Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado en reposo para efemérides de elevación de acimut
Requisitos normativos clave para las efemérides de elevación del acimut
Para usar una clave administrada por el cliente con datos de efemérides de elevación del acimut, tu política de claves debe conceder los siguientes permisos al servicio. AWS Ground Station A diferencia de los datos de efemérides TLE y OEM, que utilizan concesiones, las efemérides de elevación azimutal utilizan permisos de política de clave directa para las operaciones de cifrado. Se trata de un método más sencillo para administrar los permisos de las claves y utilizarlas.
-
kms:GenerateDataKey- Genera claves de datos para cifrar los datos de las efemérides de elevación del acimut. -
kms:Decrypt- Descifra las claves de datos cifradas al acceder a sus datos de efemérides de elevación azimutal.
Ejemplo de política de claves que permite el acceso a una clave gestionada por el cliente AWS Ground Station
nota
Con las efemérides de elevación de acimut, debe configurar estos permisos directamente en la política clave. Al director del AWS Ground Station
servicio regional (por ejemplo,groundstation.) se le deben conceder estos permisos en sus declaraciones de política clave. Si no se añaden estas declaraciones a la política clave, no AWS Ground Station podrá almacenar ni acceder a sus efemérides de elevación de acimut personalizadas. region.amazonaws.com
Permisos de usuario de IAM para crear efemérides de elevación de acimut con claves administradas por el cliente
Cuando se AWS Ground Station utiliza una clave gestionada por el cliente en las operaciones criptográficas, actúa en nombre del usuario que está creando el recurso de efemérides de elevación de acimut.
Para crear un recurso de efemérides de elevación azimutal con una clave administrada por el cliente, el usuario debe tener permisos para realizar las siguientes operaciones en la clave administrada por el cliente:
-
kms:GenerateDataKey- Permite al usuario generar claves de datos para cifrar los datos de las efemérides de elevación azimutal. -
kms:Decrypt- Permite al usuario descifrar las claves de datos al acceder a los datos de las efemérides de elevación azimutal. -
kms:DescribeKey- Permite al usuario ver los detalles de las claves gestionadas por el cliente para validar la clave.
Puede especificar estos permisos necesarios en una política de claves o en una política de IAM si lo permite la política de claves. Estos permisos garantizan que los usuarios puedan autorizar AWS Ground Station el uso de la clave gestionada por el cliente para las operaciones de cifrado en su nombre.
¿Cómo AWS Ground Station utiliza las políticas clave para las efemérides de elevación del acimut
Cuando proporciona datos de efemérides de elevación del acimut con una clave administrada por el cliente, utiliza políticas de claves para acceder a su clave de cifrado. AWS Ground Station Los permisos se otorgan directamente mediante declaraciones de políticas clave y no AWS Ground Station mediante subvenciones, como ocurre con los datos de efemérides de TLE o OEM.
Si AWS Ground Station eliminas el acceso a la clave gestionada por el cliente, AWS Ground Station no podrás acceder a ninguno de los datos cifrados por esa clave, lo que afectará a las operaciones que dependen de esos datos. Por ejemplo, si eliminas los permisos de política clave para las efemérides de elevación de acimut que actualmente se utilizan para un contacto, no AWS Ground Station podrá utilizar los datos de elevación de acimut proporcionados para controlar la antena durante el contacto. Esto provocará que el contacto finalice con un estado de FALLIDO.
Contexto de cifrado de efemérides de elevación azimutal
Cuando AWS Ground Station utiliza su AWS KMS clave para cifrar los datos de efemérides de elevación del acimut, el servicio especifica un contexto de cifrado. El contexto de cifrado son datos autenticados adicionales (AAD) que se utilizan para garantizar la integridad de los datos. AWS KMS Cuando se especifica un contexto de cifrado para una operación de cifrado, el servicio debe especificar el mismo contexto de cifrado para la operación de descifrado. De lo contrario, el descifrado produce un error. El contexto de cifrado también se escribe en sus CloudTrail registros para ayudarle a entender por qué se utilizó una AWS KMS clave determinada. Sus CloudTrail registros pueden contener muchas entradas que describen el uso de una AWS KMS clave, pero el contexto de cifrado de cada entrada de registro puede ayudarle a determinar el motivo de ese uso concreto.
AWS Ground Station especifica el siguiente contexto de cifrado cuando realiza operaciones criptográficas con la clave administrada por el cliente en una efeméride de elevación de acimut:
{ "encryptionContext": { "aws:groundstation:ground-station-id": "Ohio 1", "aws:groundstation:arn": "arn:aws:groundstation:us-east-2:111122223333:ephemeris/00a770b0-082d-45a4-80ed-SAMPLE", "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/00a770b0-082d-45a4-80ed-SAMPLE/raw" } }
El contexto de cifrado contiene:
aws:groundstation:ground-station-id-
El nombre de la estación terrestre asociada a las efemérides de elevación del acimut.
- aws: estación terrestre: arn
-
El ARN del recurso de efemérides.
- aws:s3:arn
-
El ARN de las efemérides almacenadas en Amazon S3.
Utilizar el contexto de cifrado para controlar el acceso a la clave administrada por el cliente
Puede utilizar las declaraciones de condición de IAM para controlar el AWS Ground Station acceso a la clave gestionada por el cliente. Añadir una declaración de condición a kms:Decrypt las acciones kms:GenerateDataKey y restringe las estaciones terrestres para las que se AWS KMS puede utilizar a.
Los siguientes son ejemplos de declaraciones de políticas clave para conceder AWS Ground Station acceso a su clave gestionada por el cliente en una región específica para una estación terrestre específica. La condición de esta declaración de política exige que todos los accesos cifren y descifren a la clave que especifique un contexto de cifrado que coincida con la condición de la política de claves.
Ejemplo de política de claves que permite el AWS Ground Station acceso a una clave gestionada por el cliente para una estación terrestre específica
Ejemplo de política clave que otorga AWS Ground Station acceso a una clave administrada por el cliente para varias estaciones terrestres
Supervisión de las claves de cifrado para detectar efemérides de elevación del acimut
Cuando utilizas una clave gestionada por el AWS KMS cliente con tus recursos de efemérides de elevación del acimut, puedes utilizarla o registrarla para hacer un seguimiento de las solicitudes que se envían a. CloudTrail CloudWatch AWS Ground Station AWS KMS Los siguientes ejemplos son CloudTrail eventos de Decrypt para GenerateDataKeysupervisar AWS KMS las operaciones solicitadas para acceder AWS Ground Station a los datos cifrados por la clave gestionada por el cliente.
