Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrement au repos pour les éphémérides d'élévation d'azimut
Principales exigences politiques relatives aux éphémérides d'altitude azimutale
Pour utiliser une clé gérée par le client avec des données d'éphémérides d'altitude azimutale, votre politique en matière de clés doit accorder les autorisations suivantes au service. AWS Ground Station Contrairement aux données d'éphémérides TLE et OEM qui utilisent des autorisations, les éphémérides à élévation azimutale utilisent des autorisations politiques directes pour les opérations de chiffrement. Il s'agit d'une méthode plus simple pour gérer les autorisations et utiliser vos clés.
-
kms:GenerateDataKey- Génère des clés de données pour chiffrer vos données d'éphémérides d'altitude azimutale. -
kms:Decrypt- Déchiffre les clés de données cryptées lorsque vous accédez à vos données d'éphémérides d'altitude azimutale.
Exemple de politique clé accordant l' AWS Ground Station accès à une clé gérée par le client
Note
Dans le cas des éphémérides d'altitude azimutale, vous devez configurer ces autorisations directement dans la politique clé. Le directeur du AWS Ground Station
service régional (par exemplegroundstation.) doit obtenir ces autorisations dans vos principales déclarations de politique. Si ces déclarations ne sont pas ajoutées à la politique clé, vous ne AWS Ground Station pourrez pas stocker ou accéder à vos éphémérides d'élévation d'azimut personnalisées. region.amazonaws.com
Autorisations des utilisateurs IAM pour créer des éphémérides d'altitude azimutale à l'aide de clés gérées par le client
Lorsqu'une clé gérée par le client est AWS Ground Station utilisée dans le cadre d'opérations cryptographiques, elle agit pour le compte de l'utilisateur qui crée la ressource d'éphémérides d'altitude azimutale.
Pour créer une ressource d'éphémérides d'altitude azimutale à l'aide d'une clé gérée par le client, un utilisateur doit être autorisé à effectuer les opérations suivantes sur la clé gérée par le client :
-
kms:GenerateDataKey- Permet à l'utilisateur de générer des clés de données pour chiffrer les données d'éphémérides d'altitude azimutale. -
kms:Decrypt- Permet à l'utilisateur de déchiffrer les clés de données lorsqu'il accède aux données des éphémérides d'altitude azimutale. -
kms:DescribeKey- Permet à l'utilisateur de consulter les informations clés gérées par le client pour valider la clé.
Vous pouvez spécifier les autorisations requises dans une politique de clé ou dans une IAM politique si la politique de clé le permet. Ces autorisations garantissent que les utilisateurs peuvent autoriser l'utilisation AWS Ground Station de la clé gérée par le client pour les opérations de chiffrement en leur nom.
Comment AWS Ground Station utilise les politiques clés pour les éphémérides d'altitude azimutale
Lorsque vous fournissez des données d'éphémérides d'altitude azimutale à l'aide d'une clé gérée par le client, utilisez AWS Ground Station des politiques clés pour accéder à votre clé de chiffrement. Les autorisations sont accordées directement par le AWS Ground Station biais de déclarations politiques clés plutôt que par le biais de subventions, comme c'est le cas pour les données d'éphémérides TLE ou OEM.
Si vous supprimez AWS Ground Station l'accès à la clé gérée par le client, vous AWS Ground Station ne pourrez accéder à aucune des données chiffrées par cette clé, ce qui affectera les opérations qui dépendent de ces données. Par exemple, si vous supprimez des autorisations politiques clés pour les éphémérides d'azimut actuellement utilisées pour un contact, vous ne AWS Ground Station pourrez pas utiliser les données d'altitude d'azimut fournies pour commander l'antenne pendant le contact. Cela entraînera la fin du contact dans un état d'échec.
Contexte de chiffrement des éphémérides d'élévation d'azimut
Lorsqu'il AWS Ground Station utilise votre AWS KMS clé pour chiffrer des données d'éphémérides d'altitude azimutale, le service spécifie un contexte de chiffrement. Le contexte de chiffrement est constitué de données authentifiées supplémentaires (AAD) AWS KMS utilisées pour garantir l'intégrité des données. Autrement dit, quand un contexte de chiffrement est spécifié pour une opération de chiffrement, le service doit spécifier le même contexte de chiffrement pour l’opération de déchiffrement. Dans le cas contraire, le déchiffrement échoue. Le contexte de chiffrement est également écrit dans vos CloudTrail journaux pour vous aider à comprendre pourquoi une AWS KMS clé donnée a été utilisée. Vos CloudTrail journaux peuvent contenir de nombreuses entrées décrivant l'utilisation d'une AWS KMS clé, mais le contexte de chiffrement de chaque entrée de journal peut vous aider à déterminer la raison de cette utilisation particulière.
AWS Ground Station spécifie le contexte de chiffrement suivant lorsqu'il effectue des opérations cryptographiques avec votre clé gérée par le client sur une éphéméride d'altitude azimutale :
{ "encryptionContext": { "aws:groundstation:ground-station-id": "Ohio 1", "aws:groundstation:arn": "arn:aws:groundstation:us-east-2:111122223333:ephemeris/00a770b0-082d-45a4-80ed-SAMPLE", "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/00a770b0-082d-45a4-80ed-SAMPLE/raw" } }
Le contexte de chiffrement contient :
aws:groundstation:ground-station-id-
Le nom de la station au sol associée à l'éphéméride de l'azimut.
- aws:ground station : arn
-
L'ARN de la ressource éphéméride.
- aws:s3:arn
-
L'ARN des éphémérides stockées dans Amazon S3.
Contrôle de l’accès à votre clé gérée par le client à l’aide du contexte de chiffrement
Vous pouvez utiliser les instructions de condition IAM pour contrôler l' AWS Ground Station accès à votre clé gérée par le client. L'ajout d'une déclaration de condition sur les kms:Decrypt actions kms:GenerateDataKey et limite les stations au sol pour lesquelles un a AWS KMS peut être utilisé.
Vous trouverez ci-dessous des exemples de déclarations de politique clés visant à accorder AWS Ground Station l'accès à votre clé gérée par le client dans une région spécifique pour une station au sol spécifique. La condition de cette déclaration de politique exige que tous cryptent et déchiffrent l'accès à la clé qui spécifie un contexte de chiffrement correspondant à la condition de la politique de clé.
Exemple de politique de clé accordant l' AWS Ground Station accès à une clé gérée par le client pour une station au sol spécifique
Exemple de politique clé accordant l' AWS Ground Station accès à une clé gérée par le client pour plusieurs stations au sol
Surveillance de vos clés de chiffrement pour détecter les éphémérides d'élévation azimutale
Lorsque vous utilisez une clé gérée par le AWS KMS client avec vos ressources d'éphémérides d'altitude azimutale, vous pouvez utiliser CloudTrailou enregistrer pour suivre CloudWatch les demandes envoyées à. AWS Ground Station AWS KMS Les exemples suivants sont des CloudTrail événements pour GenerateDataKeyet Decrypt destinés à surveiller les AWS KMS opérations appelées AWS Ground Station pour accéder aux données chiffrées par votre clé gérée par le client.
