Cifrado en reposo para datos de efemérides TLE y OEM - AWS Ground Station
Requisitos políticos clave para las efemérides de TLE y OEMPermisos de usuario de IAM para crear efemérides con claves administradas por el cliente¿Cómo se AWS Ground Station utilizan las subvenciones AWS KMS para las efeméridesContexto de cifrado de efeméridesUso del contexto de cifrado para la supervisiónUtilizar el contexto de cifrado para controlar el acceso a la clave administrada por el clienteSupervisión de las claves de cifrado para detectar efemérides

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado en reposo para datos de efemérides TLE y OEM

Requisitos políticos clave para las efemérides de TLE y OEM

Para utilizar una clave gestionada por el cliente con datos de efemérides, tu política de claves debe conceder los siguientes permisos al servicio: AWS Ground Station

  • kms:CreateGrant- Crea una concesión de acceso a una clave gestionada por el cliente. Concede AWS Ground Station acceso para realizar operaciones de concesión con la clave gestionada por el cliente para leer y almacenar datos cifrados.

  • kms:DescribeKey- Proporciona los detalles de la clave gestionada por el cliente AWS Ground Station para poder validarla antes de intentar utilizar la clave proporcionada.

Para obtener más información sobre el uso de las subvenciones, consulta la Guía para AWS Key Management Service desarrolladores.

Permisos de usuario de IAM para crear efemérides con claves administradas por el cliente

Cuando AWS Ground Station utiliza una clave gestionada por el cliente en las operaciones criptográficas, actúa en nombre del usuario que está creando el recurso de efemérides.

Para crear un recurso de efemérides con una clave administrada por el cliente, el usuario debe tener permisos para realizar las siguientes operaciones en la clave administrada por el cliente:

  • kms:CreateGrant- Permite al usuario crear subvenciones en la clave gestionada por el cliente en nombre de. AWS Ground Station

  • kms:DescribeKey- Permite al usuario ver los detalles de la clave gestionada por el cliente para validarla.

Puede especificar estos permisos necesarios en una política de claves o en una política de IAM si lo permite la política de claves. Estos permisos garantizan que los usuarios puedan autorizar AWS Ground Station el uso de la clave gestionada por el cliente para las operaciones de cifrado en su nombre.

¿Cómo se AWS Ground Station utilizan las subvenciones AWS KMS para las efemérides

AWS Ground Station requiere una concesión de clave para utilizar la clave gestionada por el cliente.

Cuando subes una efeméride cifrada con una clave gestionada por el cliente, AWS Ground Station crea una concesión de claves en tu nombre enviando una solicitud a. CreateGrant AWS KMS Las subvenciones AWS KMS se utilizan para dar AWS Ground Station acceso a una AWS KMS clave de tu cuenta.

Esto permite AWS Ground Station hacer lo siguiente:

  • Llamar a GenerateDataKey para generar una clave de datos cifrada y almacenarla, ya que la clave de datos no se utiliza inmediatamente para cifrar.

  • Llame a Decrypt para utilizar la clave de datos cifrados almacenada para acceder a los datos cifrados.

  • Llame a Encrypt para usar la clave de datos para cifrar los datos.

  • Configurar una entidad principal que se retire para permitir que el servicio RetireGrant.

Puedes revocar el acceso a la subvención en cualquier momento. Si lo haces, AWS Ground Station no podrás acceder a ninguno de los datos cifrados por la clave gestionada por el cliente, lo que afectará a las operaciones que dependen de esos datos. Por ejemplo, si eliminas la concesión de una clave de una efeméride actualmente en uso para un contacto, no AWS Ground Station podrás utilizar los datos de efemérides proporcionados para apuntar la antena durante el contacto. Esto provocará que el contacto finalice con un estado de FALLIDO.

Contexto de cifrado de efemérides

Las concesiones clave para cifrar los recursos de efemérides están vinculadas a un ARN de satélite específico. 

"encryptionContext": {
    "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
    "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
}
nota

Las concesiones de claves se reutilizan para el mismo par clave-satélite.

Uso del contexto de cifrado para la supervisión

Si utiliza una clave simétrica administrada por el cliente para cifrar sus efemérides, también puede utilizar el contexto de cifrado en los registros y registros de auditoría para identificar cómo se está utilizando la clave administrada por el cliente. El contexto de cifrado también aparece en los registros generados por AWS CloudTrail Amazon CloudWatch Logs.

Utilizar el contexto de cifrado para controlar el acceso a la clave administrada por el cliente

Puede utilizar el contexto de cifrado en las políticas de claves y las políticas de IAM como conditions para controlar el acceso a la clave simétrica administrada por el cliente. Puede usar también una restricción de contexto de cifrado en una concesión.

AWS Ground Station utiliza una restricción de contexto de cifrado en las concesiones para controlar el acceso a la clave gestionada por el cliente en su cuenta o región. La restricción de concesión requiere que las operaciones que permite la concesión utilicen el contexto de cifrado especificado.

Los siguientes son ejemplos de declaraciones de política de claves para conceder acceso a una clave administrada por el cliente para un contexto de cifrado específico. La condición de esta declaración de política exige que las concesiones tengan una restricción de contexto de cifrado que especifique el contexto de cifrado.

El siguiente ejemplo muestra una política clave para los datos de efemérides enlazados a un satélite:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow AWS Ground Station to Describe key",
            "Effect": "Allow",
            "Principal": {
                "Service": "groundstation.us-east-1.amazonaws.com"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "Allow AWS Ground Station to Create Grant on key",
            "Effect": "Allow",
            "Principal": {
                "Service": "groundstation.us-east-1.amazonaws.com"
            },
            "Action": "kms:CreateGrant",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:groundstation:arn": "arn:aws:groundstation::123456789012:satellite/satellite-id"
                }
            }
        }
    ]
}

Supervisión de las claves de cifrado para detectar efemérides

Cuando utilizas una clave gestionada por el AWS Key Management Service cliente con tus recursos de efemérides, puedes utilizar los CloudWatch registros de AWS CloudTrailAmazon para realizar un seguimiento de las solicitudes que se AWS Ground Station envían a. AWS KMS Los siguientes ejemplos son CloudTrail eventos para CreateGrantdescifrar y monitorear AWS KMS las operaciones solicitadas para acceder DescribeKey AWS Ground Station a los datos cifrados por su clave administrada por el cliente. GenerateDataKey

CreateGrant

Cuando utilizas una clave gestionada por el AWS KMS cliente para cifrar tus recursos efemérides, AWS Ground Station envía una CreateGrantsolicitud en tu nombre para acceder a la AWS KMS clave de tu cuenta. AWS La concesión que se AWS Ground Station crea es específica del recurso asociado a la clave gestionada por el AWS KMS cliente. Además, AWS Ground Station utiliza la RetireGrantoperación para eliminar una concesión al eliminar un recurso.

El siguiente evento de ejemplo registra la CreateGrantoperación de una efeméride: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
        "accountId": "111122223333",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-02-22T22:22:22Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "operations": [
            "GenerateDataKeyWithoutPlaintext",
            "Decrypt",
            "Encrypt"
        ],
        "constraints": {
            "encryptionContextSubset": {
                "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE"
            }
        },
        "granteePrincipal": "groundstation.us-west-2.amazonaws.com",
        "retiringPrincipal": "groundstation.us-west-2.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
DescribeKey

Cuando utilizas una clave gestionada por el AWS KMS cliente para cifrar tus recursos de efemérides, AWS Ground Station envía una DescribeKeysolicitud en tu nombre para validar que la clave solicitada existe en tu cuenta.

El siguiente evento de ejemplo registra la operación DescribeKey: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:sts::111122223333:assumed-role/User/Role",
        "accountId": "111122223333",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Role",
                "accountId": "111122223333",
                "userName": "User"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-02-22T22:22:22Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
GenerateDataKey

Cuando utilizas una clave gestionada por el AWS KMS cliente para cifrar tus recursos de efemérides, AWS Ground Station envía una GenerateDataKeysolicitud a para generar una clave de datos con la que cifrar tus datos.

El siguiente evento de ejemplo registra la GenerateDataKeyoperación de una efeméride: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
            "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}
Decrypt

Cuando utiliza una clave gestionada por el AWS KMS cliente para cifrar los recursos de efemérides, AWS Ground Station utiliza la operación de descifrado para descifrar las efemérides proporcionadas si ya están cifradas con la misma clave gestionada por el cliente. Por ejemplo si se está cargando una efeméride desde un bucket de S3 y se cifra en ese bucket con una clave determinada.

El siguiente evento de ejemplo registra la operación de descifrado de una efeméride: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "encryptionContext": {
            "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
            "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}