AWS Encryption SDK CLI の構文およびパラメータのリファレンス

このトピックでは、AWS Encryption SDK コマンドラインインターフェイス (CLI) の使用に役立つ構文の例を示し、パラメータについて簡単に説明します。キーやその他のパラメータをラップする方法については、「」を参照してください。AWS Encryption CLI の使用方法。例については、「の例AWS暗号化 CLI」を参照してください。完全なドキュメントについては、「ドキュメントを読む」を参照してください。

AWS暗号化 CLI 構文

これらAWS暗号化 CLI 構文図は、で実行する各タスクの構文を示しています。AWS暗号化 CLI。これらは、で推奨される構文を表します。AWS暗号化 CLI バージョン 2.1。x以降.

新しいセキュリティ機能は、もともとでリリースされましたAWS暗号化 CLI バージョン 1.7。x2.0.x。ただし、AWS暗号化 CLI バージョン 1.8。xバージョン 1.7 を置き換えます。xそしてAWS暗号化 CLI 2.1。x2.0 を置き換えます。x。詳細については、関連するを参照してください。セキュリティアドバイザリのaws-encryption-sdkCLIでのリポジトリGitHub。

注記

パラメータの説明に記載されている場合を除き、各パラメータまたは属性は、各コマンドで 1 回のみ使用できます。

パラメータがサポートしていない属性を使用すると、AWS暗号化 CLI は、警告またはエラーなしで、サポートされていない属性を無視します。

ヘルプの表示

いっぱいになるにはAWS暗号化の CLI 構文とパラメータの説明を使用します。--helpまたは-h。

aws-encryption-cli (--help | -h)

バージョンの取得

のバージョン番号を取得するにはAWS暗号化 CLI のインストール、使用--version。の使用に関する質問、問題のレポート、またはヒントの共有をするときには、必ずバージョンを含めてください。AWS暗号化 CLI。

aws-encryption-cli --version

データを暗号化する

次の構文の例は、encrypt コマンドで使用するパラメータを示しています。

aws-encryption-cli --encrypt
                   --input <input> [--recursive] [--decode]
                   --output <output> [--interactive] [--no-overwrite] [--suffix [<suffix>]] [--encode]
                   --wrapping-keys  [--wrapping-keys] ...
                       key=<keyID> [key=<keyID>] ...
                       [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>]
                   --metadata-output <location> [--overwrite-metadata] | --suppress-metadata]
                   [--commitment-policy <commitment-policy>]
                   [--encryption-context <encryption_context> [<encryption_context> ...]]
                   [--max-encrypted-data-keys <integer>]
                   [--algorithm <algorithm_suite>]
                   [--caching <attributes>] 
                   [--frame-length <length>]
                   [-v | -vv | -vvv | -vvvv]
                   [--quiet]

データの復号

次の構文の例は、decrypt コマンドで使用するパラメータを示しています。

バージョン 1.8.xとすると、--wrapping-keysパラメータは復号時にオプションですが推奨されます。バージョン 2.1 から開始します。xとすると、--wrapping-keysパラメータは暗号化および復号化時に必須です。を使用する場合AWS KMS keysを使用することもできます。キー属性を使用してラッピングキーを指定するか (ベストプラクティス)、検出への属性trueである。これは、ラッピングキーを制限するものではないAWS暗号化 CLI を使用できます。

aws-encryption-cli --decrypt (or [--decrypt-unsigned]) 
                   --input <input> [--recursive] [--decode]
                   --output <output> [--interactive] [--no-overwrite]  [--suffix [<suffix>]] [--encode]           
                   --wrapping-keys  [--wrapping-keys] ...
                       [key=<keyID>] [key=<keyID>] ...
                       [discovery={true|false}] [discovery-partition=<aws-partition-name> discovery-account=<aws-account-ID> [discovery-account=<aws-account-ID>] ...] 
                       [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>]
                   --metadata-output <location> [--overwrite-metadata] | --suppress-metadata]
                   [--commitment-policy <commitment-policy>]
                   [--encryption-context <encryption_context> [<encryption_context> ...]]
                   [--buffer]
                   [--max-encrypted-data-keys <integer>]
                   [--caching <attributes>]
                   [--max-length <length>]
                   [-v | -vv | -vvv | -vvvv]
                   [--quiet]
                   

設定ファイルの使用

パラメータとその値が格納されている設定ファイルを参照できます。これは、コマンドでパラメータと値を入力するのに相当します。例については、設定ファイルにパラメータを保存する方法 を参照してください。

aws-encryption-cli @<configuration_file>

# In a PowerShell console, use a backtick to escape the @.
aws-encryption-cli `@<configuration_file>

AWS暗号化 CLI のコマンドラインパラメータ

このリストには、AWS暗号化 CLI コマンドパラメータ。詳細な説明については、「」を参照してください。aws-encryption-sdk-CLI ドキュメント。

--encrypt (-e)

入力データを暗号化します。すべてのコマンドに、--encrypt, または--decrypt, または--decrypt-unsignedパラメータ。

--decrypt (-d)

入力データを復号します。すべてのコマンドに、--encrypt,--decrypt, または--decrypt-unsignedパラメータ。

—decrypt-unsigned [バージョン 1.9 で導入されました。x2.2.x]

---decrypt-unsignedパラメータは暗号文を復号し、復号化前にメッセージが符号なしであることを確認します。このパラメーターは、--algorithmパラメータを選択し、データを暗号化するためのデジタル署名なしのアルゴリズムスイートを選択します。暗号文が署名されている場合、復号化は失敗します。

ではを使用できます。--decryptまたは--decrypt-unsigned復号化のためですが、両方ではありません。

—wrapping-keys (-w) [バージョン 1.8 で導入されました。x]

を指定します。キーのラップ（またはマスターキー) では、暗号化と復号のオペレーションで使用されます。ではを使用できます。複数--wrapping-keysパラメーターコマンドごとに、が表示されます。

バージョン 2.1 から開始します。xとすると、--wrapping-keys暗号化と復号コマンドには、パラメータが必要です。バージョン 1.8.x暗号化コマンドでは、--wrapping-keysまたは--master-keysパラメータ。バージョン 1.8.x復号コマンド、a--wrapping-keysパラメータはオプションですが推奨されます。

カスタムマスターキープロバイダーを使用する場合、暗号化と復号コマンドには、キーそしてプロバイダー属性。を使用する場合AWS KMS keysでは、暗号化コマンドにはキー属性。復号コマンドにはキー属性または検出値がの属性true（ただし、両方ではない）。の使用キー復号化がAWS Encryption SDKベストプラクティス。Amazon S3 バケットや Amazon SQS キュー内のメッセージなど、なじみのないメッセージのバッチを復号化する場合は、特に重要です。

使用方法を示す例AWS KMSマルチリージョンキーをラッピングキーとして使用するには、「」を参照してください。マルチリージョン AWS KMS keys を使用する。

の属性: の値--wrapping-keysパラメータは次の属性で構成されます。形式は attribute_name=value です。

key

操作で使用されるラッピングキーを識別します。形式は、key=ID のペアです。複数を指定できます。キーそれぞれの属性--wrapping-keysパラメータ値。

• コマンドを暗号化する: すべての encrypt コマンドにはキー属性。を使用する場合AWS KMS keyencrypt コマンドでは、キー属性には、キー ID、キー ARN、エイリアス名、またはエイリアス ARN を指定できます。の説明についてはAWS KMSキー識別子、を参照してください。キー識別子のAWS Key Management Serviceデベロッパーガイド。

• コマンドの復号: を使用して復号する場合AWS KMS keysとすると、--wrapping-keysパラメータには、が必要です。キーでの属性キー ARNvalue または検出値がの属性true（ただし、両方ではない）。の使用キー属性はAWS Encryption SDKベストプラクティス。カスタムマスターキープロバイダで復号化する場合、キー属性は必須です。

  注記

  を指定するにはAWS KMSdecrypt コマンドでキーをラップすると、キー属性はキー ARN である必要があります。キー ID、エイリアス名、またはエイリアス ARN を使用する場合、AWS暗号化 CLI はラッピングキーを認識しません。

複数を指定できます。キーそれぞれの属性--wrapping-keysパラメータ値。ただし、いずれもプロバイダー,領域, およびプロフィールでの属性--wrapping-keysパラメータは、そのパラメータ値内のすべてのラッピングキーに適用されます。異なる属性値を持つラッピングキーを指定するには、multiple を使用します。--wrapping-keysコマンドのパラメータ。

検出

を指定します。AWSいずれかを使用するための暗号化 CLIAWS KMS keyをクリックし、メッセージを復号化します。-検出値を指定できます。trueまたはfalse。デフォルト値は false です。-検出属性は、復号コマンドで、マスターキープロバイダがでない場合にのみ有効です。AWS KMS。

を使用して復号する場合AWS KMS keysとすると、--wrapping-keysパラメータには、が必要です。キー属性または検出値がの属性true（ただし、両方ではない）。♪キー属性では、検出値がの属性falseディスカバリを明示的に拒否する。

• False(デフォルト) —検出属性が指定されていないか、その値がfalseとすると、AWS暗号化 CLI は、AWS KMS keysによって指定されるキーの属性--wrapping-keysパラメータ。を指定しなかった場合、キーディスカバリがであるときの属性falseの場合、復号コマンドは失敗します。この値は、AWS暗号化 CLIベストプラクティス。

• True— の値が検出属性はtrueとすると、AWS暗号化 CLI はAWS KMS keys暗号化されたメッセージ内のメタデータから、それらを使用しますAWS KMS keysをクリックし、メッセージを復号化します。-検出値がの属性trueのバージョンのように動作するAWSバージョン 1.8 より前の暗号化 CLI。xそれでは、復号時にラッピングキーを指定することはできませんでした。しかし、あなたの意図はいずれかを使おうとしていますAWS KMS key明示的です。と指定するとキーディスカバリがであるときの属性trueの場合、復号コマンドは失敗します。

  -true値が原因となる可能性がありますAWS使用する暗号化 CLIAWS KMS keysでは異なるAWS アカウントとリージョン、または使用しようとするAWS KMS keysユーザーが使用する権限がないこと。

メトリック検出ですtrueとすると、ベストプラクティスとして検出パーティションそしてアカウントの検出制限する属性AWS KMS keysのものに慣れてAWS アカウントを指定します。

アカウントの検出

の制限事項AWS KMS keys指定された内のものへの復号化に使用されますAWS アカウント。この属性の有効な値は、AWS アカウントID。

この属性はオプションであり、との復号コマンドでのみ有効です。AWS KMS keysここで、検出属性は、に設定しています。trueと検出パーティション属性が指定されています。

eachアカウントの検出属性は 1 つだけ取りますAWS アカウントIDですが、複数指定可能アカウントの検出同じ内の属性--wrapping-keysパラメータ。特定ので指定されたすべてのアカウント--wrapping-keysパラメータは指定された値になければなりませんAWSパーティション。

検出パーティション

を指定します。AWSのアカウントのパーティションアカウントの検出属性。その値は、である必要があります。AWSパーティション、などaws,aws-cn, またはaws-gov-cloud。詳細については、 を参照してください。Amazon リソースネームのAWS全般のリファレンス。

この属性は、アカウントの検出属性。指定できるのは1つだけです。検出パーティションそれぞれの属性--wrapping keysパラメータ。を指定するにはAWS アカウント複数のパーティションで、追加の--wrapping-keysパラメータ。

provider

マスターキープロバイダーを指定します。形式は、provider=ID のペアです。デフォルト値 aws-kms は AWS KMS を表します。この属性は、マスターキープロバイダーが AWS KMS でない場合にのみ必要です。

region (リージョン)

を指定します。AWS リージョンのAWS KMS key。この属性は、に対してのみ有効です。AWS KMS keys。key の識別子が特定のリージョンを示していない場合にのみ使用され、それ以外の場合は無視されます。これを使用する場合は、AWS CLI の名前付きプロファイルのデフォルトのリージョンよりも優先されます。

profile (プロファイル)

AWS CLI の名前付きプロファイルを識別します。この属性は、に対してのみ有効です。AWS KMS keys。プロファイルのリージョンは、key の識別子が特定のリージョンを示しておらず、コマンドに region 属性がない場合にのみ使用されます。

--input (-i)

暗号化または復号するデータの場所を指定します。このパラメータは必須です。指定できる値は、ファイルかディレクトリへのパス、またはファイル名のパターンです。コマンド (stdin) にパイピング入力する場合は、- を使用します。

入力が存在しない場合、エラーまたは警告なしでコマンドが正常に完了します。

--recursive (-r, -R)

入力ディレクトリとそのサブディレクトリにあるファイルでオペレーションを実行します。このパラメータは、--input の値がディレクトリの場合に必要です。

--decode

Base64-encoded 入力をデコードします。

暗号化されエンコードされたメッセージを復号する場合は、復号する前にメッセージをデコードする必要があります。これはパラメータによって実行されます。

たとえば、暗号化コマンドで --encode パラメータを使用した場合、対応する復号コマンドで --decode パラメータを使用します。また、このパラメータを使用して、Base64 でエンコードされた入力を暗号化する前にデコードすることもできます。

--output (-o)

出力先を指定します。このパラメータは必須です。値には、既存のディレクトリ、ファイル名、またはコマンドライン (stdout) に出力を書き込む - を使用できます。

指定した出力ディレクトリが存在しない場合、コマンドは失敗します。入力にサブディレクトリが含まれている場合、AWS暗号化 CLI では、指定した出力ディレクトリの下にサブディレクトリを再現します。

デフォルトでは、AWS暗号化 CLI は、同じ名前のファイルを上書きします。この動作を変更するには、--interactive または --no-overwrite パラメータを使用します。上書きの警告を表示しないようにするには、--quiet パラメータを使用します。

注記

出力ファイルを上書きするコマンドが失敗した場合、出力ファイルは削除されます。

--インタラクティブ

ファイルを上書きする前にプロンプトが表示されます。

--no-overwrite

ファイルは上書きされません。代わりに、出力ファイルが存在する場合、AWS暗号化 CLI は、対応する入力をスキップします。

--サフィックス

ファイルのカスタムファイル名のサフィックスを指定します。AWS暗号化 CLI が作成されます。サフィックスがないことを示すには、値のないパラメータ (--suffix) を使用します。

デフォルトでは、--output パラメータでファイル名が指定されない場合、出力ファイル名は同じ名前の入力ファイル名にサフィックスを加えたものになります。暗号化コマンドのサフィックスは .encrypted です。復号コマンドのサフィックスは .decrypted です。

--encode

Base64 (バイナリからテキスト) エンコーディングを出力に適用します。エンコーディングによりシェルホストプログラムが、出力テキストの非 ASCII 文字を誤って解釈するのを防ぎます。

このパラメーターは、暗号化された出力を stdout () に書き込むときに使用します。--output -)、特にPowerShell出力を別のコマンドにパイピング、または変数に保存する場合でも、

--metadata-output

暗号化オペレーションに関するメタデータの場所を指定します。パスとファイル名を入力します。ディレクトリが存在しない場合、コマンドは失敗します。コマンドライン (stdout) にメタデータを書き込むには、- を使用します。

同じコマンドでコマンド出力 (--output) とメタデータ出力 (--metadata-output) を stdout に記述することはできません また、--input や --output の値がディレクトリ (ファイル名なし) の場合は、メタデータ出力を同じディレクトリまたはそのディレクトリのサブディレクトリに書き込むことはできません。

既存のファイルを指定した場合、デフォルトでは、AWS暗号化 CLI では、ファイル内の任意のコンテンツに新しいメタデータレコードを追加します。この機能を使用すると、すべての暗号化オペレーションのメタデータが格納された 1 つのファイルを作成できます。既存のファイルのコンテンツを上書きするには、--overwrite-metadata パラメータを使用します。

-AWS暗号化 CLI は、コマンドが実行する暗号化または復号のオペレーションごとに JSON 形式のメタデータレコードを返します。各メタデータレコードには、入力ファイルと出力ファイル、暗号化コンテキスト、アルゴリズムスイート、セキュリティ基準を満たしているかどうかを検証しオペレーションを確認するために使用できるその他の有益な情報への完全なパスが含まれます。

--overwrite-metadata

メタデータの出力ファイルでコンテンツが上書きされます。デフォルトでは、--metadata-output パラメータはファイル内の既存のコンテンツにメタデータを追加します。

--suppress-metadata (-S)

暗号化または復号オペレーションに関するメタデータを抑制します。

—コミットメントポリシー

を指定します。コミットメントポリシー暗号化と復号コマンドの場合。コミットメントポリシーは、メッセージが暗号化および復号化されるかどうかを決定します。重要なコミットメントセキュリティ機能。

---commitment-policyパラメータはバージョン 1.8 で導入されています。x。暗号化と復号コマンドで有効です。

バージョン 1.8.xとすると、AWS暗号化 CLI はforbid-encrypt-allow-decryptすべての暗号化および復号操作のコミットメントポリシー。を使用する場合--wrapping-keysencrypt コマンドまたは decrypt コマンド内のパラメータ。--commitment-policyパラメータをforbid-encrypt-allow-decrypt値は必須です。を使用しない場合--wrapping-keysパラメータを指定すると、--commitment-policyパラメータが無効です。コミットメントポリシーを明示的に設定すると、コミットメントポリシーが自動的にrequire-encrypt-require-decryptバージョン 2.1 にアップグレードするとき。x

から始まるバージョン 2.1.xでは、すべてのコミットメントポリシー値がサポートされます。---commitment-policyパラメータはオプションであり、デフォルト値はrequire-encrypt-require-decrypt。

このパラメータには次の値があります。[]

• forbid-encrypt-allow-decrypt— キーコミットメントでは暗号化できません。キーコミットメントの有無にかかわらず暗号化された暗号文を復号できます。

  バージョン 1.8.xの場合、これが唯一の有効な値です。-AWS暗号化 CLI はforbid-encrypt-allow-decryptすべての暗号化および復号操作のコミットメントポリシー。

• require-encrypt-allow-decrypt— 鍵コミットメントでのみ暗号化します。キーコミットメントの有無にかかわらず復号します。この値はバージョン 2.1 で導入されています。x。

• require-encrypt-require-decrypt(デフォルト) — キーコミットメントでのみ暗号化および復号します。この値はバージョン 2.1 で導入されています。x。これは、バージョン 2.1 のデフォルト値です。x以降. この値を指定すると、AWS暗号化 CLI では、以前のバージョンので暗号化された暗号化テキストは復号されません。AWS Encryption SDK。

コミットメントポリシーの設定の詳細については、「」を参照してください。移行するAWS Encryption SDK。

--encryption-context (-c)

オペレーションの暗号化コンテキストを指定します。このパラメータは必須ではありませんが、推奨されています。

• --encrypt コマンドでは、1 つまたは複数の name=value ペアを入力します。ペアを区切るには、スペースを使用します。

• で--decryptコマンド、次のように入力します。name=valueペア、name値のない要素、またはその両方。

name ペアの value や name=value にスペースや特殊文字が含まれている場合、ペア全体を引用符で囲みます。例えば、--encryption-context "department=software development" です。

—buffer (-b) [バージョン 1.9 で導入されました。x2.2.x]

すべての入力が処理された後にのみ、プレーンテキストを返します。これには、デジタル署名が存在する場合の検証も含まれます。

--max-encrypted-data-keys [バージョン 1.9 で導入されました。x2.2.x]

暗号化されたメッセージ内の暗号化データキーの最大数を指定します。このパラメータはオプションです。

有効な値は 1～65,535 です。このパラメータを省略すると、AWS暗号化 CLI では、最大値は適用されません。暗号化されたメッセージには、最大 65,535 (2^16-1) の暗号化されたデータキーを保持できます。

このパラメーターを encrypt コマンドで使用して、不正な形式のメッセージを防ぐことができます。これを decrypt コマンドで使用して、悪意のあるメッセージを検出し、復号できない多数の暗号化されたデータキーを含むメッセージの復号化を回避できます。詳細と例については、「暗号化されたデータキーを制限する」を参照してください。

--help (-h)

コマンドラインで使用量と構文を表示します。

--version

のバージョンを取得します。AWS暗号化 CLI。

-v | -vv | -vvv | -vvvv

詳細な情報、警告、およびデバッグメッセージを表示します。出力の詳細は、パラメータ内の vs 数とともに増加します。最も詳細な設定 (-vvvv) から、デバッグレベルのデータを返します。AWS暗号化 CLI およびそれが使用するすべてのコンポーネント。

--quiet (-q)

出力ファイルを上書きしたときに表示されるメッセージなど、警告メッセージを抑制します。

—master-keys (-m) [非推奨]

注記

—master-keys パラメーターは 1.8 で廃止されました。xをバージョン 2.1 で削除しました。x。代わりに、を使用します。—ラッピングキーパラメータ。

暗号化と復号のオペレーションで使用されるマスターキーを指定します。複数のマスターキーパラメータを各コマンドで使用できます。

この暗号化コマンドには、--master-keys パラメータが必要です。復号コマンドでは、カスタム (非-) を使用しているときにのみ必要です。AWS KMS) マスターキープロバイダー。

の属性: の値--master-keysパラメータは次の属性で構成されます。形式は attribute_name=value です。

key

を指定します。キーのラップオペレーションで使用されます。形式は、key=ID のペアです。すべての暗号化コマンドには、key 属性が必要です。

を使用する場合AWS KMS keyencrypt コマンドでは、キー属性には、キー ID、キー ARN、エイリアス名、またはエイリアス ARN を指定できます。についての詳細AWS KMSキー識別子、を参照してください。キー識別子のAWS Key Management Serviceデベロッパーガイド。

-キーマスターキープロバイダがでない場合、復号コマンドには属性が必要です。AWS KMS。-キーで暗号化されたデータを復号するコマンドでは、属性は許可されていません。AWS KMS key。

複数を指定できます。キーそれぞれの属性--master-keysパラメータ値。ただし、provider、region、および profile 属性は、パラメータ値のマスターキーすべてに適用されます。異なる属性値を持つマスターキーを指定するには、コマンドで複数の --master-keys パラメータを使用します。

provider

マスターキープロバイダーを指定します。形式は、provider=ID のペアです。デフォルト値 aws-kms は AWS KMS を表します。この属性は、マスターキープロバイダーが AWS KMS でない場合にのみ必要です。

region (リージョン)

を指定します。AWS リージョンのAWS KMS key。この属性は、に対してのみ有効です。AWS KMS keys。key の識別子が特定のリージョンを示していない場合にのみ使用され、それ以外の場合は無視されます。これを使用する場合は、AWS CLI の名前付きプロファイルのデフォルトのリージョンよりも優先されます。

profile (プロファイル)

AWS CLI の名前付きプロファイルを識別します。この属性は、に対してのみ有効です。AWS KMS keys。プロファイルのリージョンは、key の識別子が特定のリージョンを示しておらず、コマンドに region 属性がない場合にのみ使用されます。

高度なパラメータ

--algorithm

アルゴリズムスイートの代替を指定します。このパラメータはオプションであり、暗号化コマンドでのみ有効です。

このパラメータを省略すると、AWS暗号化 CLI では、デフォルトのアルゴリズムスイートのいずれかを使用します。AWS Encryption SDKバージョン 1.8 で導入されました。x。どちらのデフォルトアルゴリズムでも、AES-GCM をHKDF、ECDSA 署名、および 256 ビット暗号化キーを使用します。一つは重要なコミットメントを使っていますが、そうではありません。デフォルトのアルゴリズムスイートの選択は、コミットメントポリシーコマンドを指定します。

ほとんどの暗号化オペレーションでは、デフォルトのアルゴリズムスイートが推奨されます。有効な値のリストについては、「」の値を参照してください。algorithmでのパラメータドキュメントを読む。

--frame-length

指定されたフレームの長さで出力を作成します。このパラメータはオプションであり、暗号化コマンドでのみ有効です。

値をバイトで入力します。有効な値は 0 と 1 — 2^31-1 です。値 0 は、フレームされていないデータを示します。デフォルトは 4096 (バイト) です。

注記

可能な限り、フレームデータを使用してください。-AWS Encryption SDKは、レガシー使用でのみフレーム化されていないデータをサポートします。のいくつかの言語実装AWS Encryption SDKはフレーム化されていない暗号文を生成できます。サポートされているすべての言語実装では、フレームとフレーム化されていない暗号文を復号できます。

--max-length

暗号化されたメッセージから読み取る最大フレームサイズ (またはフレーム化されていないメッセージの最大コンテンツ長) をバイト数で指定します。このパラメータはオプションであり、復号コマンドでのみ有効です。これは、悪意のある膨大な量の暗号化テキストを復号する際に保護できるように設計されています。

値をバイトで入力します。このパラメータを省略すると、AWS Encryption SDKは、復号時のフレームサイズを制限しません。

--caching

入力ファイルごとに新しいデータキーを生成する代わりに、データキーを再利用するデータキーキャッシュ機能を有効にします。このパラメータでは、高度なシナリオがサポートされています。この機能を使用する前に、データキーキャッシュのドキュメントを参照してください。

--caching パラメータには以下のような属性があります。

capacity (必須)

キャッシュのエントリの最大数を決定します。

最小値は 1 です。最大値は存在しません。

max_age (必須)

キャッシュエントリがキャッシュに追加された時点から、どのくらいの期間使用されるかを秒単位で指定します。

0 より大きい値を入力します。最大値は存在しません。

max_messages_encrypted (オプション)

キャッシュされたエントリが暗号化できるメッセージの最大数を決定します。

有効な値は 1～2^32 です。デフォルト値は 2^32 (メッセージ) です。

max_bytes_encypted (オプション)

キャッシュされたエントリが暗号化できるバイトの最大数を決定します。

有効な値は 0 と 1 — 2^63-1 です。デフォルト値は 2^63-1 (メッセージ) です。値を 0 に指定することで、空のメッセージ文字列を暗号化している場合にのみデータキーキャッシュを使用できます。