Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsselung im Ruhezustand für Azimut-Elevations-Ephemeriden
Wichtige politische Anforderungen für Azimut-Ephemeriden
Um einen vom Kunden verwalteten Schlüssel mit Azimut-Elevation-Ephemeridendaten zu verwenden, muss Ihre Schlüsselrichtlinie dem Service die folgenden Berechtigungen gewähren. AWS Ground Station Im Gegensatz zu TLE- und OEM-Ephemeridendaten, für die Zuschüsse verwendet werden, verwendet Azimut-Elevation-Ephemeride direkte Schlüsselrichtlinienberechtigungen für Verschlüsselungsvorgänge. Dies ist eine einfachere Methode, um die Berechtigungen Ihrer Schlüssel zu verwalten und diese zu verwenden.
-
kms:GenerateDataKey- Generiert Datenschlüssel zur Verschlüsselung Ihrer Azimuthöhen-Ephemeridendaten. -
kms:Decrypt- Entschlüsselt die verschlüsselten Datenschlüssel beim Zugriff auf Ihre Azimuthöhen-Ephemeridendaten.
Beispiel für eine Schlüsselrichtlinie, die AWS Ground Station Zugriff auf einen vom Kunden verwalteten Schlüssel gewährt
Anmerkung
Bei Azimut-Elevation-Ephemeriden müssen Sie diese Berechtigungen direkt in der Schlüsselrichtlinie konfigurieren. Diese Berechtigungen müssen dem Regional AWS Ground Station
Service Principal (z. B.groundstation.) in Ihren wichtigsten Richtlinienerklärungen erteilt werden. Ohne diese Angaben in der Hauptrichtlinie AWS Ground Station kann Ihre benutzerdefinierte Azimut-Ephemeride weder gespeichert noch darauf zugegriffen werden. region.amazonaws.com
IAM-Benutzerberechtigungen für die Erstellung von Azimut-Elevation-Ephemeriden mit vom Kunden verwalteten Schlüsseln
Wenn ein vom Kunden verwalteter Schlüssel für kryptografische Operationen AWS Ground Station verwendet wird, handelt er im Namen des Benutzers, der die Azimut-Elevation-Ephemeridenressource erstellt.
Um mithilfe eines vom Kunden verwalteten Schlüssels eine Azimut-Elevation-Ephemeridenressource zu erstellen, muss ein Benutzer berechtigt sein, die folgenden Operationen mit dem vom Kunden verwalteten Schlüssel aufzurufen:
-
kms:GenerateDataKey— Ermöglicht dem Benutzer die Generierung von Datenschlüsseln zur Verschlüsselung der Azimuthöhen-Ephemeridendaten. -
kms:Decrypt- Ermöglicht dem Benutzer, Datenschlüssel zu entschlüsseln, wenn er auf die Azimuthöhen-Ephemeridendaten zugreift. -
kms:DescribeKey- Ermöglicht dem Benutzer, die vom Kunden verwalteten Schlüsseldetails einzusehen, um den Schlüssel zu validieren.
Sie können diese erforderlichen Berechtigungen in einer Schlüsselrichtlinie oder in einer IAM-Richtlinie angeben, wenn die Schlüsselrichtlinie dies zulässt. Diese Berechtigungen stellen sicher, dass Benutzer autorisieren können AWS Ground Station , den vom Kunden verwalteten Schlüssel für Verschlüsselungsvorgänge in ihrem Namen zu verwenden.
Wie AWS Ground Station werden wichtige Richtlinien für Azimut-Ephemeriden verwendet
Wenn Sie Azimut-Elevation-Ephemeridendaten mit einem vom Kunden verwalteten Schlüssel bereitstellen, AWS Ground Station verwendet Schlüsselrichtlinien für den Zugriff auf Ihren Verschlüsselungsschlüssel. Die Berechtigungen werden direkt AWS Ground Station durch wichtige Grundsatzerklärungen und nicht durch Zuschüsse wie bei TLE- oder OEM-Ephemeridendaten erteilt.
Wenn Sie den Zugriff auf den vom Kunden verwalteten Schlüssel entfernen AWS Ground Station, können Sie auf AWS Ground Station keine der mit diesem Schlüssel verschlüsselten Daten zugreifen, was sich auf Vorgänge auswirkt, die von diesen Daten abhängig sind. Wenn Sie beispielsweise wichtige Richtlinienberechtigungen für Azimuthöhen-Ephemeriden entfernen, die derzeit für einen Kontakt verwendet AWS Ground Station werden, können Sie die bereitgestellten Azimut-Höhendaten nicht für die Steuerung der Antenne während des Kontakts verwenden. Dies führt dazu, dass der Kontakt mit dem Status FEHLGESCHLAGEN endet wird.
Kontext für die Verschlüsselung von Ephemeriden mit Azimut, Höhe
Wenn der Dienst Ihren AWS KMS Schlüssel zur Verschlüsselung von Azimut-Elevation-Ephemeridendaten AWS Ground Station verwendet, gibt der Dienst einen Verschlüsselungskontext an. Der Verschlüsselungskontext besteht aus zusätzlichen authentifizierten Daten (AAD), die zur Sicherstellung der Datenintegrität verwendet werden. AWS KMS Wenn für eine Verschlüsselungsoperation ein Verschlüsselungskontext angegeben wird, muss der Service denselben Verschlüsselungskontext auch für die Entschlüsselungsoperation angeben. Andernfalls schlägt die Entschlüsselung fehl. Der Verschlüsselungskontext wird auch in Ihre CloudTrail Protokolle geschrieben, damit Sie nachvollziehen können, warum ein bestimmter AWS KMS Schlüssel verwendet wurde. Ihre CloudTrail Protokolle können viele Einträge enthalten, die die Verwendung eines AWS KMS Schlüssels beschreiben, aber der Verschlüsselungskontext in jedem Protokolleintrag kann Ihnen helfen, den Grund für diese bestimmte Verwendung zu ermitteln.
AWS Ground Station gibt den folgenden Verschlüsselungskontext an, wenn kryptografische Operationen mit Ihrem vom Kunden verwalteten Schlüssel auf einer Azimut-Ephemeride ausgeführt werden:
{ "encryptionContext": { "aws:groundstation:ground-station-id": "Ohio 1", "aws:groundstation:arn": "arn:aws:groundstation:us-east-2:111122223333:ephemeris/00a770b0-082d-45a4-80ed-SAMPLE", "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/00a770b0-082d-45a4-80ed-SAMPLE/raw" } }
Der Verschlüsselungskontext umfasst:
aws:groundstation:ground-station-id-
Der Name der Bodenstation, die mit der Azimuthöhen-Ephemeride verknüpft ist.
- aws:groundstation:arn
-
Der ARN der Ephemeridenressource.
- aws:s3:arn
-
Der ARN der in Amazon S3 gespeicherten Ephemeride.
Verwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf den kundenseitig verwalteten Schlüssel
Sie können IAM-Zustandsanweisungen verwenden, um den AWS Ground Station Zugriff auf Ihren vom Kunden verwalteten Schlüssel zu kontrollieren. Das Hinzufügen einer Zustandserklärung zu den kms:Decrypt Aktionen kms:GenerateDataKey und schränkt ein, für welche Bodenstationen a verwendet werden AWS KMS können.
Im Folgenden finden Sie Beispiele für wichtige Richtlinienerklärungen, mit denen Sie einer bestimmten Bodenstation AWS Ground Station Zugriff auf Ihren vom Kunden verwalteten Schlüssel in einer bestimmten Region gewähren können. Die Bedingung in dieser Richtlinienerklärung erfordert, dass alle den Zugriff auf den Schlüssel verschlüsseln und entschlüsseln, der einen Verschlüsselungskontext angibt, der der Bedingung in der Schlüsselrichtlinie entspricht.
Beispiel für eine Schlüsselrichtlinie, die AWS Ground Station Zugriff auf einen vom Kunden verwalteten Schlüssel für eine bestimmte Bodenstation gewährt
Beispiel für eine Schlüsselrichtlinie, die AWS Ground Station den Zugriff auf einen vom Kunden verwalteten Schlüssel für mehrere Bodenstationen gewährt
Überwachen Sie Ihre Verschlüsselungsschlüssel auf Azimut-Ephemeriden
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel mit Ihren Azimut-Elevation-Ephemeriden-Ressourcen verwenden, können Sie OR-Protokolle verwenden CloudTrail, um Anfragen nachzuverfolgen, die an gesendet werden. CloudWatch AWS Ground Station AWS KMS Bei den folgenden Beispielen handelt es sich um CloudTrail Ereignisse für GenerateDataKeyund Decrypt zur Überwachung von AWS KMS Vorgängen, die aufgerufen werden, um auf Daten zuzugreifen AWS Ground Station , die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden.
