在此文章中，我將引導您完成使用AWS Encryption CLI結合AWS Key Management Service (AWS KMS) 服務來實現加密和解密文件的過程。

什么是KMS

AWS Key Management Service (AWS KMS) 是一項托管服務，可讓您輕松創建和控制客戶主密鑰 (CMK)，這是用于加密數據的加密密鑰。AWS KMS 與大多數用于加密數據的其他 AWS 服務集成。

什么是AWS CLI

AWS Command Line Interface (AWS CLI) 是一種開源工具，讓您能夠在命令行 Shell 中使用命令與 AWS 服務進行交互。AWS CLI 提供兩個版本：

版本 2.x – 旨在用于生產環境的 AWS CLI 最新正式發行版。此版本會包含一些自版本 1 以來的“重大”更改，這些更改可能需要您更改腳本才能繼續正常運行。

版本 1.x– 為保持向后兼容性而提供的 AWS CLI 先前版本。

加解密實現方式

借助AWS Encryption CLI，您可以利用AWS Encryption SDK內置的高級數據保護，包括信封加密和強大的算法套件。AWS Encryption CLI支持最佳實踐功能，例如使用對稱加密密鑰和非對稱簽名密鑰的經過身份驗證的加密，以及每個加密操作的唯一數據密鑰。AWS Encryption CLI構建在適用于Python的AWS Encryption SDK上，并且可與AWS Encryption SDK的所有特定于語言的實現完全互操作。它在Linux，macOS和Windows平臺上受支持。您可以在Linux和macOS上的外殼程序，Windows上的命令提示符窗口（cmd.exe）或任何系統上的PowerShell控制臺中對數據進行加密和解密。

加密原理

加密原理

基于AWS CLI加解密操作步驟

環境配置：

# 配置AWSCLI環境，參考如下連接：https://docs.aws.amazon.com/zh_cn/cli/latest/userguide/cli-chap-install.html

#pip install --upgrade pip

#pip install aws-encryption-cli

#cmkArn=arn:aws-cn:kms:cn-north-1:your aws id:key/ac8fe3f8-4dbd-4ff5-826c-188cf85eed64

創建測試文件：

加密文件：

#aws-encryption-cli --encrypt --input hello.txt --master-keys key=$cmkArn --metadata-output ~/metadata --encryption-context purpose=test --output .

解密文件：

# aws-encryption-cli --decrypt hello.txt.encrypted --master-keys key=$cmkArn --metadata-output ~/metadata --encryption-context purpose=test --output .