AWS Encryption CLI のバージョン - AWS Encryption SDK

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Encryption CLI のバージョン

最新バージョンの AWS Encryption CLI を使用することをお勧めします。

注記

4.0.0 より前のバージョンの AWS 暗号化 CLI は「サポート終了段階」にあります。

バージョン 2.1.x 以降から、コードやデータを変更せずに最新バージョンの AWS Encryption CLI に安全に更新できます。ただし、バージョン 2.1.x で導入された 新しいセキュリティ機能 には下位互換性がありません。バージョン 1.7.x、またはそれ以前からアップデートする場合は、まず AWS Encryption CLI の最新の 1.x バージョンに更新する必要があります。詳細については、「AWS Encryption SDK の移行」を参照してください。

新しいセキュリティ機能は、AWS Encryption CLI バージョン 1.7.x および 2.0.x で最初にリリースされました。ただし、AWS Encryption CLI バージョン 1.7.x はバージョン 1.8.x に、AWS Encryption CLI 2.0.x は 2.1.x に置き換わります。詳細については、GitHub の aws-encryption-sdk-cli リポジトリで関連するセキュリティアドバイザリを参照してください。

AWS Encryption SDK の主要バージョンについては、「AWS Encryption SDK のバージョン」を参照してください。

使用すべきバージョン

AWS Encryption CLI を初めて使用する場合は、最新バージョンを使用します。

バージョン 1.7.x より以前バージョンの AWS Encryption SDK で暗号化されたデータを復号化するには、まず AWS Encryption CLI の最新バージョンに移行します。推奨される変更をすべて行ってから、バージョン 2.1.x 以降にアップデートしてください。詳細については、「AWS Encryption SDK の移行」を参照してください。

詳細はこちら

次のリストでは、AWS Encryption CLI のバージョン 1.8.x と 2.1.x の変更について説明します。

バージョン 1.8.x での AWS Encryption CLI の変更

  • --master-keys パラメータは非推奨となります。代わりに、--wrapping-keys パラメータを使用します。

  • --wrapping-keys (-w) パラメータが追加されます。--master-keys パラメータのすべての属性がサポートされます。また、次のオプションの属性も追加されます。これは、AWS KMS keys で復号化する場合にのみ有効です。

    • discovery

    • discovery-partition

    • discovery-account

    カスタムマスターキープロバイダーの場合、--encrypt と --decrypt コマンドには、--wrapping-keys パラメータまたは --master-keys パラメータが必要です (両方ではない)。また、AWS KMS keys による --encrypt コマンドでは、--wrapping-keys パラメータまたは --master-keys パラメータが必要です (両方ではない)。

    AWS KMS keys による --decrypt コマンドでは、--wrapping-keys パラメータはオプションですが、バージョン 2.1.x で必須であるため推奨されます。使用する場合は、key 属性を指定するか、discovery 属性を true にする必要があります (両方ではない)。

  • --commitment-policy パラメータが追加されます。唯一の有効な値は forbid-encrypt-allow-decrypt です。forbid-encrypt-allow-decrypt コミットポリシーは、すべての暗号化と復号コマンドで使用されます。

    バージョン 1.8.x では、--wrapping-keys パラメータを使用するときに、値が forbid-encrypt-allow-decrypt--commitment-policy パラメータが必要です。値を明示的に設定すると、バージョン 2.1.x へのアップグレード時に コミットメントポリシー が自動的に require-encrypt-require-decrypt に変更されなくなります。

バージョン 2.1.x での AWS Encryption CLI の変更

  • --master-keys パラメータは削除されます。代わりに、--wrapping-keys パラメータを使用します。

  • すべての暗号化コマンドと復号コマンドには、--wrapping-keys パラメータが必要です。key 属性を指定するか、discovery 属性を true にする必要があります (両方ではない)。

  • --commitment-policy パラメータでは次の値がサポートされます。詳細については、「コミットメントポリシーの設定」を参照してください。

    • forbid-encrypt-allow-decrypt

    • require-encrypt-allow-decrypt

    • require-encrypt-require decrypt (デフォルト)

  • バージョン 2.1.x では、--commitment-policy パラメータはオプションです。デフォルト値は、「require-encrypt-require-decrypt」です。

バージョン 1.9.x および 2.2.x での AWS Encryption CLI の変更

  • --decrypt-unsigned パラメータが追加されます。詳細については、「バージョン 2.2.x」を参照してください。

  • --buffer パラメータが追加されます。詳細については、「バージョン 2.2.x」を参照してください。

  • --max-encrypted-data-keys パラメータが追加されます。詳細については、「暗号化されたデータキーの制限」を参照してください。

バージョン 3.0.x での AWS Encryption CLI の変更