如何使用aws加密cli解密？

Question

我使用aws加密cli加密压缩文件(实际上是数据库备份)，如下所示：

aws-encryption-cli -vv --encrypt \
  --input "backup.zip" \
  --wrapping-keys key=caf...854 region=us-east-1 \
  --encryption-context purpose=dbbackup \
  --metadata-output backup.metadata \
  --output backup.zip.enc

这很好，并产生加密的备份文件。但是，我似乎无法使用相同的基本模式解密。

aws-encryption-cli \
  -vv \
  --decrypt \
  --input backup.zip.enc \
  --wrapping-keys key=caf...854 region=us-east-1 \
  --output backup.zip \
  --metadata-output backup.zip.metadatadec

产生一个错误：

2020-11-13 15:04:04,580 - MainThread - aws_encryption_sdk.key_providers.base - DEBUG - IncorrectMasterKeyError("Provided data key provider MasterKeyInfo(provider_id='aws-kms', key_info=b'arn:aws:kms:us-east-1:...:key/caf...854') does not match Master Key provider MasterKeyInfo(provider_id='aws-kms', key_info=b'caf...854')",) raised when attempting to decrypt data key with master key MasterKeyInfo(provider_id='aws-kms', key_info=b'caf...854')

在我看来，它似乎是在抱怨KMS密钥ID不匹配，因为在解密时它使用了完整的ARN (arn:aws:kms:us-east-1.)加密时，它只使用ID (caf.854)。我不知道在这两种情况下如何改变行为以使用相同的东西，或者是否有其他问题？

Answer 1

FWIW，如果我在加密和解密时为包装密钥指定完整的ARN，这似乎是可行的。我不知道为什么它会在加密上成功，但当我只使用ID时，解密失败--这感觉就像一个bug (要么两者都失败，要么两者都失败)。