Uso del contexto de cifrado para controlar el acceso a la clave

Uso del contexto de cifrado

Un contexto de cifrado es un conjunto opcional de pares clave-valor que contienen información contextual adicional sobre los datos. AWS El KMS usa el contexto de cifrado para admitir el cifrado autenticado.

Al incluir un contexto de cifrado en una solicitud de cifrado, AWS KMS vincula el contexto de cifrado a los datos cifrados. Para descifrar los datos, debe incluir el mismo contexto de cifrado en la solicitud.

El análisis de voz utiliza el mismo contexto de cifrado en todas las operaciones criptográficas de AWS KMS, donde la clave es aws:chime:voice-profile-domain:arn y el valor es el nombre de recurso de Amazon (ARN) del recurso.

El siguiente ejemplo muestra un contexto de cifrado típico.


"encryptionContext": {
    "aws:chime:voice-profile-domain:arn": "arn:aws:chime:us-west-2:111122223333:voice-profile-domain/sample-domain-id"
}

También puede utilizar el contexto de cifrado en registros de auditoría y en registros para identificar cómo se utiliza la clave administrada por el cliente. El contexto de cifrado también aparece en los registros generados por CloudTrail o CloudWatch Logs.

Uso del contexto de cifrado para controlar el acceso a la clave

Puede utilizar el contexto de cifrado en políticas de claves y políticas de IAM como condiciones para controlar el acceso a su clave simétrica administrada por el cliente. Puede usar también una restricción de contexto de cifrado en una concesión.

El análisis de voz utiliza una restricción del contexto de cifrado en las concesiones para controlar el acceso a las claves gestionadas por el cliente en su cuenta o región. La restricción de concesión requiere que las operaciones que permite la concesión utilicen el contexto de cifrado especificado.

En el siguiente ejemplo, las declaraciones de política clave permiten el acceso a una clave gestionada por el cliente para un contexto de cifrado específico. La condición de la declaración de política exige que las concesiones tengan una restricción de contexto de cifrado que especifique el contexto de cifrado.


{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action": "kms:DescribeKey",
    "Resource": "*"
},
{
    "Sid": "Enable CreateGrant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action": "kms:CreateGrant",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:chime:voice-profile-domain:arn": "arn:aws:chime:us-west-2:111122223333:voice-profile-domain/sample-domain-id"
        }
    }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Política clave para el análisis de voz

Monitorización de claves de cifrado