Chiffrement au repos pour les données d'éphémérides TLE et OEM - AWS Ground Station
Principales exigences politiques relatives aux éphémérides TLE et OEMAutorisations des utilisateurs IAM pour créer des éphémérides à l'aide de clés gérées par le clientComment AWS Ground Station utilise les subventions AWS KMS pour les éphéméridesContexte de chiffrement des éphéméridesUtilisation du contexte de chiffrement à des fins de surveillanceUtilisation du contexte de chiffrement pour contrôler l'accès à votre clé gérée par le clientSurveillance de vos clés de chiffrement pour détecter les éphémérides

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement au repos pour les données d'éphémérides TLE et OEM

Principales exigences politiques relatives aux éphémérides TLE et OEM

Pour utiliser une clé gérée par le client avec des données éphémérides, votre politique en matière de clés doit accorder les autorisations suivantes au AWS Ground Station service :

  • kms:CreateGrant- Crée une autorisation d'accès sur une clé gérée par le client. Accorde AWS Ground Station l'accès pour effectuer des opérations de subvention sur la clé gérée par le client pour lire et stocker des données cryptées.

  • kms:DescribeKey- Fournit les informations relatives à la clé gérée par le client AWS Ground Station pour lui permettre de valider la clé avant de tenter d'utiliser la clé fournie.

Pour plus d'informations sur l'utilisation des subventions, consultez le guide du AWS Key Management Service développeur.

Autorisations des utilisateurs IAM pour créer des éphémérides à l'aide de clés gérées par le client

Lorsqu'une clé gérée par le client est AWS Ground Station utilisée dans le cadre d'opérations cryptographiques, elle agit pour le compte de l'utilisateur qui crée la ressource éphéméride.

Pour créer une ressource éphéméride à l'aide d'une clé gérée par le client, un utilisateur doit être autorisé à effectuer les opérations suivantes sur la clé gérée par le client :

  • kms:CreateGrant- Permet à l'utilisateur de créer des autorisations sur la clé gérée par le client au nom de AWS Ground Station.

  • kms:DescribeKey- Permet à l'utilisateur de consulter les informations clés gérées par le client pour valider la clé.

Vous pouvez spécifier les autorisations requises dans une politique de clé ou dans une IAM politique si la politique de clé le permet. Ces autorisations garantissent que les utilisateurs peuvent autoriser l'utilisation AWS Ground Station de la clé gérée par le client pour les opérations de chiffrement en leur nom.

Comment AWS Ground Station utilise les subventions AWS KMS pour les éphémérides

AWS Ground Station nécessite une autorisation de clé pour utiliser votre clé gérée par le client.

Lorsque vous téléchargez une éphéméride cryptée à l'aide d'une clé gérée par le client, vous AWS Ground Station créez une attribution de clé en votre nom en envoyant une CreateGrantdemande à. AWS KMS Les subventions AWS KMS sont utilisées pour donner AWS Ground Station accès à une AWS KMS clé de votre compte.

Cela permet AWS Ground Station d'effectuer les opérations suivantes :

  • Appelez GenerateDataKey pour générer une clé de données chiffrée et la stocker, car la clé de données n’est pas immédiatement utilisée pour chiffrer.

  • Appelez Decrypt pour utiliser la clé de données cryptée stockée afin d'accéder aux données cryptées.

  • Appelez Encrypt pour utiliser la clé de données pour chiffrer les données.

  • Configurer un principal sortant pour permettre au service de RetireGrant.

Vous pouvez révoquer l'accès à la subvention à tout moment. Si vous le faites, vous AWS Ground Station ne pourrez accéder à aucune des données chiffrées par la clé gérée par le client, ce qui affectera les opérations qui dépendent de ces données. Par exemple, si vous supprimez une attribution de clé pour une éphéméride actuellement utilisée pour un contact, vous ne AWS Ground Station pourrez pas utiliser les données d'éphéméride fournies pour pointer l'antenne pendant le contact. Cela entraînera la fin du contact dans un état d'échec.

Contexte de chiffrement des éphémérides

Les autorisations clés pour le chiffrement des ressources d'éphémérides sont liées à un ARN satellite spécifique. 

"encryptionContext": {
    "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
    "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
}
Note

Les subventions clés sont réutilisées pour la même paire clé-satellite.

Utilisation du contexte de chiffrement à des fins de surveillance

Lorsque vous utilisez une clé symétrique gérée par le client pour chiffrer vos éphémérides, vous pouvez également utiliser le contexte de chiffrement dans les enregistrements d'audit et les journaux pour identifier la manière dont la clé gérée par le client est utilisée. Le contexte de chiffrement apparaît également dans les journaux générés par AWS CloudTrail ou Amazon CloudWatch Logs.

Utilisation du contexte de chiffrement pour contrôler l'accès à votre clé gérée par le client

Vous pouvez utiliser le contexte de chiffrement dans les stratégies de clé et les politiques IAM comme conditions pour contrôler l'accès à votre clé symétrique gérée par le client. Vous pouvez également utiliser des contraintes de contexte de chiffrement dans un octroi.

AWS Ground Station utilise une contrainte de contexte de chiffrement dans les autorisations afin de contrôler l'accès à la clé gérée par le client dans votre compte ou votre région. La contrainte d’octroi exige que les opérations autorisées par l’octroi utilisent le contexte de chiffrement spécifié.

Vous trouverez ci-dessous des exemples d’instructions de stratégie de clé permettant d’accorder l’accès à une clé gérée par le client dans un contexte de chiffrement spécifique. La condition énoncée dans cette instruction de stratégie exige que les octrois comportent une contrainte de contexte de chiffrement qui spécifie le contexte de chiffrement.

L'exemple suivant montre une politique clé pour les données d'éphémérides liées à un satellite :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow AWS Ground Station to Describe key",
            "Effect": "Allow",
            "Principal": {
                "Service": "groundstation.us-east-1.amazonaws.com"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "Allow AWS Ground Station to Create Grant on key",
            "Effect": "Allow",
            "Principal": {
                "Service": "groundstation.us-east-1.amazonaws.com"
            },
            "Action": "kms:CreateGrant",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:groundstation:arn": "arn:aws:groundstation::123456789012:satellite/satellite-id"
                }
            }
        }
    ]
}

Surveillance de vos clés de chiffrement pour détecter les éphémérides

Lorsque vous utilisez une clé gérée par le AWS Key Management Service client avec vos ressources éphémérides, vous pouvez utiliser les CloudWatch journaux AWS CloudTrailAmazon pour suivre les demandes AWS Ground Station envoyées à. AWS KMS Les exemples suivants sont CloudTrail des événements pour CreateGrantGenerateDataKey, déchiffrer et surveiller les AWS KMS opérations appelées DescribeKeypour accéder AWS Ground Station aux données chiffrées par votre clé gérée par le client.

CreateGrant

Lorsque vous utilisez une clé gérée par le AWS KMS client pour chiffrer vos ressources éphémérides, envoyez une AWS Ground Station CreateGrantdemande en votre nom pour accéder à la AWS KMS clé de votre compte. AWS L'autorisation AWS Ground Station créée est spécifique à la ressource associée à la clé gérée par le AWS KMS client. En outre, AWS Ground Station utilise l'RetireGrantopération pour supprimer une subvention lorsque vous supprimez une ressource.

L'exemple d'événement suivant enregistre l'CreateGrantopération d'une éphéméride : 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
        "accountId": "111122223333",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-02-22T22:22:22Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "operations": [
            "GenerateDataKeyWithoutPlaintext",
            "Decrypt",
            "Encrypt"
        ],
        "constraints": {
            "encryptionContextSubset": {
                "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE"
            }
        },
        "granteePrincipal": "groundstation.us-west-2.amazonaws.com",
        "retiringPrincipal": "groundstation.us-west-2.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
DescribeKey

Lorsque vous utilisez une clé gérée par le AWS KMS client pour chiffrer vos ressources éphémérides, vous AWS Ground Station envoyez une DescribeKeydemande en votre nom pour valider que la clé demandée existe dans votre compte.

L’exemple d’événement suivant enregistre l’opération DescribeKey : 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:sts::111122223333:assumed-role/User/Role",
        "accountId": "111122223333",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Role",
                "accountId": "111122223333",
                "userName": "User"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-02-22T22:22:22Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
GenerateDataKey

Lorsque vous utilisez une clé gérée par le AWS KMS client pour chiffrer vos ressources éphémérides, AWS Ground Station envoyez une GenerateDataKeydemande à afin de générer une clé de données avec laquelle chiffrer vos données.

L'exemple d'événement suivant enregistre l'GenerateDataKeyopération d'une éphéméride : 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
            "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}
Decrypt

Lorsque vous utilisez une clé gérée par le AWS KMS client pour chiffrer vos ressources d'éphémérides, utilisez l'opération de AWS Ground Station déchiffrement pour déchiffrer les éphémérides fournies si elles sont déjà chiffrées avec la même clé gérée par le client. Par exemple, si une éphéméride est téléchargée depuis un compartiment S3 et qu'elle est chiffrée dans ce compartiment avec une clé donnée.

L'exemple d'événement suivant enregistre l'opération de déchiffrement d'une éphéméride : 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "encryptionContext": {
            "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
            "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}