Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrement des données au repos pour AWS Ground Station
AWS Ground Station fournit un chiffrement par défaut pour protéger vos données sensibles au repos à l'aide de clés de chiffrement AWS détenues par vos soins.
-
AWS clés détenues : AWS Ground Station utilise ces clés par défaut pour chiffrer automatiquement les données personnelles et les éphémérides directement identifiables. Vous ne pouvez pas consulter, gérer ou utiliser les clés AWS détenues, ni auditer leur utilisation. Cependant, il n'est pas nécessaire de prendre des mesures ou de modifier les programmes pour protéger les clés qui chiffrent les données. Pour plus d'informations, consultez la section AWS-owned keys dans le guide du AWS Key Management Service développeur.
Le chiffrement des données au repos par défaut permet de réduire les frais opérationnels et la complexité liés à la protection des données sensibles. Dans le même temps, il permet de créer des applications sécurisées qui répondent à une conformité stricte en matière de chiffrement, ainsi qu'aux exigences réglementaires.
AWS Ground Station applique le chiffrement à toutes les données sensibles au repos. Toutefois, pour certaines AWS Ground Station ressources, telles que les éphémérides, vous pouvez choisir d'utiliser une clé gérée par le client à la place des clés gérées par défaut. AWS
-
Clés gérées par le client : AWS Ground Station prend en charge l'utilisation d'une clé symétrique gérée par le client que vous créez, détenez et gérez à la place du chiffrement AWS détenu existant. Étant donné que vous avez le contrôle total de cette couche de chiffrement, vous pouvez effectuer les tâches suivantes :
-
Établissement et gestion des stratégies de clé
-
Établissement et gestion des politiques IAM et des octrois
-
Activation et désactivation des stratégies de clé
-
Rotation des matériaux de chiffrement de clé
-
Ajout de balises
-
Création d’alias de clé
-
Planification des clés pour la suppression
Pour plus d'informations, consultez la section clé gérée par le client dans le guide du AWS Key Management Service développeur.
-
Le tableau suivant récapitule les ressources pour lesquelles l'utilisation de clés gérées par le client est prise AWS Ground Station en charge.
| Type de données | AWS chiffrement par clé détenue | Chiffrement par clé gérée par le client (facultatif) |
|---|---|---|
| Données éphémérides utilisées pour calculer la trajectoire d'un satellite | Activé | Activé |
| Éphémérides d'élévation d'azimut utilisées pour commander les antennes | Activé | Activé |
Note
AWS Ground Station active automatiquement le chiffrement au repos Clés détenues par AWS pour protéger gratuitement les données personnelles identifiables. Toutefois, AWS KMS des frais s'appliquent pour l'utilisation d'une clé gérée par le client. Pour plus d'informations sur les tarifs, consultez les AWS Key Management Service tarifs
Pour plus d'informations AWS KMS, consultez le guide du AWS Key Management Service développeur.
Pour obtenir des informations spécifiques à chaque type de ressource, voir :
Création d’une clé gérée par le client
Vous pouvez créer une clé symétrique gérée par le client en utilisant le AWS Management Console, ou le AWS KMS APIs.
Pour créer une clé symétrique gérée par le client
Suivez les étapes de création d'une clé symétrique gérée par le client dans le Guide du AWS Key Management Service développeur.
Vue d'ensemble des politiques clés
Les stratégies de clés contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez la section Gestion de l'accès aux clés gérées par le client dans le Guide du AWS Key Management Service développeur.
Pour utiliser votre clé gérée par le client avec AWS Ground Station des ressources, vous devez configurer la politique des clés afin d'accorder les autorisations appropriées au AWS Ground Station service. Les autorisations spécifiques et la configuration des politiques dépendent du type de ressource que vous cryptez :
-
Pour les données sur les éphémérides TLE et OEM, reportez-vous à la section Chiffrement au repos pour les données d'éphémérides TLE et OEM pour obtenir des exigences politiques clés spécifiques et des exemples.
-
Pour les données sur les éphémérides d'altitude azimutale, voir les exigences politiques clés spécifiques et Chiffrement au repos pour les éphémérides d'élévation d'azimut des exemples.
Note
La configuration des politiques clés diffère selon les types d'éphémérides. Les données d'éphémérides TLE et OEM utilisent des autorisations d'accès aux clés, tandis que les éphémérides d'altitude azimutale utilisent des autorisations politiques directes relatives aux clés. Assurez-vous de configurer votre politique de clés en fonction du type de ressource spécifique que vous cryptez.
Pour plus d'informations sur la spécification des autorisations dans une politique et la résolution des problèmes d'accès par clé, consultez le guide du AWS Key Management Service développeur.
Spécification d'une clé gérée par le client pour AWS Ground Station
Vous pouvez spécifier une clé gérée par le client pour chiffrer les ressources suivantes :
-
Éphémérides (TLE, OEM et élévation d'azimut)
Lorsque vous créez une ressource, vous pouvez spécifier la clé de données en fournissant un kmsKeyArn
-
kmsKeyArn- Un identifiant de clé pour une clé gérée par AWS KMS le client
AWS Ground Station contexte de chiffrement
Un contexte de chiffrement est un ensemble facultatif de paires clé-valeur contenant des informations contextuelles supplémentaires sur les données. AWS KMS utilise le contexte de chiffrement comme données authentifiées supplémentaires pour prendre en charge le chiffrement authentifié. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, AWS KMS lie le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez inclure le même contexte de chiffrement dans la demande.
AWS Ground Station utilise un contexte de chiffrement différent en fonction de la ressource cryptée et spécifie un contexte de chiffrement spécifique pour chaque attribution de clé créée.
Pour plus de détails sur le contexte de chiffrement spécifique à une ressource, voir :
