AWS Encryption SDK CLI の構文およびパラメータのリファレンス - AWS Encryption SDK

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Encryption SDK CLI の構文およびパラメータのリファレンス

このトピックでは、AWS Encryption SDK コマンドラインインターフェイス (CLI) の使用に役立つ構文の例を示し、パラメータについて簡単に説明します。キーおよびその他のパラメータのラッピングについては、」の使用方法AWS暗号化 CLI。例については、「例AWS暗号化 CLI」を参照してください。完全なドキュメントについては、「ドキュメントを読む」を参照してください。

AWS暗号化 CLI 構文

これらのAWS暗号化 CLI 構文図は、で実行された各タスクの構文を示しています。AWS暗号化 CLI。それらは、推奨構文を表しAWS暗号化 CLI バージョン 2.1x以降.

新しいセキュリティ機能は、当初AWS暗号化 CLI バージョン 1.7。xと 2.0.x。ただし、AWS暗号化 CLI バージョン 1.8xはバージョン 1.7 を置き換えます。xおよびAWS暗号化 CLI 2.1。x2.0 を置き換えます。x。詳細については、関連するセキュリティアドバイザリ()AWS 暗号化ryption-sdk-GitHub のリポジトリ。

注記

パラメーターの説明に記載がない限り、各パラメーターまたは属性は、各コマンドで 1 回だけ使用できます。

パラメータがサポートしていない属性を使用する場合、AWS暗号化 CLI は、警告またはエラーなしでサポートされていない属性を無視します。

ヘルプの表示

フルを取得するにはAWS暗号化CLI構文とパラメータの説明を使用します。--helpまたは-h

aws-encryption-cli (--help | -h)
バージョンの取得

バージョン番号を取得するにはAWS暗号化 CLI のインストール、使用--version。使用に関する質問、問題のレポート、またはヒントの共有をするときには、必ずバージョンを含めてください。AWS暗号化 CLI。

aws-encryption-cli --version
データを暗号化する

次の構文の例は、encrypt コマンドで使用するパラメータを示しています。

aws-encryption-cli --encrypt --input <input> [--recursive] [--decode] --output <output> [--interactive] [--no-overwrite] [--suffix [<suffix>]] [--encode] --wrapping-keys [--wrapping-keys] ... key=<keyID> [key=<keyID>] ... [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>] --metadata-output <location> [--overwrite-metadata] | --suppress-metadata] [--commitment-policy <commitment-policy>] [--encryption-context <encryption_context> [<encryption_context> ...]] [--max-encrypted-data-keys <integer>] [--algorithm <algorithm_suite>] [--caching <attributes>] [--frame-length <length>] [-v | -vv | -vvv | -vvvv] [--quiet]
データを復号化する

次の構文の例は、decrypt コマンドで使用するパラメータを示しています。

バージョン 1.8.xとすると、--wrapping-keysパラメータは復号時にはオプションですが推奨されます。バージョン 2.1xとすると、--wrapping-keysパラメーターは、暗号化および復号化時に必要です。を使用する場合AWS KMSカスタマーマスターキー (CMK) を使用するには、key属性を使用してラッピングキーを指定するか(ベストプラクティス)、検出属性をtrueというラッピングキーを制限しません。これは、AWS暗号化 CLI が使用できます。

aws-encryption-cli --decrypt (or [--decrypt-unsigned]) --input <input> [--recursive] [--decode] --output <output> [--interactive] [--no-overwrite] [--suffix [<suffix>]] [--encode] --wrapping-keys [--wrapping-keys] ... [key=<keyID>] [key=<keyID>] ... [discovery={true|false}] [discovery-partition=<aws-partition-name> discovery-account=<aws-account-ID> [discovery-account=<aws-account-ID>] ...] [provider=<provider-name>] [region=<aws-region>] [profile=<aws-profile>] --metadata-output <location> [--overwrite-metadata] | --suppress-metadata] [--commitment-policy <commitment-policy>] [--encryption-context <encryption_context> [<encryption_context> ...]] [--buffer] [--max-encrypted-data-keys <integer>] [--caching <attributes>] [--max-length <length>] [-v | -vv | -vvv | -vvvv] [--quiet]
設定ファイルの使用

パラメータとその値が格納されている設定ファイルを参照できます。これは、コマンドでパラメータと値を入力するのに相当します。例については、「設定ファイルにパラメータを保存する方法」を参照してください。

aws-encryption-cli @<configuration_file> # In a PowerShell console, use a backtick to escape the @. aws-encryption-cli `@<configuration_file>

AWS暗号化 CLI のコマンドラインパラメータ

このリストには、AWS暗号化 CLI コマンドパラメータ 詳細な説明については、aws-encryption-sdk-cli のドキュメントを参照してください。

--encrypt (-e)

入力データを暗号化します。すべてのコマンドに--encrypt, または--decrypt, または--decrypt-unsignedパラメータ。

--decrypt (-d)

入力データを復号します。すべてのコマンドに--encrypt,--decrypt, または--decrypt-unsignedパラメータ。

—復号化符号なし [バージョン1.9で導入されました。xと 2.2.x]

---decrypt-unsignedパラメーターは暗号文を復号化し、復号化前にメッセージが署名されていないことを確認します。このパラメーターは、--algorithmパラメーターを設定し、データを暗号化するためのデジタル署名なしのアルゴリズムスイートを選択しました。暗号文が署名されている場合、復号化は失敗します。

次を使用できます。--decryptまたは--decrypt-unsignedを復号化しますが、両方ではありません。

—wrapping-keys (-w) [バージョン 1.8 で導入されました。x]

を指定します。キーの折り返し(またはマスターキー) は、暗号化と復号のオペレーションで使用されます。次を使用できます。複数--wrapping-keysのパラメータ各コマンドで。

バージョン 2.1xとすると、AWS暗号化 CLI には、--wrapping-keysパラメーターを使用して、暗号化および復号化コマンドを指定します。バージョン 1.8.xとすると、AWS暗号化 CLI では、--wrapping-keys(または--master-keys) パラメーターを暗号化します。バージョン 1.8.x復号コマンドでは、--wrapping-keysパラメータはオプションですが推奨されます。

カスタムのマスターキープロバイダを使用する場合、暗号化と復号コマンドにはkeyおよびprovider属性。を使用する場合AWS KMSカスタマーマスターキー、暗号化コマンドにはkey属性。復号コマンドには、key属性または検出の値を持つ属性をtrue(両方ではない)。の使用key属性が復号化されている場合AWS Encryption SDKベストプラクティス。Amazon S3 バケットや Amazon SQS キュー内のメッセージなど、よく知られていないメッセージのバッチを復号化する場合は、特に重要です。

使用方法を示す例AWS KMSラッピングキーとしてのマルチリージョンキーの詳細については、マルチリージョン KMS キーの使用

の属性: の値--wrapping-keysパラメーターは次の属性で構成されます。形式は次のとおりです。attribute_name=value

key

操作で使用される折り返しキーを識別します。形式は、key=ID のペアです。複数のkey各属性の--wrapping-keysパラメータ値。

  • コマンドの暗号化: すべての暗号化コマンドには、key属性。使用すると、AWS KMS暗号化コマンドでのカスタマーマスターキー (CMK) の場合、key属性は、キー ID、キー ARN、エイリアス名、エイリアス ARN のいずれかを指定できます。説明については、AWS KMSキー識別子、」キー識別子()AWS Key Management Service開発者ガイド

  • 復号コマンド: を使用して復号AWS KMSカスタマーマスターキー (CMK)、--wrapping-keysパラメーターには、keyでの属性キー ARN値、または検出の値を持つ属性をtrue(両方ではない)。の使用key属性は、です。AWS Encryption SDKベストプラクティス。カスタムマスターキープロバイダーで復号化する場合、key属性は必須です。

    注記

    を指定するにはAWS KMSキーを復号化コマンドにラップすると、key属性はキー ARN でなければなりません。キー ID、エイリアス名、またはエイリアス ARN を使用する場合、AWS暗号化 CLI はラッピングキーを認識しません。

複数のkey各属性の--wrapping-keysパラメータ値。ただし、任意のprovider,リージョン, およびプロファイルでの属性--wrapping-keysパラメーターは、そのパラメーター値内のすべてのラッピングキーに適用されます。異なる属性値を持つラッピングキーを指定するには、複数の--wrapping-keysパラメータを指定します。

検出

許可します。AWS暗号化CLIを使用して任意のものを使用するAWS KMSメッセージを解読するには、カスタマーマスターキー (CMK) を使用します。-検出値はtrueまたはfalse。デフォルト値は false です。-検出属性は、復号コマンドで、マスターキープロバイダがAWS KMS。

を使用して復号AWS KMSカスタマーマスターキー (CMK)、--wrapping-keysパラメーターには、key属性または検出の値を持つ属性をtrue(両方ではない)。を使用する場合key属性を使用すると、検出の値を持つ属性をfalseを使用して検出を明示的に拒否します。

  • False(デフォルト) —検出属性が指定されていないか、その値がfalseとすると、AWS暗号化 CLI は、keyの属性--wrapping-keysパラメータ。指定しない場合key属性がfalse復号コマンドでは、復号コマンドは失敗します。この値は、AWS暗号化 CLIベストプラクティス

  • True— 値が検出属性がtrueとすると、AWS暗号化 CLI は、暗号化されたメッセージのメタデータから CMK を取得し、これらの CMK を使用してメッセージを復号化します。-検出の値を持つ属性をtrueのバージョンのように動作するAWSバージョン 1.8 より前の暗号化 CLI。xで、復号時にラッピングキーを指定することを許可しませんでした。ただし、CMK を使用する意図は明示的です。指定すると、key属性がtrue復号コマンドでは、復号コマンドは失敗します。

    -true値が原因でAWS異なる CMK を使用するための暗号化 CLIAWSアカウントとリージョン、またはユーザーが使用許可されていない CMK の使用を試みます。

メトリック検出trueを使用するのがベストプラクティスです。検出パーティションおよびアカウント検出属性を使用して、使用する CMK をAWSアカウントを指定します。

アカウント検出

復号化に使用される CMK を、指定したAWSアカウント. この属性の有効な値は、AWSアカウント ID

この属性はオプションであり、AWS KMSCMK検出属性はに設定しています。true検出パーティション属性が指定されています。

EARアカウント検出属性は1つだけを取りますAWSアカウント ID を指定できますが、複数のアカウント検出同じ内の属性を--wrapping-keysパラメータ。指定した--wrapping-keysパラメータは、指定されたAWSパーティションです。

検出パーティション

を指定します。AWSのアカウントのアカウント検出属性。この値はにする必要があります。AWSパーティションなど、aws,aws-cn, またはaws-gov-cloud。詳細については、 を参照してください。Amazon リソースネーム()AWSの全般的なリファレンス

この属性は、アカウント検出属性。指定できる指定できるのは1つだけです。検出パーティション各属性の--wrapping keysパラメータ。を指定するにはAWSアカウントを複数のパーティションに配置する場合は、追加の--wrapping-keysパラメータ。

provider

マスターキープロバイダーを指定します。形式は、provider=ID のペアです。デフォルト値 aws-kms は AWS KMS を表します。この属性は、マスターキープロバイダーが AWS KMS でない場合にのみ必要です。

region

AWS KMS CMK の AWS リージョンを識別します。この属性は、AWS KMS CMK に対してのみ有効です。key の識別子が特定のリージョンを示していない場合にのみ使用され、それ以外の場合は無視されます。これを使用する場合は、AWS CLI の名前付きプロファイルのデフォルトのリージョンよりも優先されます。

profile

AWS CLI の名前付きプロファイルを識別します。この属性は、AWS KMS CMK に対してのみ有効です。プロファイルのリージョンは、key の識別子が特定のリージョンを示しておらず、コマンドに region 属性がない場合にのみ使用されます。

--input (-i)

暗号化または復号するデータの場所を指定します。このパラメータは必須です。指定できる値は、ファイルかディレクトリへのパス、またはファイル名のパターンです。コマンド (stdin) にパイピング入力する場合は、- を使用します。

入力が存在しない場合、エラーまたは警告なしでコマンドが正常に完了します。

--recursive (-r, -R)

入力ディレクトリとそのサブディレクトリにあるファイルでオペレーションを実行します。このパラメータは、--input の値がディレクトリの場合に必要です。

--decode

Base64-encoded 入力をデコードします。

暗号化されエンコードされたメッセージを復号する場合は、復号する前にメッセージをデコードする必要があります。これはパラメータによって実行されます。

たとえば、暗号化コマンドで --encode パラメータを使用した場合、対応する復号コマンドで --decode パラメータを使用します。また、このパラメータを使用して、Base64 でエンコードされた入力を暗号化する前にデコードすることもできます。

--output (-o)

出力先を指定します。このパラメータは必須です。値には、既存のディレクトリ、ファイル名、またはコマンドライン (stdout) に出力を書き込む - を使用できます。

指定した出力ディレクトリが存在しない場合、コマンドは失敗します。入力にサブディレクトリが含まれている場合、AWS暗号化 CLI では、指定した出力ディレクトリの下にサブディレクトリを再現します。

デフォルトでは、AWS暗号化 CLI は、同じ名前のファイルを上書きします。この動作を変更するには、--interactive または --no-overwrite パラメータを使用します。上書きの警告を表示しないようにするには、--quiet パラメータを使用します。

注記

出力ファイルを上書きするコマンドが失敗した場合、出力ファイルは削除されます。

--インタラクティブ

ファイルを上書きする前にプロンプトが表示されます。

--no-overwrite

ファイルは上書きされません。代わりに、出力ファイルが存在する場合、AWS暗号化 CLI は、対応する入力をスキップします。

--サフィックス

ファイルのカスタムファイル名のサフィックスを指定します。AWS暗号化 CLI によって作成されます。サフィックスがないことを示すには、値のないパラメータ (--suffix) を使用します。

デフォルトでは、--output パラメータでファイル名が指定されない場合、出力ファイル名は同じ名前の入力ファイル名にサフィックスを加えたものになります。暗号化コマンドのサフィックスは .encrypted です。復号コマンドのサフィックスは .decrypted です。

--encode

Base64 (バイナリからテキスト) エンコーディングを出力に適用します。エンコーディングによりシェルホストプログラムが、出力テキストの非 ASCII 文字を誤って解釈するのを防ぎます。

出力を別のコマンドにパイピング、または変数に保存する場合でも、暗号化された出力を stdout (--output -) 特に PowerShell コンソールに書き込むときはこのパラメータを使用します。

--metadata-output

暗号化オペレーションに関するメタデータの場所を指定します。パスとファイル名を入力します。ディレクトリが存在しない場合、コマンドは失敗します。コマンドライン (stdout) にメタデータを書き込むには、- を使用します。

同じコマンドでコマンド出力 (--output) とメタデータ出力 (--metadata-output) を stdout に記述することはできません また、--input--output の値がディレクトリ (ファイル名なし) の場合は、メタデータ出力を同じディレクトリまたはそのディレクトリのサブディレクトリに書き込むことはできません。

既存のファイルを指定した場合、デフォルトではAWS暗号化 CLI は、ファイル内の任意のコンテンツに新しいメタデータレコードを追加します。この機能を使用すると、すべての暗号化オペレーションのメタデータが格納された 1 つのファイルを作成できます。既存のファイルのコンテンツを上書きするには、--overwrite-metadata パラメータを使用します。

-AWS暗号化 CLI は、コマンドが実行する暗号化または復号オペレーションごとに JSON 形式のメタデータレコードを返します。各メタデータレコードには、入力ファイルと出力ファイル、暗号化コンテキスト、アルゴリズムスイート、セキュリティ基準を満たしているかどうかを検証しオペレーションを確認するために使用できるその他の有益な情報への完全なパスが含まれます。

--overwrite-metadata

メタデータの出力ファイルでコンテンツが上書きされます。デフォルトでは、--metadata-output パラメータはファイル内の既存のコンテンツにメタデータを追加します。

--suppress-metadata (-S)

暗号化または復号オペレーションに関するメタデータを抑制します。

— コミットメントポリシー

を指定します。コミットメントポリシー暗号化および復号コマンドでは、コミットメントポリシーでは、メッセージが暗号化され、コミットメント値のセキュリティ機能。

---commitment-policyパラメータはバージョン 1.8 で導入されました。x。これは、暗号化と復号コマンドで有効です。

バージョン 1.8.xとすると、AWS暗号化 CLI はforbid-encrypt-allow-decryptコミットメントポリシーを、すべての暗号化および復号化操作に適用します。使用すると、--wrapping-keysパラメーターを暗号化または復号化コマンドで使用すると、--commitment-policyパラメータをforbid-encrypt-allow-decrypt値は必須です。使用しない場合--wrapping-keysパラメータ、--commitment-policyパラメータが無効です。コミットメントポリシーを明示的に設定すると、コミットメントポリシーがrequire-encrypt-require-decryptバージョン 2.1 にアップグレードすると、x

から始まるバージョン 2.1.xでは、すべてのコミットメントポリシー値がサポートされます。---commitment-policyパラメータはオプションであり、デフォルト値はrequire-encrypt-require-decrypt

このパラメータには次の値があります。[]

  • forbid-encrypt-allow-decrypt— キーのコミットメントで暗号化できません。これは、キーのコミットメントの有無にかかわらず暗号化された暗号文を復号化することができます。

    バージョン 1.8.xに設定されている場合、これが唯一の有効な値です。-AWS暗号化 CLI はforbid-encrypt-allow-decryptコミットメントポリシーを、すべての暗号化および復号化操作に適用します。

  • require-encrypt-allow-decrypt— キーのコミットメントでのみ暗号化します。キーのコミットメントの有無にかかわらず、復号化します。この値はバージョン 2.1 で導入されています。x

  • require-encrypt-require-decrypt(デフォルト)— キーのコミットメントのみを使用して暗号化および復号化します。この値はバージョン 2.1 で導入されています。x。これは、バージョン 2.1 のデフォルト値です。x以降. この値を指定すると、AWS暗号化 CLI では、以前のバージョンで暗号化されたどの暗号化テキストでも復号されません。AWS Encryption SDK。

コミットポリシーの設定の詳細については、」バージョン 2.0 への移行。x

--encryption-context (-c)

オペレーションの暗号化コンテキストを指定します。このパラメータは必須ではありませんが、推奨されています。

  • --encrypt コマンドでは、1 つまたは複数の name=value ペアを入力します。ペアを区切るには、スペースを使用します。

  • --decryptコマンドでname=valueペア,name要素、またはその両方とも。

name ペアの valuename=value にスペースや特殊文字が含まれている場合、ペア全体を引用符で囲みます。たとえば、--encryption-context "department=software development" と指定します。

—buffer (-b) [バージョン1.9で導入.xと 2.2.x]

すべての入力が処理された後にのみプレーンテキストを返します。デジタル署名が存在する場合は、その検証も含まれます。

—max-暗号化データキー [バージョン1.9で導入されました。xと 2.2.x]

暗号化されたメッセージ内の暗号化されたデータキーの最大数を指定します。このパラメータはオプションです。

有効な値は 1 ~ 65,535 です。このパラメータを省略すると、AWS暗号化 CLI は、最大値を強制しません。暗号化されたメッセージは、最大 65,535 (2^16-1) の暗号化されたデータキーを保持できます。

encrypt コマンドでこのパラメーターを使用すると、不正な形式のメッセージを防ぐことができます。decrypt コマンドで使用すると、悪意のあるメッセージを検出し、復号できない多数の暗号化されたデータキーを使用してメッセージの復号化を回避できます。詳細と例については、「暗号化されたデータキーの制限」を参照してください。

--help (-h)

コマンドラインで使用量と構文を表示します。

--version

のバージョンを取得します。AWS暗号化 CLI。

-v | -vv | -vvv | -vvvv

詳細な情報、警告、およびデバッグメッセージを表示します。出力の詳細は、パラメータ内の vs 数とともに増加します。最も詳細な設定(-vvvv) は、デバッグレベルのデータをAWS暗号化 CLI と、それが使用するすべてのコンポーネント。

--quiet (-q)

出力ファイルを上書きしたときに表示されるメッセージなど、警告メッセージを抑制します。

—master-keys (-m) [古い関数]
注記

—master-keys パラメータは 1.8 では非推奨です。xバージョン 2.1x。代わりにを使用します。— ラッピングキーパラメータ。

暗号化と復号のオペレーションで使用されるマスターキーを指定します。複数のマスターキーパラメータを各コマンドで使用できます。

この暗号化コマンドには、--master-keys パラメータが必要です。復号コマンドでは、カスタムのを使用している場合にのみ必要です (AWS KMS) マスターキープロバイダーです。

の属性: の値--master-keysパラメーターは次の属性で構成されます。形式は次のとおりです。attribute_name=value

key

を指定します。キーのラップ操作で使用される。形式は、key=ID のペアです。すべての暗号化コマンドには、key 属性が必要です。

使用すると、AWS KMS暗号化コマンドでのカスタマーマスターキー (CMK) の場合、key属性は、キー ID、キー ARN、エイリアス名、エイリアス ARN のいずれかを指定できます。.AWS KMSキー識別子、」キー識別子()AWS Key Management Service開発者ガイド

-key復号コマンドには、マスターキープロバイダがAWS KMS。 CMK で暗号化されたデータを復号するコマンドでは、keyAWS KMS 属性は許可されていません。

複数のkey各属性の--master-keysパラメータ値。ただし、providerregion、および profile 属性は、パラメータ値のマスターキーすべてに適用されます。異なる属性値を持つマスターキーを指定するには、コマンドで複数の --master-keys パラメータを使用します。

provider

マスターキープロバイダーを指定します。形式は、provider=ID のペアです。デフォルト値 aws-kms は AWS KMS を表します。この属性は、マスターキープロバイダーが AWS KMS でない場合にのみ必要です。

region

AWS KMS CMK の AWS リージョンを識別します。この属性は、AWS KMS CMK に対してのみ有効です。key の識別子が特定のリージョンを示していない場合にのみ使用され、それ以外の場合は無視されます。これを使用する場合は、AWS CLI の名前付きプロファイルのデフォルトのリージョンよりも優先されます。

profile

AWS CLI の名前付きプロファイルを識別します。この属性は、AWS KMS CMK に対してのみ有効です。プロファイルのリージョンは、key の識別子が特定のリージョンを示しておらず、コマンドに region 属性がない場合にのみ使用されます。

高度なパラメータ

--algorithm

アルゴリズムスイートの代替を指定します。このパラメータはオプションであり、暗号化コマンドでのみ有効です。

このパラメータを省略すると、AWS暗号化 CLI は、デフォルトのアルゴリズムスイートのいずれかをAWS Encryption SDKバージョン 1.8 で導入されました。x。両方のデフォルトアルゴリズムは AES-GCM をHKDF、ECDSAシグネチャ、および 256 ビット暗号化キーを使用します。1つはキーコミットメントを使用し、もう1つはキーコミットメントを使用します。デフォルトのアルゴリズムスイートの選択は、コミットメントポリシーコマンドを実行します。

ほとんどの暗号化オペレーションでは、デフォルトのアルゴリズムスイートをお勧めします。有効な値のリストについては、以下の値を参照してください。algorithmでのパラメータドキュメントを読む

--frame-length

指定されたフレームの長さで出力を作成します。このパラメータはオプションであり、暗号化コマンドでのみ有効です。

値をバイトで入力します。有効な値は 0 および 1-2^31-1 です。値 0 は、フレームなしのデータを示します。デフォルトは 4096(バイト)です。

注記

可能な限り、フレーム付きデータを使用してください。-AWS Encryption SDKは、レガシー使用のためにのみフレームなしデータをサポートします。いくつかの言語実装AWS Encryption SDKはフレーム化されていない暗号文を生成できます。サポートされているすべての言語実装は、フレーム付き暗号文とフレームなし暗号文を復号化できます。

--max-length

暗号化されたメッセージから読み取る最大フレームサイズ (またはフレーム化されていないメッセージの最大コンテンツ長) をバイト数で指定します。このパラメータはオプションであり、復号コマンドでのみ有効です。これは、悪意のある膨大な量の暗号化テキストを復号する際に保護できるように設計されています。

値をバイトで入力します。このパラメータを省略すると、AWS Encryption SDKは、復号化時にフレームサイズを制限しません。

--caching

入力ファイルごとに新しいデータキーを生成する代わりに、データキーを再利用するデータキーキャッシュ機能を有効にします。このパラメータでは、高度なシナリオがサポートされています。この機能を使用する前に、データキーキャッシュのドキュメントを参照してください。

--caching パラメータには以下のような属性があります。

capacity (必須)

キャッシュのエントリの最大数を決定します。

最小値は 1 です。最大値は存在しません。

max_age (必須)

キャッシュエントリがキャッシュに追加された時点から、どのくらいの期間使用されるかを秒単位で決定します。

0 より大きい値を入力します。最大値は存在しません。

max_messages_encypted (オプション)

キャッシュされたエントリが暗号化できるメッセージの最大数を決定します。

有効な値は 1~2 ~ 2 つです。デフォルト値は 2^32 (メッセージ) です。

max_bytes_encypted (オプション)

キャッシュされたエントリが暗号化できるバイトの最大数を決定します。

有効な値は 0 と 1-2^63-1 です。デフォルト値は 2^63-1 です (メッセージ)。値を 0 に指定することで、空のメッセージ文字列を暗号化している場合にのみデータキーキャッシュを使用できます。