Datenverschlüsselung - AWS HealthImaging
Erstellen eines vom Kunden verwalteten SchlüsselsErforderliche IAM-Berechtigungen für die Verwendung eines vom Kunden verwalteten KMS-Schlüssels

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenverschlüsselung

Mit AWS HealthImaging können Sie Ihren Daten im Ruhezustand in der Cloud eine Sicherheitsebene hinzufügen und skalierbare und effiziente Verschlüsselungsfunktionen bereitstellen. Dazu zählen:

  • Verschlüsselungsfunktionen für Daten im Ruhezustand sind in den meisten AWS Services verfügbar

  • Flexible Schlüsselmanagementsoptionen, einschließlich AWS Key Management Service, mit denen Sie wählen können, ob Sie die -Verschlüsselungsschlüssel AWS verwalten möchten oder ob Sie die vollständige Kontrolle über Ihre eigenen Schlüssel behalten möchten.

  • AWS eigene AWS KMS Verschlüsselungsschlüssel

  • Verschlüsselte Nachrichtenwarteschlangen für die Übertragung vertraulicher Daten mit server-side encryption (serverseitige Verschlüsselung (SSE) für Amazon SQS

Darüber hinaus AWS ermöglicht APIs es Ihnen, -Verschlüsselung und Datenschutz in alle Services zu integrieren, die Sie in einer AWS -Umgebung entwickeln oder bereitstellen.

Erstellen eines vom Kunden verwalteten Schlüssels

Sie können einen symmetrischen, kundenverwalteten Schlüssel erstellen, indem Sie AWS Management Console oder die AWS KMS APIs verwenden. Weitere Informationen finden Sie unter KMS-Schlüssel für symmetrische Verschlüsselung erstellen im AWS Key Management Service Entwicklerhandbuch.

Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf kundenverwaltete Schlüssel im Entwicklerhandbuch zum AWS Key Management Service .

Um Ihren vom Kunden verwalteten Schlüssel mit Ihren HealthImaging -Ressourcen verwenden zu können, müssen die CreateGrant kms:-Operationen in der Schlüsselrichtlinie zugelassen sein. Dadurch wird einem vom Kunden verwalteten Schlüssel ein Grant hinzugefügt, der den Zugriff auf einen bestimmten KMS-Schlüssel steuert, wodurch ein Benutzer Zugriff auf die für Grant-Operationen erforderlichen HealthImaging Zugriffsrechte erhält. Weitere Informationen finden Sie unter Grants AWS KMS im AWS Key Management Service Developer Guide.

Um Ihren vom Kunden verwalteten KMS-Schlüssel mit Ihren HealthImaging -Ressourcen zu verwenden, müssen die folgenden API-Vorgänge in der Schlüsselrichtlinie zugelassen sein:

  • kms:DescribeKeystellt die vom Kunden verwalteten Schlüsseldetails bereit, die zur Validierung des Schlüssels erforderlich sind. Dies ist für alle Operationen erforderlich.

  • kms:GenerateDataKeybietet Zugriff auf verschlüsselte Ressourcen im Ruhezustand für alle Schreibvorgänge.

  • kms:Decryptbietet Zugriff auf Lese- oder Suchvorgänge für verschlüsselte Ressourcen.

  • kms:ReEncrypt*bietet Zugriff auf neu verschlüsselte Ressourcen.

Im Folgenden finden Sie ein Beispiel für eine Richtlinienanweisung, die es einem Benutzer ermöglicht, einen Datenspeicher zu erstellen und mit diesem zu interagieren HealthImaging , in dem dieser Schlüssel verschlüsselt ist:

{
    "Sid": "Allow access to create data stores and perform CRUD and search in HealthImaging",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "medical-imaging.amazonaws.com"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:kms-arn": "arn:aws:kms:us-east-1:123456789012:key/bec71d48-3462-4cdd-9514-77a7226e001f",
            "kms:EncryptionContext:aws:medical-imaging:datastoreId": "datastoreId"
        }
    }
}

Erforderliche IAM-Berechtigungen für die Verwendung eines vom Kunden verwalteten KMS-Schlüssels

Wenn ein Datenspeicher mit aktivierter AWS KMS -Verschlüsselung unter Verwendung eines vom Kunden verwalteten KMS-Schlüssels erstellt wird, sind sowohl für die Schlüsselrichtlinie als auch für die IAM-Richtlinie des Benutzers oder der Rolle, der/die den HealthImaging Datenspeicher erstellt, Berechtigungen erforderlich.

Weitere Informationen zu wichtigen Richtlinien finden Sie unter Aktivieren von IAM-Richtlinien im AWS Key Management Service Entwicklerhandbuch.

Der IAM-Benutzer, die IAM-Rolle oder das AWS Konto, das Ihre Repositorys erstellt, muss über Berechtigungen für die unten stehende Richtlinie sowie über die erforderlichen Berechtigungen für AWS verfügen. HealthImaging

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:GenerateDataKey", 
                "kms:RetireGrant", 
                "kms:Decrypt",
                "kms:ReEncrypt*",
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/bec71d48-3462-4cdd-9514-77a7226e001f"
        }
    ]
}

Wie verwendet Grants HealthImaging in AWS KMS

HealthImaging erfordert eine Genehmigung, um Ihren vom Kunden verwalteten KMS-Schlüssel zu verwenden. Wenn Sie einen Datenspeicher erstellen, der mit einem vom Kunden verwalteten KMS-Schlüssel verschlüsselt ist, HealthImaging erstellt in Ihrem Namen eine Genehmigung, indem es eine CreateGrantAnfrage an sendet AWS KMS. Genehmigungen in AWS KMS werden verwendet, um HealthImaging Zugriff auf einen KMS-Schlüssel in einem Kundenkonto zu gewähren.

Die Förderungen, die in Ihrem Namen HealthImaging erstellt werden, sollten nicht widerrufen oder außer Betrieb genommen werden. Wenn Sie die Gewährung widerrufen oder widerrufen, die die HealthImaging Erlaubnis gibt, die AWS KMS -Schlüssel in Ihrem Konto zu verwenden, HealthImaging können Sie nicht auf diese Daten zugreifen, neue Imaging-Ressourcen verschlüsseln, die in den Datenspeicher übertragen werden, oder sie entschlüsseln, wenn sie abgerufen werden. Wenn Sie eine Förderung widerrufen oder einstellen HealthImaging, tritt die Änderung sofort in Kraft. Um Zugriffsrechte zu widerrufen, sollten Sie den Datenspeicher löschen, anstatt die Gewährung zu widerrufen. Wenn ein Datenspeicher gelöscht wird, hebt HealthImaging die Förderungen in Ihrem Namen auf.

Überwachen Ihrer Verschlüsselungsschlüssel für HealthImaging

Sie können CloudTrail damit die Anfragen verfolgen, die in Ihrem Namen HealthImaging AWS KMS an gesendet werden, wenn Sie einen vom Kunden verwalteten KMS-Schlüssel verwenden. Die Protokolleinträge im CloudTrail Protokoll werden in dem userAgent Feld angezeigtmedical-imaging.amazonaws.com, sodass die Anfragen von eindeutig unterschieden werden können HealthImaging.

Bei den folgenden Beispielen handelt es sich um CloudTrail Ereignisse fürCreateGrant, GenerateDataKeyDecrypt, und DescribeKey zur Überwachung von AWS KMS Vorgängen, die aufgerufen werden, HealthImaging um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden.

Im Folgenden wird gezeigt, wie Sie CreateGrant den HealthImaging Zugriff auf einen vom Kunden bereitgestellten KMS-Schlüssel ermöglichen, sodass HealthImaging dieser KMS-Schlüssel zur Verschlüsselung aller gespeicherten Kundendaten verwendet werden kann.

Benutzer müssen keine eigenen Zuschüsse erstellen. HealthImaging erstellt in Ihrem Namen einen Zuschuss, indem Sie eine CreateGrant Anfrage an senden AWS KMS. Zuschüsse in AWS KMS werden verwendet, um HealthImaging Zugriff auf einen AWS KMS Schlüssel in einem Kundenkonto zu gewähren.

{
            "KeyId": "arn:aws:kms:us-east-1:147997158357:key/8e1c34df-5fd2-49fa-8986-4618c9829a8c",
            "GrantId": "44e88bc45b769499ce5ec4abd5ecb27eeb3b178a4782452aae65fe885ee5ba20",
            "Name": "MedicalImagingGrantForQIDO_ebff634a-2d16-4046-9238-e3dc4ab54d29",
            "CreationDate": "2025-04-17T20:12:49+00:00",
            "GranteePrincipal": "AWS Internal",
            "RetiringPrincipal": "medical-imaging.us-east-1.amazonaws.com",
            "IssuingAccount": "medical-imaging.us-east-1.amazonaws.com",
            "Operations": [
                "Decrypt",
                "Encrypt",
                "GenerateDataKey",
                "GenerateDataKeyWithoutPlaintext",
                "ReEncryptFrom",
                "ReEncryptTo",
                "CreateGrant",
                "RetireGrant",
                "DescribeKey"
            ]
        },
        {
            "KeyId": "arn:aws:kms:us-east-1:147997158357:key/8e1c34df-5fd2-49fa-8986-4618c9829a8c",
            "GrantId": "9e5fd5ba7812daf75be4a86efb2b1920d6c0c9c0b19781549556bf2ff98953a1",
            "Name": "2025-04-17T20:12:38",
            "CreationDate": "2025-04-17T20:12:38+00:00",
            "GranteePrincipal": "medical-imaging.us-east-1.amazonaws.com",
            "RetiringPrincipal": "medical-imaging.us-east-1.amazonaws.com",
            "IssuingAccount": "AWS Internal",
            "Operations": [
                "Decrypt",
                "Encrypt",
                "GenerateDataKey",
                "GenerateDataKeyWithoutPlaintext",
                "ReEncryptFrom",
                "ReEncryptTo",
                "CreateGrant",
                "RetireGrant",
                "DescribeKey"
            ]
        },
        {
            "KeyId": "arn:aws:kms:us-east-1:147997158357:key/8e1c34df-5fd2-49fa-8986-4618c9829a8c",
            "GrantId": "ab4a9b919f6ca8eb2bd08ee72475658ee76cfc639f721c9caaa3a148941bcd16",
            "Name": "9d060e5b5d4144a895e9b24901088ca5",
            "CreationDate": "2025-04-17T20:12:39+00:00",
            "GranteePrincipal": "AWS Internal",
            "RetiringPrincipal": "medical-imaging.us-east-1.amazonaws.com",
            "IssuingAccount": "medical-imaging.us-east-1.amazonaws.com",
            "Operations": [
                "Decrypt",
                "Encrypt",
                "GenerateDataKey",
                "GenerateDataKeyWithoutPlaintext",
                "ReEncryptFrom",
                "ReEncryptTo",
                "DescribeKey"
            ],
            "Constraints": {
                "EncryptionContextSubset": {
                    "kms-arn": "arn:aws:kms:us-east-1:147997158357:key/8e1c34df-5fd2-49fa-8986-4618c9829a8c"
                }
            }
        }

Die folgenden Beispiele zeigen, wie sichergestellt werden kannGenerateDataKey, dass der Benutzer vor dem Speichern über die erforderlichen Berechtigungen zum Verschlüsseln von Daten verfügt.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-06-30T21:17:06Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-06-30T21:17:37Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Das folgende Beispiel zeigt, wie die HealthImaging Decrypt Operation aufgerufen wird, um den gespeicherten verschlüsselten Datenschlüssel für den Zugriff auf die verschlüsselten Daten zu verwenden.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-06-30T21:17:06Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-06-30T21:21:59Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Das folgende Beispiel zeigt, wie der DescribeKey Vorgang HealthImaging verwendet wird, um zu überprüfen, ob sich der AWS KMS Schlüssel im Besitz des AWS KMS Kunden in einem verwendbaren Zustand befindet, und um einem Benutzer bei der Fehlerbehebung zu helfen, falls er nicht funktioniert.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-07-01T18:36:14Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-07-01T18:36:36Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Weitere Informationen

Die folgenden Ressourcen enthalten weitere Informationen zur Verschlüsselung von Daten im Ruhezustand und befinden sich im AWS Key Management Service Entwicklerhandbuch.