキー) を指定する必要があります。AWS Key Management Service (AWS KMS) の AWS KMS keys かカスタムマスターキープロバイダーのラッピングキー、またはその両方を使用できます。カスタムのマスターキープロバイダは、互換性がある Python マスターキープロバイダのいずれかです。

バージョン 1.8.x 以降でラッピングキーを指定するには、--wrapping-keys パラメータ (-w) を使用します。このパラメータの値は、attribute=value 形式を使用する属性の集合です。使用する属性は、マスターキープロバイダやコマンドによって異なります。

• AWS KMS。暗号化コマンドでは、key 属性を使用して --wrapping-keys パラメータを指定する必要があります。バージョン 2.1.x 以降は、--wrapping-keys パラメータが復号化コマンドにも必要となります。復号化するとき、--wrapping-keys パラメータでは、key 属性を指定するか、discovery 属性を true にする必要があります (両方ではない)。その他の属性はオプションです。

• カスタムマスターキープロバイダー。どのコマンドでも --wrapping-keys パラメータを指定する必要があります。パラメータ値に key および provider 属性を含める必要があります。

同じコマンドで複数の --wrapping-keys パラメータおよび複数の key 属性を含めることができます。

ラッピングキーパラメータの属性

--wrapping-keys パラメータの値は、次の属性と値で構成されます。--wrapping-keys パラメータ (または --master-keys パラメータ) は、すべての暗号化コマンドで必要です。バージョン 2.1.x 以降は、--wrapping-keys パラメータが復号化時にも必要となります。

属性名や値にスペースや特殊文字が含まれている場合、名前と値の両方を引用符で囲みます。例えば、--wrapping-keys key=12345 "provider=my cool provider" です。

Key: ラッピングキーを指定します。

key 属性を使用してラッピングキーを識別します。暗号化時に、この値は、マスターキープロバイダーが認識する任意のキー識別子を使用できます。

--wrapping-keys key=1234abcd-12ab-34cd-56ef-1234567890ab

暗号化コマンドでは、少なくとも 1 つの key 属性と値が含まれている必要があります。複数のラッピングキーでデータキーを暗号化するには、複数の key 属性を使用します。

aws-encryption-cli --encrypt --wrapping-keys key=1234abcd-12ab-34cd-56ef-1234567890ab key=1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d

AWS KMS keys を使用する暗号化コマンドでは、key の値は、キー ID、キー ARN、エイリアス名、エイリアス ARN のいずれかです。たとえば、この暗号化コマンドでは、key 属性の値のエイリアス ARN を使用しています。AWS KMS key のキー識別子の詳細については、「AWS Key Management Service デベロッパーガイド」の「キー識別子」を参照してください。

aws-encryption-cli --encrypt --wrapping-keys key=arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias

カスタムのマスターキープロバイダーを使用する復号コマンドでは、key および provider 属性が必須です。

\\ Custom master key provider
aws-encryption-cli --decrypt --wrapping-keys provider='myProvider' key='100101'

AWS KMS を使用する復号コマンドでは、key 属性を使用して復号に使用する AWS KMS keys を指定するか、discovery 属性を true にしてメッセージの暗号化に使用された AWS KMS key を AWS Encryption CLI で使用できるようにします。AWS KMS key を指定する場合は、メッセージの暗号化に使用されるラッピングキーの 1 つにする必要があります。

ラッピングキーの指定は、AWS Encryption SDK のベストプラクティスです。使用を意図した AWS KMS key を使用できるようになります。

復号コマンドでは、key 属性の値はキー ARN にする必要があります。

\\ AWS KMS key
aws-encryption-cli --decrypt --wrapping-keys key=arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

Discovery: 復号時に任意の AWS KMS key を使用します。

復号時に使う AWS KMS keys を制限する必要がない場合は、discovery 属性を true にします。値を true にすると、AWS Encryption CLI により、メッセージを暗号化した AWS KMS key を使用して復号できるようになります。discovery 属性は、指定しない場合、false です (デフォルト)。discovery 属性は、復号コマンドでのみ、メッセージが AWS KMS keys で暗号化されたときに限って有効です。

discovery 属性を true にするのは、key 属性を使用して AWS KMS keys を指定することに代わる方法です。AWS KMS keys で暗号化されたメッセージを復号化するとき、各 --wrapping-keys パラメータでは、key 属性を指定するか、discovery 属性を true にする必要があります (両方ではない)。

discovery を true にする場合は、discovery-partition と discovery-account 属性を使用し、使用する AWS KMS keys を、指定した AWS アカウント のものに制限することがベストプラクティスです。次の例では、discovery 属性により、AWS Encryption CLI で、指定した AWS アカウント の AWS KMS key を使用できるようになります。

aws-encryption-cli --decrypt --wrapping-keys \
    discovery=true \
    discovery-partition=aws \
    discovery-account=111122223333 \
    discovery-account=444455556666

Provider: マスターキープロバイダーを指定します。

provider 属性は、マスターキープロバイダーを識別します。デフォルト値は aws-kms であり、AWS KMS を表します。別のマスターキープロバイダーを使用している場合、provider 属性が必要です。

--wrapping-keys key=12345 provider=my_custom_provider

カスタム (AWS KMS ではない) マスターキープロバイダーを使用する方法の詳細については、AWS Encryption CLI レポジトリの README ファイルにあるトピック「高度な設定」を参照してください。

Region: AWS リージョン を指定します。

region 属性を使用して、AWS KMS key の AWS リージョン を指定します。この属性は、暗号化コマンドで、マスターキープロバイダが AWS KMS のときにのみ有効です。

--encrypt --wrapping-keys key=alias/primary-key region=us-east-2

AWS Encryption CLI コマンドでは、key 属性値に指定されている AWS リージョン が使用されます (リージョンを含む場合、ARN など)。key の値が AWS リージョン を指定する場合、region 属性は無視されます。

region 属性は、他のリージョンの仕様よりも優先されます。リージョン属性を使用しない場合、AWS Encryption CLI コマンドは AWS CLI の名前付きプロファイルで指定された AWS リージョン (あれば)、またはデフォルトのプロファイルを使用します。

profile: 名前付きプロファイルを指定

profile 属性を使用して AWS CLI の名前付きプロファイルを指定します。名前付きプロファイルには、認証情報と AWS リージョン を含めることができます。この属性は、マスターキープロバイダが AWS KMS でない場合にのみ有効です。

--wrapping-keys key=alias/primary-key profile=admin-1

profile 属性を使用して、暗号化と復号コマンドで別の認証情報を指定できます。暗号化コマンドで、AWS Encryption CLI は、key の値にリージョンが含まれておらず、region 属性がない場合にのみ、名前付きプロファイルの AWS リージョン を使用します。復号コマンドでは、名前プロファイルにある AWS リージョン は無視されます。

複数のラッピングキーを指定する方法

複数のラッピングキー (マスターキー) を各コマンドで指定できます。

複数のラッピングキーを指定した場合、最初のラッピングキーはデータの暗号化に使用するデータキーを生成および暗号化します。その他のラッピングキーは、同じデータキーを暗号化します。結果として得られる暗号化されたメッセージには、暗号化されたデータ (暗号化テキスト) と各ラッピングキーで 1 つずつ暗号化された一組のデータキーが含まれます。どのラッピングも、1 つの暗号化されたデータキーを復号してデータを復号することができます。

複数のラッピングキーを指定するには、2 つの方法があります。

• --wrapping-keys パラメータの値に複数の key 属性を含めます。

  $key_oregon=arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
  $key_ohio=arn:aws:kms:us-east-2:111122223333:key/0987ab65-43cd-21ef-09ab-87654321cdef
  
  --wrapping-keys key=$key_oregon key=$key_ohio

• 同じコマンドに複数の --wrapping-keys パラメータを含めます。この構文は、指定する属性値をコマンドのラッピングキーに一括で適用しない場合に使用します。

  --wrapping-keys region=us-east-2 key=alias/test_key \
  --wrapping-keys region=us-west-1 key=alias/test_key

discovery 属性を true にすると、メッセージを暗号化した AWS KMS key を AWS Encryption CLI で使用できるようになります。複数の --wrapping-keys パラメータを同じコマンドで使用する場合、--wrapping-keys パラメータで discovery=true を使用すると、その他の --wrapping-keys パラメータで key 属性の制限が事実上無効になります。

例えば、次のコマンドでは、最初の --wrapping-keys パラメータの key 属性により、指定した AWS KMS key に AWS Encryption CLI は制限されます。ただし、2 番目の --wrapping-keys パラメータの discovery 属性により、AWS Encryption CLI で指定アカウントの AWS KMS key を使用してメッセージを復号できます。

aws-encryption-cli --decrypt \
    --wrapping-keys key=arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab \
    --wrapping-keys discovery=true \
                    discovery-partition=aws \
                    discovery-account=111122223333 \
                    discovery-account=444455556666

入力を指定する方法

AWS Encryption CLI の暗号化オペレーションは、プレーンテキストのデータを入力として受け取り、暗号化されたメッセージを返します。復号オペレーションは、暗号化されたメッセージを入力として受け取り、プレーンテキストのデータを返します。

AWS Encryption CLI に入力の保存場所を指示する --input パラメータ (-i) は、すべての AWS Encryption CLI コマンドで必要です。

次のいずれかの方法で入力を指定できます。

• ファイルを使用します。

  --input myData.txt

• ファイル名のパターンを使用します。

  --input testdir/*.xml

• ディレクトリまたはディレクトリ名のパターンを使用します。入力がディレクトリの場合、--recursive パラメータ (-r、-R) が必要です。

  --input testdir --recursive

• 入力をコマンド (stdin) へパイプします。- パラメータに --input の値を使用します。(--input パラメータは常に必須です。)

  echo 'Hello World' | aws-encryption-cli --encrypt --input -

出力の場所を指定する方法

--output パラメータは、暗号化または復号オペレーションの結果を書き込む場所を AWS Encryption CLI に指示します。これはすべての AWS Encryption CLI コマンドで必須です。AWS Encryption CLI は、オペレーションの入力ファイルごとに新しい出力ファイルを作成します。

出力ファイルがすでに存在している場合、デフォルトで、AWS Encryption CLI は警告を表示してからファイルを上書きします。上書きされないようにするには、上書きする前に確認のメッセージが表示する --interactive パラメータを使用するか、または、出力が上書きしようとすると入力をスキップする --no-overwrite を使用します。上書きの警告を表示しないようにするには、--quiet を使用します。AWS Encryption CLI からのエラーと警告をキャプチャするには、2>&1 リダイレクト演算子を使用してそれらを出力ストリームに書き込みます。

注記

出力ファイルを上書きするコマンドは、出力ファイルを削除することで開始します。コマンドが失敗した場合は、出力ファイルが既に削除されている場合があります。

さまざまな方法で出力場所を変更できます。

• ファイル名を指定します。ファイルにパスを指定する場合、コマンドの実行前にパス内のすべてのディレクトリが存在している必要があります。

  --output myEncryptedData.txt

• ディレクトリを指定します。コマンドの実行前に出力ディレクトリが存在している必要があります。

  入力にサブディレクトリが含まれている場合、コマンドは指定されたディレクトリの下にサブディレクトリを再現します。

  --output Test

  出力場所がディレクトリ (ファイル名なし) の場合、AWS Encryption CLI は入力ファイル名とサフィックスに基づいて出力ファイル名を作成します。暗号化オペレーションは、入力ファイル名に .encrypted を追加します。復号オペレーションは .decrypted を追加します。サフィックスを変更するには、--suffix パラメータを使用します。

  たとえば、file.txt を暗号化する場合、暗号化コマンドは file.txt.encrypted を作成します。file.txt.encrypted を復号する場合、復号コマンドは file.txt.encrypted.decrypted を作成します。

   

• コマンドライン (stdout) に書き込みます。- パラメータに --output の値を入力します。--output - を使用して、出力を他のコマンドやプログラムにパイプできます。

  --output -

暗号化コンテキストを使用する方法

AWS Encryption CLI では、暗号化と復号コマンドで暗号化コンテキストを指定することができます。これは必須ではありませんが、推奨される暗号化のベストプラクティスです。

暗号化コンテキストは、任意の、シークレットではない追加認証データです。AWS Encryption CLI では、暗号化コンテキストは name=value のペアの集合で構成されます。ペアの内容はどれでも使用できます。これには、権限やポリシーに必要とされるログ、またはデータ内の暗号化オペレーションを探すのに役立つファイルやデータに関する情報が含まれます。

暗号化コマンドの場合

暗号化コンポーネントによって追加された追加の暗号化コンテキストと共に、CMM によって追加されたペアは、暗号化されたデータに暗号化されてバインドされます。これは、コマンドが返す暗号化されたメッセージにも含まれています (プレーンテキスト)。AWS KMS key を使用している場合、暗号化コンテキストは AWS CloudTrail などの監査レコードおよびログ内のプレーンテキストに表示される可能性があります。

次の例は、name=value の 3 つのペアを持つ暗号化コンテキストを示しています。

--encryption-context purpose=test dept=IT class=confidential 

復号コマンドの場合

復号コマンドにおいて、暗号化コンテキストは、暗号化された適切なメッセージを復号しているかどうか確認するのに役立ちます。

暗号化コンテキストが暗号化で使用されていないとしても、復号コマンドで暗号化コンテキストを指定する必要はありません。ただし、指定する場合、AWS Encryption CLI は復号コマンドの暗号化コンテキスト内のすべての要素が、暗号化されたメッセージの暗号化コンテキストの要素に一致するかどうかを確認します。いずれかの要素が一致しない場合、復号コマンドは失敗します。

たとえば、次のコマンドは、暗号化コンテキストに dept=IT が含まれている場合にのみ暗号化メッセージを復号します。

aws-encryption-cli --decrypt --encryption-context dept=IT ...

暗号化コンテキストは、セキュリティ戦略の重要な部分です。ただし、暗号化コンテキストを選択する際、その値がシークレットではないことに注意してください。暗号化コンテキストに機密データを含めないでください。

暗号化コンテキストを指定するには

• 暗号化コマンドでは、--encryption-context パラメータを 1 つ以上の name=value ペアで使用します。各ペアを区切るためにスペースを使用します。

  --encryption-context name=value [name=value] ...

• 復号コマンドでは、--encryption-context パラメータ値に name=value ペア、name 要素 (値なし)、または両方の組み合わせを含めることができます。

  --encryption-context name[=value] [name] [name=value] ...

name ペアの value や name=value にスペースや特殊文字が含まれている場合、ペア全体を引用符で囲みます。

--encryption-context "department=software engineering" "AWS リージョン=us-west-2"

たとえば、この暗号化コマンドには、purpose=test と dept=23 という 2 つのペアを持つ暗号化コンテキストが含まれています。

aws-encryption-cli --encrypt --encryption-context purpose=test dept=23 ...

これらの復号コマンドは成功します。各コマンドの暗号化コンテキストは、元の暗号化コンテキストのサブセットです。

\\ Any one or both of the encryption context pairs
aws-encryption-cli --decrypt --encryption-context dept=23 ...

\\ Any one or both of the encryption context names
aws-encryption-cli --decrypt --encryption-context purpose ...

\\ Any combination of names and pairs
aws-encryption-cli --decrypt --encryption-context dept purpose=test ...

ただし、これらの復号コマンドは失敗します。暗号化されたメッセージの暗号化コンテキストには、指定された要素は含まれていません。

aws-encryption-cli --decrypt --encryption-context dept=Finance ...
aws-encryption-cli --decrypt --encryption-context scope ...

コミットメントポリシーの指定方法

コマンドにコミットメントポリシーを設定するには、--commitment-policy パラメータを使用します。このパラメータはバージョン 1.8.x で導入されました。暗号化コマンドと復号コマンドで有効です。設定するコミットメントポリシーは、表示されるコマンドに対してのみ有効です。コマンドにコミットメントポリシーを設定しない場合、AWS Encryption CLI はデフォルト値を使用します。

例えば、次のパラメータ値ではコミットメントポリシーが require-encrypt-allow-decrypt に設定され、常にキーコミットメントで暗号化されますが、暗号化された暗号化テキストはキーコミットメントの有無にかかわらず復号化されます。

--commitment-policy require-encrypt-allow-decrypt

設定ファイルにパラメータを保存する方法

頻繁に使用される AWS Encryption CLI パラメータと値を設定ファイルに保存することで、時間を節約し、入力ミスを回避できます。

設定ファイルは、AWS Encryption CLI コマンドのパラメータと値を含むテキストファイルです。AWS Encryption CLI コマンドで設定ファイルを参照すると、リファレンスは設定ファイルのパラメータと値で置き換えられます。ファイルの内容をコマンドラインで入力した場合にも同じ効果が得られます。設定ファイルは任意の名前を使用でき、現在のユーザーがアクセス可能な任意のディレクトリに配置できます。

次の設定ファイル (key.conf) の例では、2 つの AWS KMS keys を異なるリージョンで指定しています。

--wrapping-keys key=arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
--wrapping-keys key=arn:aws:kms:us-east-2:111122223333:key/0987ab65-43cd-21ef-09ab-87654321cdef

コマンドで設定ファイルを使用するには、ファイル名の先頭にアットマーク (@) を使用します。PowerShell コンソールでは、バックティック文字を使用してアットマーク (`@) をエスケープする必要があります。

このコマンド例では、暗号化コマンドで key.conf ファイルを使用します。

Bash

$ aws-encryption-cli -e @key.conf -i hello.txt -o testdir  

PowerShell

PS C:\> aws-encryption-cli -e `@key.conf -i .\Hello.txt -o .\TestDir

設定ファイルのルール

設定ファイルを使用するためのルールは次のとおりです。

• 各設定ファイルで複数のパラメータを含めることができ、任意の順序で表示できます。各パラメータとその値 (あれば) を個別の行で表示します。

• # を使用して行の全体または一部にコメントを追加します。

• 他の設定ファイルへの参照を含めることができます。PowerShell コンソールでも、バックティック文字を使用して @ 文字をエスケープすることはしないでください。

• 設定ファイルで引用符を使用する場合、引用されたテキストが複数の行にまたがることはできません。

たとえば、これはサンプル encrypt.conf ファイルの内容です。

# Archive Files
--encrypt
--output /archive/logs
--recursive
--interactive
--encryption-context class=unclassified dept=IT
--suffix  # No suffix
--metadata-output ~/metadata
@caching.conf  # Use limited caching  

コマンドには複数の設定ファイルを含めることもできます。このコマンド例では、encrypt.conf との両方の master-keys.conf 設定ファイルが使用されます。

Bash

$  aws-encryption-cli -i /usr/logs @encrypt.conf @master-keys.conf

PowerShell

PS C:\> aws-encryption-cli -i $home\Test\*.log `@encrypt.conf `@master-keys.conf

Next: AWS Encryption CLI の例を試します。