の使用方法AWS暗号化 CLI - AWS Encryption SDK

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の使用方法AWS暗号化 CLI

このトピックは、でパラメータを使用する方法について説明します。AWS暗号化 CLI。例については、「例AWS暗号化 CLI」を参照してください。完全なドキュメントについては、「ドキュメントを読む」を参照してください。これらの例に示す構文は、AWS暗号化 CLI バージョン 2.1x以降.

注記

バージョン 2.1xのAWS暗号化 CLI では、新しいセキュリティ機能が導入され、AWS Encryption SDKのベストプラクティス。ただし、バージョン 2.1。xは下位互換性がありません。以前のバージョン用に設計されたコマンドとスクリプトが発生します。AWS暗号化 CLI が失敗する。これらの変更の影響を軽減するために、移行バージョン 1.8 を提供しています。x

変更に関する情報と、現在のバージョンからバージョン 1.8 への移行に関するヘルプを参照してください。xと 2.1.x「」を参照してください。バージョン 2.0 への移行。x

新しいセキュリティ機能は、当初AWS暗号化 CLI バージョン 1.7。xと 2.0.x。ただし、AWS暗号化 CLI バージョン 1.8xはバージョン 1.7 を置き換えます。xおよびAWS暗号化 CLI 2.1。x2.0 を置き換えます。x。詳細については、関連するセキュリティアドバイザリ()aws-s-sdk-liGitHub のリポジトリ。

暗号化されたデータキーを制限するセキュリティ機能の使用方法の例については、」暗号化されたデータキーの制限

使用方法を示す例AWS KMSマルチリージョンキーの詳細については、」マルチリージョン KMS キーの使用

データを暗号化および復号する方法

-AWS暗号化 CLI では、AWS Encryption SDKを使用して、データの安全な暗号化と復号を容易にします。

注記

---master-keysパラメータはバージョン 1.8 で廃止されます。xのAWS暗号化 CLI およびバージョン 2.1 で削除されました。x。代わりにを使用します。--wrapping-keysパラメータ。バージョン 2.1xとすると、--wrapping-keysパラメーターは、暗号化および復号化時に必要です。詳細については、「AWS Encryption SDK CLI の構文およびパラメータのリファレンス」を参照してください。

  • データを暗号化する場合はAWS暗号化 CLI では、プレーンテキストのデータとキーのラップ(またはマスターキーなど)、AWS Key Management Service(AWS KMS) カスタマーマスターキー (CMK)。カスタムのマスターキープロバイダを使用する場合は、プロバイダも指定する必要があります。また、暗号化されたメッセージおよび暗号化オペレーションに関するメタデータの出力場所を指定します。暗号化コンテキストはオプションですが、推奨されています。

    バージョン 1.8.xとすると、--commitment-policyパラメータが必要です。--wrapping-keysパラメータを使用します。それ以外の場合は無効です。バージョン 2.1xとすると、--commitment-policyパラメータはオプションですが推奨されます。

    aws-encryption-cli --encrypt --input myPlaintextData \ --wrapping-keys key=1234abcd-12ab-34cd-56ef-1234567890ab \ --output myEncryptedMessage \ --metadata-output ~/metadata \ --encryption-context purpose=test \ --commitment-policy require-encrypt-require-decrypt

    -AWS暗号化 CLI は、一意のデータキーでデータを暗号化します。次に、指定したラッピングキーのデータキーを暗号化します。暗号化されたメッセージとオペレーションに関するメタデータが返されます。暗号化されたメッセージには、暗号化されたデータ (暗号化テキスト) およびデータキーの暗号化されたコピーが含まれます。データキーの保存、管理、または紛失について心配する必要はありません。

  • データを復号する際、暗号化されたメッセージ、オプションの暗号化コンテキスト、プレーンテキスト出力およびメタデータの場所を渡します。また、ラッピングキーを指定します。AWS暗号化 CLI は、を使用してメッセージを復号化するか、AWS暗号化 CLI では、メッセージを暗号化した任意のラッピングキーを使用できます。

    バージョン 1.8 より。xとすると、--wrapping-keysパラメータは復号時にはオプションですが推奨されます。バージョン 2.1xとすると、--wrapping-keysパラメーターは、暗号化および復号化時に必要です。

    復号化するときは、keyの属性--wrapping-keysパラメーターを使用して、データを復号化するラッピングキーを指定します。を指定するAWS KMSキーの折り返しはオプションですが、ベストプラクティスを使用して、使用する意図のないキーを使用できないようにします。カスタムのマスターキープロバイダを使用する場合は、プロバイダとラッピングキーを指定する必要があります。

    使用しない場合key属性を設定するには、検出属性--wrapping-keysパラメータをtrueに設定できます。これにより、AWS暗号化 CLI は、メッセージを暗号化したラッピングキーを使用して復号化します。

    ベストプラクティスとして、--max-encrypted-data-keysパラメーターを使用して、暗号化されたデータキーの数が多すぎて、不正な形式のメッセージを復号化しないようにします。暗号化されたデータキーの予想数(暗号化で使用されるラップキーごとに 1 つ)または妥当な最大値(5 など)を指定します。詳細については、「暗号化されたデータキーの制限」を参照してください。

    ---bufferパラメータは、すべての入力が処理された後にのみプレーンテキストを返します。これには、デジタル署名が存在する場合の検証も含まれます。

    ---decrypt-unsignedパラメーターは暗号文を復号化し、復号化前にメッセージが署名されていないことを確認します。このパラメーターは、--algorithmパラメーターを設定し、データを暗号化するためのデジタル署名なしのアルゴリズムスイートを選択しました。暗号文が署名されている場合、復号化は失敗します。

    次を使用できます。--decryptまたは--decrypt-unsignedを復号化しますが、両方ではありません。

    aws-encryption-cli --decrypt --input myEncryptedMessage \ --wrapping-keys key=1234abcd-12ab-34cd-56ef-1234567890ab \ --output myPlaintextData \ --metadata-output ~/metadata \ --max-encrypted-data-keys 1 \ --buffer \ --encryption-context purpose=test \ --commitment-policy require-encrypt-require-decrypt

    -AWS暗号化 CLI では、ラップキーを使用して暗号化されたメッセージのデータキーを復号します。次に、データキーを使ってデータを復号します。プレーンテキストのデータとオペレーションに関するメタデータが返されます。

折り返しキーを指定する方法

データを暗号化する場合はAWS暗号化CLI を使用するには、少なくとも 1 つのを指定する必要があります。キーのラップ(またはマスターキー). 次を使用できます。AWS KMSカスタマーマスターキー (CMK)、カスタムからのキーの折り返しマスターキープロバイダーか、または両方となります。カスタムのマスターキープロバイダは、互換性がある Python マスターキープロバイダのいずれかです。

バージョン 1.8 で折り返しキーを指定する。x以降では、--wrapping-keysパラメータ (-w). このパラメータの値は、のコレクションです。属性とのattribute=valueの形式で設定。使用する属性は、マスターキープロバイダやコマンドによって異なります。

  • AWS KMS。 暗号化コマンドでは、--wrapping-keysパラメータとkey属性。バージョン 2.1xとすると、--wrapping-keysパラメーターは、復号コマンドでも必要です。復号化すると、--wrapping-keysパラメータには、key属性または検出の値を持つ属性をtrue(両方ではない)。その他の属性はオプションです。

  • カスタムマスターキープロバイダー。を指定する必要があります。--wrapping-keysパラメータを指定します。パラメータ値に key および provider 属性を含める必要があります。

あなたは含めることができます複数--wrapping-keysのパラメータおよび複数のkey同じコマンドでは、属性を同じコマンドで使用します。

キーパラメータアトリビュートの折り返し

--wrapping-keys パラメータの値は、次の属性と値で構成されます。A--wrapping-keysパラメータ (または--master-keysパラメーター) は、すべての暗号化コマンドに必要です。バージョン 2.1xとすると、--wrapping-keysパラメータも必要になります。

属性名や値にスペースや特殊文字が含まれている場合、名前と値の両方を引用符で囲みます。たとえば、--wrapping-keys key=12345 "provider=my cool provider" と指定します。

キー: 折り返しキーを指定する

の使用key属性を使用して、折り返しキーを識別します。暗号化する場合、値はマスターキープロバイダーが認識する任意のキー識別子を使用できます。

--wrapping-keys key=1234abcd-12ab-34cd-56ef-1234567890ab

暗号化コマンドには、少なくとも 1 つのkey属性と値です。複数の折り返しキーでデータキーを暗号化するには、複数key属性

aws-encryption-cli --encrypt --wrapping-keys key=1234abcd-12ab-34cd-56ef-1234567890ab key=1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d

使用する encrypt コマンドでAWS KMSCMK、値keyには、キー ID、キー ARN、エイリアス名、またはエイリアス ARN を指定できます。たとえば、この暗号化コマンドでは、key 属性の値のエイリアス ARN を使用しています。キー識別子の詳細についてはAWS KMSCMK の詳細については、キー識別子()AWS Key Management Service開発者ガイド

aws-encryption-cli --encrypt --wrapping-keys key=arn:aws:kms:us-west-2:111122223333:alias/ExampleAlias

カスタムのマスターキープロバイダーを使用する復号コマンドでは、key および provider 属性が必須です。

\\ Custom master key provider aws-encryption-cli --decrypt --wrapping-keys provider='myProvider' key='100101'

decrypt コマンドでAWS KMSとすると、を使用できます。key属性を使用して復号化に使用する CMK を指定するか、検出属性の値をに変更します。trueに設定できます。これにより、AWS暗号化 CLI は、メッセージの暗号化に使用された CMK を使用します。CMK を指定する場合は、メッセージの暗号化に使用する折り返しキーの 1 つである必要があります。

ラッピングキーを指定すると、AWS Encryption SDKベストプラクティス。これにより、使用する予定の CMK が使用されることが保証されます。

復号コマンドでは、key属性は、キー ARN

\\ AWS KMS CMK aws-encryption-cli --decrypt --wrapping-keys key=arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
検出: 復号化時に任意の CMK を使用する

制限する必要がない場合、AWS KMS復号時に使用するカスタマーマスターキー (CMK) を使用するには、検出の値を持つ属性をtrue。値:trueでは、AWS暗号化 CLI を使用して、メッセージを暗号化した CMK を使用して復号化します。指定しない場合検出属性の場合、検出はfalse(デフォルト). -検出属性は、復号コマンドで、メッセージがで暗号化されたときにのみ有効ですAWS KMSカスタマーマスターキー (CMK)。

-検出の値を持つ属性をtrueを使用するための代替手段です。key属性を使用して CMK を指定します。CMK で暗号化されたメッセージを復号化する場合、--wrapping-keysパラメータには、key属性または検出の値を持つ属性をtrueの両方ではなく。

検出が true の場合、ベストプラクティスとして検出パーティションおよびアカウント検出属性を使用して、使用する CMK をAWSアカウントを指定します。以下の例で、検出属性は、AWS暗号化の CLI を使用して、指定したAWSアカウント.

aws-encryption-cli --decrypt --wrapping-keys \ discovery=true \ discovery-partition=aws \ discovery-account=111122223333 \ discovery-account=444455556666
プロバイダー: マスターキープロバイダーの指定

provider 属性は、マスターキープロバイダーを識別します。デフォルト値は aws-kms であり、AWS KMS を表します。別のマスターキープロバイダーを使用している場合、provider 属性が必要です。

--wrapping-keys key=12345 provider=my_custom_provider

カスタム (AWS KMS ではない) マスターキープロバイダを使用する方法の詳細については、AWS Encryption SDK CLI レポジトリの README ファイルにある高度な設定トピックを参照してください。

サービス対象: [] を指定します。AWSリージョン

region 属性を使用して、AWS KMS CMK の AWS リージョンを指定します。この属性は、暗号化コマンドで、マスターキープロバイダが AWS KMS のときにのみ有効です。

--encrypt --wrapping-keys key=alias/primary-key region=us-east-2

AWS暗号化 CLI コマンドは、AWSで指定されているリージョンkey属性値は、ARN などのリージョンが含まれている場合。key値は、での値AWSリージョンリージョン属性は無視されます。

region 属性は、他のリージョンの仕様よりも優先されます。リージョン属性を使用しない場合は、AWS暗号化 CLI コマンドは、AWSリージョンは、AWS CLI 名前付きプロファイル(存在する場合)、またはデフォルトのプロファイルを選択します。

プロファイル: 名前付きプロファイルを指定

profile 属性を使用して AWS CLI の名前付きプロファイルを指定します。名前付きプロファイルには、認証情報と AWS リージョンを含めることができます。この属性は、マスターキープロバイダが AWS KMS でない場合にのみ有効です。

--wrapping-keys key=alias/primary-key profile=admin-1

profile 属性を使用して、暗号化と復号コマンドで別の認証情報を指定できます。encryption コマンドでは、AWS暗号化 CLI はAWS名前付きプロファイルのリージョンは、key値にはリージョンが含まれず、リージョン属性。復号コマンドでは、名前プロファイルにある AWS リージョンは無視されます。

複数の折り返しキーを指定する方法

複数の折り返しキーを指定できます (またはマスターキー) を各コマンドで使用します。

複数のラッピングキーを指定した場合、最初のラッピングキーはデータの暗号化に使用するデータキーを生成および暗号化します。他のラッピングキーは同じデータキーを暗号化します。結果の暗号化されたメッセージには、暗号化されたデータ (暗号化テキスト) と、各ラップキーで暗号化されたデータキーの集合が含まれます。どれかのラップは、1 つの暗号化されたデータキーを復号して、その後データを復号することができます。

複数のラッピングキーを指定するには、2 つの方法があります。

  • 複数を含むkeyでの属性--wrapping-keysパラメータ値。

    $cmk_oregon=arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab $cmk_ohio=arn:aws:kms:us-east-2:111122223333:key/0987ab65-43cd-21ef-09ab-87654321cdef --wrapping-keys key=$cmk_oregon key=$cmk_ohio
  • 同じコマンドに複数の --wrapping-keys パラメータを含めます。この構文は、指定する属性値をコマンド内のすべての折り返しキーに適用しない場合に使用します。

    --wrapping-keys region=us-east-2 key=alias/primary_CMK \ --wrapping-keys region=us-west-1 key=alias/primary_CMK

-検出の値を持つ属性をtrueでは、AWS暗号化 CLI では、AWS KMSメッセージを暗号化した CMK。複数の--wrapping-keysパラメータを使用して、同じコマンドでdiscovery=true任意の--wrapping-keysパラメーターは効果的に制限をオーバーライドします。key他の属性の--wrapping-keysパラメータ。

たとえば、次のコマンドでは、key属性を--wrapping-keysパラメータでは、AWS指定された CMK への暗号化 CLI。ただし、検出属性を--wrapping-keysパラメータを使用すると、AWS暗号化 CLI は、指定されたアカウントの任意の CMK を使用してメッセージを復号化します。

aws-encryption-cli --decrypt \ --wrapping-keys key=arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab \ --wrapping-keys discovery=true \ discovery-partition=aws \ discovery-account=111122223333 \ discovery-account=444455556666

入力を指定する方法

暗号化操作は、AWS暗号化CLIは、プレーンテキストのデータを入力として受け取り、暗号化されたメッセージ。復号オペレーションは、暗号化されたメッセージを入力として受け取り、プレーンテキストのデータを返します。

---inputパラメータ (-i)、これはAWS入力を見つけるための暗号化CLIは、すべて必要です。AWS暗号化 CLI コマンド

次のいずれかの方法で入力を指定できます。

  • ファイルを使用します。

    --input myData.txt
  • ファイル名のパターンを使用します。

    --input testdir/*.xml
  • ディレクトリまたはディレクトリ名のパターンを使用します。入力がディレクトリの場合、--recursive パラメータ (-r-R) が必要です。

    --input testdir --recursive
  • 入力をコマンド (stdin) へパイプします。- パラメータに --input の値を使用します。(--input パラメータは常に必須です。)

    echo 'Hello World' | aws-encryption-cli --encrypt --input -

出力の場所を指定する方法

---outputパラメーターは、AWS暗号化または復号オペレーションの結果を書き込む暗号化 CLI。これは、すべてのAWS暗号化 CLI コマンド -AWS暗号化 CLI は、オペレーションの入力ファイルごとに新しい出力ファイルを作成します。

出力ファイルがすでに存在している場合、デフォルトで、AWS暗号化 CLI は警告を表示してからファイルを上書きします。上書きされないようにするには、上書きする前に確認のメッセージが表示する --interactive パラメータを使用するか、または、出力が上書きしようとすると入力をスキップする --no-overwrite を使用します。上書きの警告を表示しないようにするには、--quiet を使用します。エラーと警告をキャプチャするにはAWS暗号化 CLI では、2>&1リダイレクト演算子を使用してそれらを出力ストリームに書き込みます。

注記

出力ファイルを上書きするコマンドは、出力ファイルを削除することで開始します。コマンドが失敗した場合は、出力ファイルが既に削除されている場合があります。

さまざまな方法で出力場所を変更できます。

  • ファイル名を指定します。ファイルにパスを指定する場合、コマンドの実行前にパス内のすべてのディレクトリが存在している必要があります。

    --output myEncryptedData.txt
  • ディレクトリを指定します。コマンドの実行前に出力ディレクトリが存在している必要があります。

    入力にサブディレクトリが含まれている場合、コマンドは指定されたディレクトリの下にサブディレクトリを再現します。

    --output Test

    出力場所がディレクトリ (ファイル名なし) の場合、AWS暗号化 CLI では、入力ファイル名とサフィックスに基づいて出力ファイル名を作成します。暗号化オペレーションは、入力ファイル名に .encrypted を追加します。復号オペレーションは .decrypted を追加します。サフィックスを変更するには、--suffix パラメータを使用します。

    たとえば、file.txt を暗号化する場合、暗号化コマンドは file.txt.encrypted を作成します。file.txt.encrypted を復号する場合、復号コマンドは file.txt.encrypted.decrypted を作成します。

  • コマンドライン (stdout) に書き込みます。- パラメータに --output の値を入力します。--output - を使用して、出力を他のコマンドやプログラムにパイプできます。

    --output -

暗号化コンテキストを使用する方法

-AWS暗号化 CLI では、暗号化と復号コマンドで暗号化コンテキストを指定することができます。これは必須ではありませんが、推奨される暗号化のベストプラクティスです。

暗号化コンテキストは、任意の、シークレットではない追加認証データです。左AWS暗号化CLI では、暗号化コンテキストはname=valueペア. ペアの内容はどれでも使用できます。これには、権限やポリシーに必要とされるログ、またはデータ内の暗号化オペレーションを探すのに役立つファイルやデータに関する情報が含まれます。

暗号化コマンドの場合

暗号化コンポーネントによって追加された追加の暗号化コンテキストと共に、CMM によって追加されたペアは、暗号化されたデータに暗号化されてバインドされます。これは、コマンドが返す暗号化されたメッセージにも含まれています (プレーンテキスト)。使用している場合AWS KMSカスタマーマスターキー (CMK) では、暗号化コンテキストは監査レコードおよびログ内のプレーンテキストに表示される場合があります。AWS CloudTrail。

次の例は、name=value の 3 つのペアを持つ暗号化コンテキストを示しています。

--encryption-context purpose=test dept=IT class=confidential

復号コマンドの場合

復号コマンドにおいて、暗号化コンテキストは、暗号化された適切なメッセージを復号しているかどうか確認するのに役立ちます。

暗号化コンテキストが暗号化で使用されていないとしても、復号コマンドで暗号化コンテキストを指定する必要はありません。ただし、そうした場合、AWS暗号化 CLI は、復号コマンドの暗号化コンテキスト内のすべての要素が、暗号化されたメッセージの暗号化コンテキストの要素に一致するかどうかを確認します。いずれかの要素が一致しない場合、復号コマンドは失敗します。

たとえば、次のコマンドは、暗号化コンテキストに dept=IT が含まれている場合にのみ暗号化メッセージを復号します。

aws-encryption-cli --decrypt --encryption-context dept=IT ...

暗号化コンテキストは、セキュリティ戦略の重要な部分です。ただし、暗号化コンテキストを選択する際、その値がシークレットではないことに注意してください。暗号化コンテキストに機密データを含めないでください。

暗号化コンテキストを指定するには

  • 暗号化コマンドでは、--encryption-context パラメータを 1 つ以上の name=value ペアで使用します。各ペアを区切るためにスペースを使用します。

    --encryption-context name=value [name=value] ...
  • 復号コマンドでは、--encryption-context パラメータ値に name=value ペア、name 要素 (値なし)、または両方の組み合わせを含めることができます。

    --encryption-context name[=value] [name] [name=value] ...

name ペアの valuename=value にスペースや特殊文字が含まれている場合、ペア全体を引用符で囲みます。

--encryption-context "department=software engineering" "AWS Region=us-west-2"

たとえば、この暗号化コマンドには、purpose=testdept=23 という 2 つのペアを持つ暗号化コンテキストが含まれています。

aws-encryption-cli --encrypt --encryption-context purpose=test dept=23 ...

これらの復号コマンドは成功します。各コマンドの暗号化コンテキストは、元の暗号化コンテキストのサブセットです。

\\ Any one or both of the encryption context pairs aws-encryption-cli --decrypt --encryption-context dept=23 ... \\ Any one or both of the encryption context names aws-encryption-cli --decrypt --encryption-context purpose ... \\ Any combination of names and pairs aws-encryption-cli --decrypt --encryption-context dept purpose=test ...

ただし、これらの復号コマンドは失敗します。暗号化されたメッセージの暗号化コンテキストには、指定された要素は含まれていません。

aws-encryption-cli --decrypt --encryption-context dept=Finance ... aws-encryption-cli --decrypt --encryption-context scope ...

コミットポリシーを指定する方法

設定には、コミットメントポリシーコマンドの場合は、--commitment-policyパラメータ。このパラメータはバージョン 1.8 で導入されています。x。これは、暗号化と復号コマンドで有効です。設定したコミットメントポリシーは、表示されるコマンドに対してのみ有効です。コマンドにコミットメントポリシーを設定しない場合、AWS暗号化 CLI では、デフォルト値が使用されます。

たとえば、次のパラメータ値は、コミットメントポリシーをrequire-encrypt-allow-decryptを使用します。これは、常にキーのコミットメントで暗号化しますが、キーのコミットメントの有無にかかわらず暗号化された暗号文を復号します。

--commitment-policy require-encrypt-allow-decrypt

設定ファイルにパラメータを保存する方法

頻繁に使用されるを保存することで、時間を節約し、入力ミスを回避できますAWS設定ファイル内の暗号化 CLI パラメータと値。

A設定ファイルのパラメータと値を含むテキストファイルです。AWS暗号化 CLI コマンド 設定ファイルを参照すると、AWSEncryption CLI コマンドでは、リファレンスはコンフィギュレーションファイルのパラメータと値で置き換えられます。ファイルの内容をコマンドラインで入力した場合にも同じ効果が得られます。設定ファイルは任意の名前を使用でき、現在のユーザーがアクセス可能な任意のディレクトリに配置できます。

次に、設定ファイルの例を示します。cmk.conf、2 つのAWS KMS異なるリージョンにある CMK

--wrapping-keys key=arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab --wrapping-keys key=arn:aws:kms:us-east-2:111122223333:key/0987ab65-43cd-21ef-09ab-87654321cdef

コマンドで設定ファイルを使用するには、ファイル名の先頭にアットマーク (@) を使用します。PowerShell コンソールでは、バックティック文字を使用してアットマーク (`@) をエスケープする必要があります。

このコマンド例では、暗号化コマンドで cmk.conf ファイルを使用します。

Bash
$ aws-encryption-cli -e @cmk.conf -i hello.txt -o testdir
PowerShell
PS C:\> aws-encryption-cli -e `@cmk.conf -i .\Hello.txt -o .\TestDir

設定ファイルのルール

設定ファイルを使用するためのルールは次のとおりです。

  • 各設定ファイルで複数のパラメータを含めることができ、任意の順序で表示できます。各パラメータとその値 (あれば) を個別の行で表示します。

  • # を使用して行の全体または一部にコメントを追加します。

  • 他の設定ファイルへの参照を含めることができます。PowerShell コンソールでも、バックティック文字を使用して @ 文字をエスケープすることはしないでください。

  • 設定ファイルで引用符を使用する場合、引用されたテキストが複数の行にまたがることはできません。

たとえば、これはサンプル encrypt.conf ファイルの内容です。

# Archive Files --encrypt --output /archive/logs --recursive --interactive --encryption-context class=unclassified dept=IT --suffix # No suffix --metadata-output ~/metadata @caching.conf # Use limited caching

コマンドには複数の設定ファイルを含めることもできます。このコマンド例では、encrypt.conf との両方の master-keys.conf 設定ファイルが使用されます。

Bash
$ aws-encryption-cli -i /usr/logs @encrypt.conf @master-keys.conf
PowerShell
PS C:\> aws-encryption-cli -i $home\Test\*.log `@encrypt.conf `@master-keys.conf

次: 試してみましょうAWS暗号化 CLI の例