AWS Encryption SDK CLI の構文およびパラメータのリファレンス - AWS Encryption SDK
AWS Encryption CLI の構文AWS Encryption CLI コマンドラインパラメータ高度なパラメータ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Encryption SDK CLI の構文およびパラメータのリファレンス

このトピックでは、AWS Encryption SDK コマンドラインインターフェイス (CLI) の使用に役立つ構文の例を示し、パラメータについて簡単に説明します。ラッピングキーおよびその他のパラメータのヘルプについては、「AWS Encryption CLI の使用方法」を参照してください。例については、「AWS Encryption CLI の例」を参照してください。完全なドキュメントについては、「ドキュメントを読む」を参照してください。

AWS Encryption CLI の構文

これらの AWS Encryption CLI 構文図は、AWS Encryption CLI で実行された各タスクの構文を示しています。これらは、AWS Encryption CLI バージョン 2.1.x 以降で推奨される構文を表します。

新しいセキュリティ機能は、AWS Encryption CLI バージョン 1.7.x および 2.0.x で最初にリリースされました。ただし、AWS Encryption CLI バージョン 1.7.x はバージョン 1.8.x に、AWS Encryption CLI 2.0.x は 2.1.x に置き換わります。詳細については、GitHub の aws-encryption-sdk-cli リポジトリで関連するセキュリティアドバイザリを参照してください。

注記

パラメータの説明に記載されている場合を除き、各パラメータまたは属性は、各コマンドで 1 回のみ使用できます。

パラメータがサポートしていない属性を使用すると、AWS Encryption CLI は、警告またはエラーなしで、サポートされていない属性を無視します。

ヘルプの表示

パラメータの説明で完全な AWS Encryption CLI 構文を取得するには、--help または -h を使用します。

aws-encryption-cli (--help | -h)
バージョンの取得

AWS Encryption CLI インストールのバージョン番号を取得するには、--version を使用します。AWS Encryption CLI の使用に関する質問、問題のレポート、またはヒントの共有をするときには、必ずバージョンを含めてください。

aws-encryption-cli --version
データを暗号化する

次の構文の例は、encrypt コマンドで使用するパラメータを示しています。

aws-encryption-cli --encrypt
                   --input <input> [--recursive] [--decode]
                   --output <output> [--interactive] [--no-overwrite] [--suffix [<suffix>]] [--encode]
                   --wrapping-keys  [--wrapping-keys] ...
                       key=<keyID> [key=<keyID>] ...
                       [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>]
                   --metadata-output <location> [--overwrite-metadata] | --suppress-metadata]
                   [--commitment-policy <commitment-policy>]
                   [--encryption-context <encryption_context> [<encryption_context> ...]]
                   [--max-encrypted-data-keys <integer>]
                   [--algorithm <algorithm_suite>]
                   [--caching <attributes>] 
                   [--frame-length <length>]
                   [-v | -vv | -vvv | -vvvv]
                   [--quiet]
データを復号化する

次の構文の例は、decrypt コマンドで使用するパラメータを示しています。

バージョン 1.8.x では、復号時の --wrapping-keys パラメータはオプションですが推奨されます。バージョン 2.1.x 以降は、--wrapping-keys パラメータが暗号化および復号化時に必要となります。AWS KMS keys の場合、key 属性を使用してラッピングキーを指定するか (ベストプラクティス)、discovery 属性を true に設定して、AWS Encryption CLI が使用できるラッピングキーを制限しません。

aws-encryption-cli --decrypt (or [--decrypt-unsigned]) 
                   --input <input> [--recursive] [--decode]
                   --output <output> [--interactive] [--no-overwrite]  [--suffix [<suffix>]] [--encode]           
                   --wrapping-keys  [--wrapping-keys] ...
                       [key=<keyID>] [key=<keyID>] ...
                       [discovery={true|false}] [discovery-partition=<aws-partition-name> discovery-account=<aws-account-ID> [discovery-account=<aws-account-ID>] ...] 
                       [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>]
                   --metadata-output <location> [--overwrite-metadata] | --suppress-metadata]
                   [--commitment-policy <commitment-policy>]
                   [--encryption-context <encryption_context> [<encryption_context> ...]]
                   [--buffer]
                   [--max-encrypted-data-keys <integer>]
                   [--caching <attributes>]
                   [--max-length <length>]
                   [-v | -vv | -vvv | -vvvv]
                   [--quiet]
設定ファイルの使用

パラメータとその値が格納されている設定ファイルを参照できます。これは、コマンドでパラメータと値を入力するのに相当します。例については、「設定ファイルにパラメータを保存する方法」を参照してください。

aws-encryption-cli @<configuration_file>

# In a PowerShell console, use a backtick to escape the @.
aws-encryption-cli `@<configuration_file>

AWS Encryption CLI コマンドラインパラメータ

このリストには、AWS Encryption CLI コマンドパラメータの基本的な説明が用意されています。詳細な説明については、aws-encryption-sdk-cli のドキュメントを参照してください。

--encrypt (-e)

入力データを暗号化します。すべてのコマンドに、--encrypt--decrypt--decrypt-unsigned パラメータのいずれかが必要です。

--decrypt (-d)

入力データを復号します。すべてのコマンドに、--encrypt--decrypt--decrypt-unsigned パラメータのいずれかが必要です。

—decrypt-unsigned [バージョン 1.9.x および 2.2.x で導入]

--decrypt-unsigned パラメータでは、暗号化テキストを復号し、復号化前にメッセージが署名なしであることを確認します。このパラメータは、--algorithm パラメータを使用し、データを暗号化するためのデジタル署名なしのアルゴリズムスイートを選択した場合に使用します。暗号化テキストが署名されている場合、復号化は失敗します。

--decrypt または --decrypt-unsigned を復号化に使用できますが、両方とも使用することはできません。

—wrapping-keys (-w) [バージョン 1.8.x で導入]

暗号化と復号のオペレーションで使用されるラッピングキー (マスターキー) を指定します。各コマンドで複数の --wrapping-keys パラメータを使用できます。

バージョン 2.1.x 以降は、--wrapping-keys パラメータが暗号化コマンドおよび復号化コマンド時に必要となります。バージョン 1.8.x では、暗号化コマンドには --wrapping-keys または --master-keys パラメーターが必要です。バージョン 1.8.x の復号化のコマンドでは、--wrapping-keys パラメータはオプションですが推奨されます。

カスタムのマスターキープロバイダーを使用するとき、暗号化と復号のコマンドでは、key および provider 属性が必須です。AWS KMS keys を使用する場合、暗号化コマンドには key 属性が必要です。復号コマンドでは、true 値の key 属性、または discovery 属性が必要です(両方ではない)。復号時に key 属性を使用することが、AWS Encryption SDK のベストプラクティスです。Amazon S3 バケットや Amazon SQS キュー内のメッセージなど、なじみのないメッセージのバッチを復号化する場合は、これが特に重要です。

AWS KMS マルチリージョンキーをラッピングキーとして使用する方法の例については、「マルチリージョン AWS KMS keys の使用」を参照してください。

属性: --wrapping-keys パラメータの値は、以下の属性で構成されます。形式は attribute_name=value です。

key

オペレーションで使用するラッピングキーを識別します。形式は、key=ID のペアです。各 --wrapping-keys パラメータ値に、複数の key 属性を指定できます。

  • 暗号化コマンド: すべての暗号化コマンドには key 属性が必要です。暗号化コマンドで AWS KMS key を使用する場合、key 属性の値はキー ID、キー ARN、エイリアス名、エイリアス ARN のいずれかです。AWS KMS キー ID の詳細については、「AWS Key Management Service デベロッパーガイド」の「キー識別子」を参照してください。

  • 復号コマンド: AWS KMS keys で復号する場合、--wrapping-keys パラメータでは key 属性をキー ARN にするか、discovery 属性を true にする必要があります (両方ではない)。key 属性を使用することが、AWS Encryption SDK のベストプラクティスです。カスタムのマスターキープロバイダーで復号化する場合、key 属性は必須です。

    注記

    AWS KMS ラッピングキーを復号コマンドで指定するには、key 属性の値はキー ARN にする必要があります。キー ID、エイリアス名、またはエイリアス ARN を使用する場合、AWS Encryption CLI では、ラッピングキーが認識されません。

--wrapping-keys パラメータ値に、複数の key 属性を指定できます。ただし、--wrapping-keys パラメータの providerregionprofile 属性は、そのパラメータ値のすべてのラッピングキーに適用されます。異なる属性値を持つラッピングキーを指定するには、コマンドで複数の --wrapping-keys パラメータを使用します。

discovery

AWS Encryption CLI で AWS KMS key を使用してメッセージを復号できます。discovery の値は、true または false にすることができます。デフォルト値は、「false」です。discovery 属性は、復号コマンドで、マスターキープロバイダーが AWS KMS のときにのみ有効です。

AWS KMS keys で復号化するとき、--wrapping-keys パラメータでは、key 属性を指定するか、discovery 属性を true にする必要があります (両方ではない)。key 属性を使用する場合は、discovery 属性を false にして、検出を明示的に拒否できます。

  • False (デフォルト) — discovery 属性を指定していないか、その値を false にすると、AWSEncryption CLI は、--wrapping-keys パラメータの key 属性によって指定された AWS KMS keys のみを使用してメッセージを復号します。discovery を false にして key 属性を指定しないと、復号コマンドは失敗します。この値では、AWS Encryption CLI のベストプラクティスがサポートされます。

  • Truediscovery 属性の値を true にすると、AWS Encryption CLI は暗号化されたメッセージのメタデータから AWS KMS keys を取得し、それらの AWS KMS keys を使用してメッセージを復号します。discovery 属性を true にすると、バージョン 1.8.x より前の AWS Encryption CLI のように動作し、復号時のラッピングキーを指定できません。しかし、どのような AWS KMS key でも使用する意図は明示的です。discovery を true にして key 属性を指定すると、復号コマンドは失敗します。

    値を true にすると、AWS Encryption CLI は別の AWS アカウント とリージョンで AWS KMS keys を使用するか、ユーザーに使用権限がない AWS KMS keys を使用しようとします。

discoverytrue にする場合は、discovery-partitiondiscovery-account 属性を使用し、使用する AWS KMS keys を、指定した AWS アカウント のものに制限することがベストプラクティスです。

discovery-account

復号に使用する AWS KMS keys を、指定した AWS アカウント のものに制限します。この属性で有効な値は AWS アカウント ID のみです。

この属性はオプションであり、discovery 属性を true に設定して discovery-partition 属性を指定した AWS KMS keys を含む復号コマンドのみで有効です。

discovery-account 属性は AWS アカウント ID を 1 つのみ取りますが、同じ --wrapping-keys パラメータで複数の discovery-account 属性を指定できます。特定の --wrapping-keys パラメータで指定するすべてのアカウントは、指定した AWS パーティション内に存在する必要があります。

discovery-partition

discovery-account 属性のアカウントの AWS パーティションを指定します。値は、awsaws-cnaws-gov-cloud などの AWS パーティションにする必要があります。詳細については、「AWS 全般のリファレンス」の「Amazon リソースネーム」を参照してください。

この属性は、discovery-account 属性を使用するとき必須です。各 --wrapping keys パラメータに指定できる discovery-partition パーティションは 1 つだけです。複数のパーティションの AWS アカウント を指定するには、追加の --wrapping-keys パラメータを使用します。

provider

マスターキープロバイダーを指定します。形式は、provider=ID のペアです。デフォルト値 aws-kms は AWS KMS を表します。この属性は、マスターキープロバイダーが AWS KMS でない場合にのみ必要です。

region

AWS KMS key の AWS リージョン を指定します。この属性は、AWS KMS keys に対してのみ有効です。key の識別子が特定のリージョンを示していない場合にのみ使用され、それ以外の場合は無視されます。これを使用する場合は、AWS CLI の名前付きプロファイルのデフォルトのリージョンよりも優先されます。

profile

AWS CLI の名前付きプロファイルを識別します。この属性は、AWS KMS keys に対してのみ有効です。プロファイルのリージョンは、key の識別子が特定のリージョンを示しておらず、コマンドに region 属性がない場合にのみ使用されます。

--input (-i)

暗号化または復号するデータの場所を指定します。このパラメータは必須です。指定できる値は、ファイルかディレクトリへのパス、またはファイル名のパターンです。コマンド (stdin) にパイピング入力する場合は、- を使用します。

入力が存在しない場合、エラーまたは警告なしでコマンドが正常に完了します。

--recursive (-r, -R)

入力ディレクトリとそのサブディレクトリにあるファイルでオペレーションを実行します。このパラメータは、--input の値がディレクトリの場合に必要です。

--decode

Base64-encoded 入力をデコードします。

暗号化されエンコードされたメッセージを復号する場合は、復号する前にメッセージをデコードする必要があります。これはパラメータによって実行されます。

たとえば、暗号化コマンドで --encode パラメータを使用した場合、対応する復号コマンドで --decode パラメータを使用します。また、このパラメータを使用して、Base64 でエンコードされた入力を暗号化する前にデコードすることもできます。

--output (-o)

出力先を指定します。このパラメータは必須です。値には、既存のディレクトリ、ファイル名、またはコマンドライン (stdout) に出力を書き込む - を使用できます。

指定した出力ディレクトリが存在しない場合、コマンドは失敗します。入力にサブディレクトリが含まれている場合、AWS Encryption CLI は指定した出力ディレクトリの下にサブディレクトリを再現します。

デフォルトでは、AWS Encryption CLI はファイルを同じ名前で上書きします。この動作を変更するには、--interactive または --no-overwrite パラメータを使用します。上書きの警告を表示しないようにするには、--quiet パラメータを使用します。

注記

出力ファイルを上書きするコマンドが失敗した場合、出力ファイルは削除されます。

--インタラクティブ

ファイルを上書きする前にプロンプトが表示されます。

--no-overwrite

ファイルは上書きされません。代わりに、出力ファイルが存在する場合、AWS Encryption CLI は対応する入力をスキップします。

--サフィックス

AWS Encryption CLI が作成するファイルのカスタムファイル名のサフィックスを指定します。サフィックスがないことを示すには、値のないパラメータ (--suffix) を使用します。

デフォルトでは、--output パラメータでファイル名が指定されない場合、出力ファイル名は同じ名前の入力ファイル名にサフィックスを加えたものになります。暗号化コマンドのサフィックスは .encrypted です。復号コマンドのサフィックスは .decrypted です。

--encode

Base64 (バイナリからテキスト) エンコーディングを出力に適用します。エンコーディングによりシェルホストプログラムが、出力テキストの非 ASCII 文字を誤って解釈するのを防ぎます。

出力を別のコマンドにパイピング、または変数に保存する場合でも、暗号化された出力を stdout (--output -) 特に PowerShell コンソールに書き込むときはこのパラメータを使用します。

--metadata-output

暗号化オペレーションに関するメタデータの場所を指定します。パスとファイル名を入力します。ディレクトリが存在しない場合、コマンドは失敗します。コマンドライン (stdout) にメタデータを書き込むには、- を使用します。

同じコマンドでコマンド出力 (--output) とメタデータ出力 (--metadata-output) を stdout に記述することはできません また、--input--output の値がディレクトリ (ファイル名なし) の場合は、メタデータ出力を同じディレクトリまたはそのディレクトリのサブディレクトリに書き込むことはできません。

既存のファイルを指定した場合、デフォルトでは AWS Encryption CLI は新しいメタデータレコードをファイル内の任意のコンテンツに追加します。この機能を使用すると、すべての暗号化オペレーションのメタデータが格納された 1 つのファイルを作成できます。既存のファイルのコンテンツを上書きするには、--overwrite-metadata パラメータを使用します。

AWS Encryption CLI では、コマンドが実行する暗号化または復号のオペレーションごとに JSON 形式のメタデータレコードを返します。各メタデータレコードには、入力ファイルと出力ファイル、暗号化コンテキスト、アルゴリズムスイート、セキュリティ基準を満たしているかどうかを検証しオペレーションを確認するために使用できるその他の有益な情報への完全なパスが含まれます。

--overwrite-metadata

メタデータの出力ファイルでコンテンツが上書きされます。デフォルトでは、--metadata-output パラメータはファイル内の既存のコンテンツにメタデータを追加します。

--suppress-metadata (-S)

暗号化または復号オペレーションに関するメタデータを抑制します。

--commitment-policy

暗号化および復号コマンドのコミットメントポリシーを指定します。コミットメントポリシーは、キーコミットメントセキュリティ機能を使用してメッセージを暗号化および復号化するかどうかを決定します。

--commitment-policy パラメータはバージョン 1.8.x で導入されました。暗号化コマンドと復号コマンドで有効です。

バージョン 1.8.x では、AWS Encryption CLI はすべての暗号化および復号オペレーションに forbid-encrypt-allow-decrypt コミットメントポリシーを使用します。--wrapping-keys パラメータを暗号化コマンドまたは復号コマンドで使用するときには、値 forbid-encrypt-allow-decrypt を指定した --commitment-policy パラメータが必要です。--wrapping-keys パラメータを使用しない場合、--commitment-policy パラメータは無効です。コミットメントポリシーを明示的に設定すると、バージョン 2.1.x へのアップグレード時にコミットメントポリシーが自動的に require-encrypt-require-decrypt に変更されなくなります。

バージョン 2.1.x 以降は、すべてのコミットメントポリシーの値がサポートされます。--commitment-policy パラメータはオプションであり、デフォルト値は require-encrypt-require-decrypt です。

このパラメータには次の値があります。

  • forbid-encrypt-allow-decrypt — キーコミットメントで暗号化することはできません。キーコミットメントが使用されているかどうかにかかわらず、暗号化された暗号化テキストを復号化できます。

    バージョン 1.8.x では、これが唯一の有効な値です。AWS Encryption CLI はすべての暗号化および復号オペレーションに forbid-encrypt-allow-decrypt コミットメントポリシーを使用します。

  • require-encrypt-allow-decrypt — キーコミットメントで暗号化します。復号化はキーコミットメントの有無に関係なく行われます。この値はバージョン 2.1.x で導入されました。

  • require-encrypt-require-decrypt (デフォルト) — キーコミットメントでのみ暗号化および復号化が行われます。この値はバージョン 2.1.x で導入されました。バージョン 2.1.x 以降では、これがデフォルト値です。この値を指定すると、AWS Encryption CLI では、AWS Encryption SDK の前バージョンで暗号化された暗号化テキストは復号されません。

コミットメントポリシーの設定の詳細については、「AWS Encryption SDK の移行」を参照してください。

--encryption-context (-c)

オペレーションの暗号化コンテキストを指定します。このパラメータは必須ではありませんが、推奨されています。

  • --encrypt コマンドでは、1 つまたは複数の name=value ペアを入力します。ペアを区切るには、スペースを使用します。

  • --decrypt コマンドでは、name=value ペア、値のない name 要素、またはその両方を入力します。

name ペアの valuename=value にスペースや特殊文字が含まれている場合、ペア全体を引用符で囲みます。例えば、--encryption-context "department=software development" です。

—buffer (-b) [バージョン 1.9.x および 2.2.x で導入]

デジタル署名が存在する場合の検証も含めて、すべての入力が処理された後にのみプレーンテキストが返されます。

--max-encrypted-data-keys [バージョン 1.9.x および 2.2.x で導入]

暗号化されたメッセージ内の暗号化されたデータキーの最大数を指定します。このパラメータはオプションです。

有効な値は 1~65,535 です。このパラメータを省略すると、AWS Encryption CLI では最大値が適用されません。暗号化されたメッセージには、最大 65,535 (2^16 - 1) の暗号化されたデータキーを使用できます。

このパラメータを暗号化コマンドで使用して、不正な形式のメッセージを防ぐことができます。これを復号コマンドで使用して、悪意のあるメッセージを検出し、復号できない多数の暗号化されたデータキーを含むメッセージの復号化を回避できます。詳細と例については、「暗号化されたデータキーの制限」を参照してください。

--help (-h)

コマンドラインで使用量と構文を表示します。

--version

AWS Encryption CLI のバージョンを取得します。

-v | -vv | -vvv | -vvvv

詳細な情報、警告、およびデバッグメッセージを表示します。出力の詳細は、パラメータ内の vs 数とともに増加します。最も詳細な設定 (-vvvv) は、AWS Encryption CLI およびそれが使用するすべてのコンポーネントからデバッグレベルのデータを返します。

--quiet (-q)

出力ファイルを上書きしたときに表示されるメッセージなど、警告メッセージを抑制します。

--master-keys (-m) [非推奨]
注記

—master-keys パラメータは 1.8.x で非推奨となり、バージョン 2.1.x で削除されました。代わりに、--wrapping-keys パラメータを使用してください。

暗号化と復号のオペレーションで使用されるマスターキーを指定します。複数のマスターキーパラメータを各コマンドで使用できます。

この暗号化コマンドには、--master-keys パラメータが必要です。これはカスタム (AWS KMS 以外の) マスターキープロバイダーを使用しているときにのみ、復号コマンドで必要です。

属性: --master-keys パラメータの値は、以下の属性で構成されます。形式は attribute_name=value です。

key

オペレーションで使用するラッピングキーを識別します。形式は、key=ID のペアです。すべての暗号化コマンドには、key 属性が必要です。

暗号化コマンドで AWS KMS key を使用する場合、key 属性の値はキー ID、キー ARN、エイリアス名、エイリアス ARN のいずれかです。AWS KMS キー ID の詳細については、「AWS Key Management Service デベロッパーガイド」の「キー識別子」を参照してください。

マスターキープロバイダーが AWS KMS でない場合、復号コマンドには key 属性が必須です。AWS KMS key で暗号化されたデータを復号するコマンドでは、key 属性は許可されていません。

--master-keys パラメータ値に、複数の key 属性を指定できます。ただし、providerregion、および profile 属性は、パラメータ値のマスターキーすべてに適用されます。異なる属性値を持つマスターキーを指定するには、コマンドで複数の --master-keys パラメータを使用します。

provider

マスターキープロバイダーを指定します。形式は、provider=ID のペアです。デフォルト値 aws-kms は AWS KMS を表します。この属性は、マスターキープロバイダーが AWS KMS でない場合にのみ必要です。

region

AWS KMS key の AWS リージョン を指定します。この属性は、AWS KMS keys に対してのみ有効です。key の識別子が特定のリージョンを示していない場合にのみ使用され、それ以外の場合は無視されます。これを使用する場合は、AWS CLI の名前付きプロファイルのデフォルトのリージョンよりも優先されます。

profile

AWS CLI の名前付きプロファイルを識別します。この属性は、AWS KMS keys に対してのみ有効です。プロファイルのリージョンは、key の識別子が特定のリージョンを示しておらず、コマンドに region 属性がない場合にのみ使用されます。

高度なパラメータ

--algorithm

アルゴリズムスイートの代替を指定します。このパラメータはオプションであり、暗号化コマンドでのみ有効です。

このパラメータを省略すると、AWSEncryption CLI は、バージョン 1.8.x で導入された AWS Encryption SDK のデフォルトアルゴリズムスイートのいずれかを使用します。どちらのデフォルトアルゴリズムも、HKDF、ECDSA 署名、および 256 ビットの暗号化キーを含む AES-GCM を使用します。キーコミットメントは、使用される場合と使用されない場合があります。デフォルトのアルゴリズムスイートは、コマンドのコミットメントポリシーによって選択されます。

デフォルトアルゴリズムスイートは、ほとんどの暗号化オペレーションで推奨されます。有効な値のリストについては、「ドキュメントを読む」の algorithm パラメータの値を参照してください。

--frame-length

指定されたフレームの長さで出力を作成します。このパラメータはオプションであり、暗号化コマンドでのみ有効です。

値をバイトで入力します。有効な値は、0 および 1 ~ 2^31 - 1 です。値 0 は、フレーム化されていないデータを示します。デフォルト値は 4096 (バイト) です。

注記

可能な限り、フレーム化されたデータを使用してください。AWS Encryption SDK では、従来の使用方法でのみフレーム化されていないデータがサポートされます。AWS Encryption SDK のいくつかの言語実装では、フレーム化されていない暗号化テキストを生成できます。サポートされているすべての言語実装では、フレーム化された暗号化テキストとフレーム化されていない暗号化文書を復号化できます。

--max-length

暗号化されたメッセージから読み取る最大フレームサイズ (またはフレーム化されていないメッセージの最大コンテンツ長) をバイト数で指定します。このパラメータはオプションであり、復号コマンドでのみ有効です。これは、悪意のある膨大な量の暗号化テキストを復号する際に保護できるように設計されています。

値をバイトで入力します。このパラメータを省略すると、AWS Encryption SDK は、復号時のフレームサイズを制限しません。

--caching

入力ファイルごとに新しいデータキーを生成する代わりに、データキーを再利用するデータキーキャッシュ機能を有効にします。このパラメータでは、高度なシナリオがサポートされています。この機能を使用する前に、データキーキャッシュのドキュメントを参照してください。

--caching パラメータには以下のような属性があります。

capacity (必須)

キャッシュのエントリの最大数を決定します。

最小値は 1 です。最大値は存在しません。

max_age (必須)

キャッシュエントリがキャッシュに追加された時点から、どのくらいの期間使用されるかを決定します (秒単位)。

0 より大きい値を入力します。最大値は存在しません。

max_messages_encrypted (オプション)

キャッシュされたエントリが暗号化できるメッセージの最大数を決定します。

有効な値は 1~2^32 です。デフォルト値は 2^32 (メッセージ) です。

max_bytes_encrypted (オプション)

キャッシュされたエントリが暗号化できるバイトの最大数を決定します。

有効な値は、0 および 1 ~ 2^63 - 1 です。デフォルト値は 2^63 - 1 (メッセージ) です。値を 0 に指定することで、空のメッセージ文字列を暗号化している場合にのみデータキーキャッシュを使用できます。