Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsselung im Ruhezustand für TLE- und OEM-Ephemeridendaten
Wichtige politische Anforderungen für TLE- und OEM-Ephemeriden
Um einen vom Kunden verwalteten Schlüssel mit Ephemeridendaten zu verwenden, muss Ihre Schlüsselrichtlinie dem Service die folgenden Berechtigungen gewähren: AWS Ground Station
Weitere Informationen zur Verwendung von Zuschüssen finden Sie im AWS Key Management Service Entwicklerhandbuch.
IAM-Benutzerberechtigungen für die Erstellung von Ephemeriden mit vom Kunden verwalteten Schlüsseln
Wenn ein vom Kunden verwalteter Schlüssel für kryptografische Operationen AWS Ground Station verwendet wird, handelt er im Namen des Benutzers, der die Ephemeridenressource erstellt.
Um eine Ephemeridenressource mithilfe eines vom Kunden verwalteten Schlüssels zu erstellen, muss ein Benutzer über die erforderlichen Berechtigungen verfügen, um die folgenden Operationen mit dem vom Kunden verwalteten Schlüssel aufzurufen:
-
kms:CreateGrant- Ermöglicht dem Benutzer, im Namen von Grants für den vom Kunden verwalteten Schlüssel zu erstellen. AWS Ground Station
-
kms:DescribeKey- Ermöglicht dem Benutzer, die vom Kunden verwalteten Schlüsseldetails einzusehen, um den Schlüssel zu validieren.
Sie können diese erforderlichen Berechtigungen in einer Schlüsselrichtlinie oder in einer IAM-Richtlinie angeben, wenn die Schlüsselrichtlinie dies zulässt. Diese Berechtigungen stellen sicher, dass Benutzer autorisieren können AWS Ground Station , den vom Kunden verwalteten Schlüssel für Verschlüsselungsvorgänge in ihrem Namen zu verwenden.
Wie werden AWS Ground Station Zuschüsse AWS KMS für Ephemeriden verwendet
AWS Ground Station erfordert einen Schlüsselzuschuss, um Ihren vom Kunden verwalteten Schlüssel verwenden zu können.
Wenn Sie eine Ephemeride hochladen, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, AWS Ground Station erstellt in Ihrem Namen eine Schlüsselzuweisung, indem es eine CreateGrantAnfrage an sendet. AWS KMS Grants in AWS KMS werden verwendet, um AWS Ground Station
Zugriff auf einen AWS KMS Schlüssel in Ihrem Konto zu gewähren.
Dies AWS Ground Station ermöglicht Folgendes:
-
GenerateDataKey aufrufen, um einen verschlüsselten Datenschlüssel zu generieren und zu speichern, da der Datenschlüssel nicht sofort zum Verschlüsseln verwendet wird.
-
Rufen Sie Decrypt auf, um den gespeicherten verschlüsselten Datenschlüssel für den Zugriff auf verschlüsselte Daten zu verwenden.
-
Rufen Sie Encrypt auf, um den Datenschlüssel zum Verschlüsseln von Daten zu verwenden.
-
Einen Prinzipal für die Außerbetriebnahme einrichten, damit der Service in den Status RetireGrant wechseln kann.
Sie können den Zugriff auf den Zuschuss jederzeit widerrufen. Wenn Sie dies tun, können Sie auf AWS Ground Station keine der mit dem vom Kunden verwalteten Schlüssel verschlüsselten Daten zugreifen, was sich auf Vorgänge auswirkt, die von diesen Daten abhängig sind. Wenn Sie beispielsweise einer Ephemeride, die derzeit für einen Kontakt verwendet wird, eine Schlüsselzuweisung entziehen, können Sie AWS Ground Station die bereitgestellten Ephemeridendaten nicht verwenden, um die Antenne während des Kontakts auszurichten. Dies führt dazu, dass der Kontakt im Status FAILED endet.
Ephemeriden-Verschlüsselungskontext
Wichtige Zuschüsse für die Verschlüsselung von Ephemeridenressourcen sind an einen bestimmten Satelliten-ARN gebunden.
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
}
Schlüsselzuweisungen werden für dasselbe Schlüssel-Satellitenpaar wiederverwendet.
Verwenden des Verschlüsselungskontexts für die Überwachung
Wenn Sie einen symmetrischen, vom Kunden verwalteten Schlüssel zur Verschlüsselung Ihrer Ephemeriden verwenden, können Sie den Verschlüsselungskontext auch in Prüfaufzeichnungen und Protokollen verwenden, um festzustellen, wie der vom Kunden verwaltete Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint auch in Protokollen, die von Amazon CloudWatch Logs generiert wurden AWS CloudTrail.
Verwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf den vom Kunden verwalteten Schlüssel
Sie können den Verschlüsselungskontext in Schlüsselrichtlinien und IAM-Richtlinien als conditions verwenden, um den Zugriff auf Ihren symmetrischen, kundenverwalteten Schlüssel zu kontrollieren. Sie können Verschlüsselungskontext-Einschränkungen auch in einer Genehmigung verwenden.
AWS Ground Station verwendet bei Zuschüssen eine Einschränkung des Verschlüsselungskontextes, um den Zugriff auf den vom Kunden verwalteten Schlüssel in Ihrem Konto oder Ihrer Region zu kontrollieren. Eine Genehmigungseinschränkung erfordert, dass durch die Genehmigung ermöglichte Vorgänge den angegebenen Verschlüsselungskontext verwenden.
Im Folgenden finden Sie Beispiele für Schlüsselrichtlinienanweisungen zur Gewährung des Zugriffs auf einen kundenseitig verwalteten Schlüssel für einen bestimmten Verschlüsselungskontext. Die Bedingung in dieser Richtlinienanweisung setzt voraus, dass die Genehmigungen eine Einschränkung des Verschlüsselungskontextes haben, die den Verschlüsselungskontext spezifiziert.
Das folgende Beispiel zeigt eine wichtige Richtlinie für Ephemeridendaten, die an einen Satelliten gebunden sind:
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Create Grant on key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:groundstation:arn": "arn:aws:groundstation::123456789012:satellite/satellite-id"
}
}
}
]
}
Überwachung Ihrer Verschlüsselungsschlüssel auf Ephemeriden
Wenn Sie einen vom AWS Key Management Service Kunden verwalteten Schlüssel mit Ihren Ephemeridenressourcen verwenden, können Sie AWS CloudTrailoder CloudWatch Amazon-Protokolle verwenden, um Anfragen zu verfolgen, die AWS Ground Station an gesendet werden. AWS KMS Die folgenden Beispiele sind CloudTrail Ereignisse für CreateGrant, GenerateDataKey, Decrypt und zur Überwachung von AWS KMS
Vorgängen, die aufgerufen werden, DescribeKey AWS Ground Station um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden.
- CreateGrant
-
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel verwenden, um Ihre Ephemeridenressourcen zu verschlüsseln, AWS Ground Station sendet er in Ihrem Namen eine CreateGrantAnfrage, um auf den AWS KMS Schlüssel in Ihrem Konto zuzugreifen. AWS Der gewährte Zuschuss AWS Ground Station
ist spezifisch für die Ressource, die dem vom AWS KMS Kunden verwalteten Schlüssel zugeordnet ist. AWS Ground Station
Verwendet außerdem den RetireGrantVorgang, um einen Zuschuss zu entfernen, wenn Sie eine Ressource löschen.
Das folgende Beispielereignis zeichnet den CreateGrantVorgang für eine Ephemeride auf:
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-02-22T22:22:22Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"operations": [
"GenerateDataKeyWithoutPlaintext",
"Decrypt",
"Encrypt"
],
"constraints": {
"encryptionContextSubset": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE"
}
},
"granteePrincipal": "groundstation.us-west-2.amazonaws.com",
"retiringPrincipal": "groundstation.us-west-2.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
- DescribeKey
-
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel zur Verschlüsselung Ihrer Ephemeridenressourcen verwenden, AWS Ground Station sendet er in Ihrem Namen eine DescribeKeyAnfrage, um zu überprüfen, ob der angeforderte Schlüssel in Ihrem Konto vorhanden ist.
Das folgende Beispielereignis zeichnet den Vorgang DescribeKey auf:
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/User/Role",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Role",
"accountId": "111122223333",
"userName": "User"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-02-22T22:22:22Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
- GenerateDataKey
-
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel zur Verschlüsselung Ihrer Ephemeridenressourcen verwenden, AWS Ground Station sendet er eine GenerateDataKeyAnfrage an, um einen Datenschlüssel zu generieren, mit dem Sie Ihre Daten verschlüsseln können.
Das folgende Beispielereignis zeichnet den GenerateDataKeyVorgang für eine Ephemeride auf:
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
- Decrypt
-
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel zum Verschlüsseln Ihrer Ephemeridenressourcen verwenden, AWS Ground Station verwendet es den Vorgang Decrypt, um die bereitgestellte Ephemeride zu entschlüsseln, sofern sie bereits mit demselben vom Kunden verwalteten Schlüssel verschlüsselt wurde. Zum Beispiel, wenn eine Ephemeride aus einem S3-Bucket hochgeladen und in diesem Bucket mit einem bestimmten Schlüssel verschlüsselt wird.
Das folgende Beispielereignis zeichnet den Decrypt-Vorgang für eine Ephemeride auf:
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
