AWS Encryption CLI のバージョン

最新バージョンの AWS Encryption CLI を使用することをお勧めします。

注記

のバージョンAWSEncryption CLI のバージョンがend-of-support段階。

バージョン 2.1 から安全に更新できます。xそして後で最新バージョンにAWSコードやデータの変更なしの暗号化 CLI。ただし、新しいセキュリティ機能をバージョン 2.1 で導入しました。x下位互換性はありません。をバージョン 1.7 から更新します。xまたはそれである場合は、まず最新の 1 に更新する必要があります。xのバージョンAWSEncryption CLI 詳細については、「移行するAWS Encryption SDK」を参照してください。

新しいセキュリティ機能は、AWS Encryption CLI バージョン 1.7.x および 2.0.x で最初にリリースされました。ただし、AWS Encryption CLI バージョン 1.7.x はバージョン 1.8.x に、AWS Encryption CLI 2.0.x は 2.1.x に置き換わります。詳細については、「」を参照してください。セキュリティアドバイザリー()aws-encryption-sdk-cliのリポジトリ GitHub。

AWS Encryption SDK の主要バージョンについては、「AWS Encryption SDK のバージョン」を参照してください。

使用すべきバージョン

AWS Encryption CLI を初めて使用する場合は、最新バージョンを使用します。

のバージョンで暗号化されたデータを復号化するにはAWS Encryption SDKバージョン 1.7 以前であるx、まず最新バージョンに移行してくださいAWSEncryption CLI 推奨される変更をすべて行ってから、バージョン 2.1.x 以降にアップデートしてください。詳細については、「移行するAWS Encryption SDK」を参照してください。

詳細はこちら

• これらの新しいバージョンへの移行に関する変更とガイダンスについては、「移行するAWS Encryption SDK」を参照してください。

• AWS Encryption CLI の新しいパラメータと属性については、「AWS Encryption SDK CLI の構文およびパラメータのリファレンス」を参照してください。

次のリストでは、AWS Encryption CLI のバージョン 1.8.x と 2.1.x の変更について説明します。

バージョン 1.8xの変更点AWSEncryption CLI

• --master-keys パラメータは非推奨となります。代わりに、--wrapping-keys パラメータを使用します。

• --wrapping-keys (-w) パラメータが追加されます。--master-keys パラメータのすべての属性がサポートされます。また、次のオプションの属性も追加されます。これは、AWS KMS keys で復号化する場合にのみ有効です。

  • discovery

  • discovery-partition

  • discovery-account

  カスタムマスターキープロバイダーの場合、--encrypt と --decrypt コマンドには、--wrapping-keys パラメータまたは --master-keys パラメータが必要です (両方ではない)。また、AWS KMS keys による --encrypt コマンドでは、--wrapping-keys パラメータまたは --master-keys パラメータが必要です (両方ではない)。

  AWS KMS keys による --decrypt コマンドでは、--wrapping-keys パラメータはオプションですが、バージョン 2.1.x で必須であるため推奨されます。使用する場合は、key 属性を指定するか、discovery 属性を true にする必要があります (両方ではない)。

• --commitment-policy パラメータが追加されます。唯一の有効な値は forbid-encrypt-allow-decrypt です。forbid-encrypt-allow-decrypt コミットポリシーは、すべての暗号化と復号コマンドで使用されます。

  バージョン 1.8.x では、--wrapping-keys パラメータを使用するときに、値が forbid-encrypt-allow-decrypt の --commitment-policy パラメータが必要です。値を明示的に設定すると、バージョン 2.1.x へのアップグレード時にコミットメントポリシーが自動的に require-encrypt-require-decrypt に変更されなくなります。

バージョン 2.1.xの変更点AWSEncryption CLI

• --master-keys パラメータは削除されます。代わりに、--wrapping-keys パラメータを使用します。

• すべての暗号化コマンドと復号コマンドには、--wrapping-keys パラメータが必要です。key 属性を指定するか、discovery 属性を true にする必要があります (両方ではない)。

• --commitment-policy パラメータでは次の値がサポートされます。詳細については、「コミットメントポリシーの設定」を参照してください。

  • forbid-encrypt-allow-decrypt

  • require-encrypt-allow-decrypt

  • require-encrypt-require decrypt (デフォルト)

• バージョン 2.1.x では、--commitment-policy パラメータはオプションです。デフォルト値は require-encrypt-require-decrypt です。

バージョン 1.9.xと 2.2xの変更点AWSEncryption CLI

• --decrypt-unsigned パラメータが追加されます。詳細については、「バージョン 2.2。 x」を参照してください。

• --buffer パラメータが追加されます。詳細については、「バージョン 2.2。 x」を参照してください。

• --max-encrypted-data-keys パラメータが追加されます。詳細については、「暗号化されたデータキーの制限」を参照してください。

バージョン 3.0xの変更点AWSEncryption CLI

• AWS KMS マルチリージョンキーがサポートされるようになりました。詳細については、「マルチリージョンを使用するAWS KMS keys」を参照してください。