Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Chiffrement des données
Avec AWS HealthImaging, vous pouvez ajouter une couche de sécurité à vos données inactives dans le cloud, en fournissant des fonctionnalités de chiffrement évolutives et efficaces. Il s’agit des licences suivantes :
+ Fonctionnalités de chiffrement des données au repos disponibles dans la plupart des AWS services
+ Des options flexibles de gestion des clés AWS Key Management Service, notamment, avec lesquelles vous pouvez choisir de AWS gérer les clés de chiffrement ou de garder le contrôle total de vos propres clés.
+ AWS clés AWS KMS de chiffrement détenues
+ Files d'attente de messages chiffrées pour la transmission de données sensibles à l'aide du chiffrement côté serveur (SSE) pour Amazon SQS
En outre, vous AWS permet APIs d'intégrer le chiffrement et la protection des données à tous les services que vous développez ou déployez dans un AWS environnement.
# Chiffrement au repos
Par défaut, HealthImaging chiffre les données clients au repos à l'aide d'une clé appartenant au service. AWS Key Management Service Vous pouvez éventuellement configurer HealthImaging le chiffrement des données au repos à l'aide d'une AWS KMS clé symétrique gérée par le client que vous créez, détenez et gérez. Pour plus d'informations, voir [Création d'une clé KMS de chiffrement symétrique](https://docs.aws.amazon.com/kms/latest/developerguide/create-symmetric-cmk.html) dans le *Guide du AWS Key Management Service développeur*.
# Chiffrement en transit
HealthImaging utilise le protocole TLS 1.2 pour chiffrer les données en transit via le point de terminaison public et via les services principaux.
# Gestion des clés
AWS KMS les clés (clés KMS) constituent la principale ressource de AWS Key Management Service. Vous pouvez également générer des clés de données à utiliser en dehors de AWS KMS.
## AWS clé KMS détenue
HealthImaging utilise ces clés par défaut pour chiffrer automatiquement les informations potentiellement sensibles telles que les données personnelles identifiables ou les données de santé privées (PHI) au repos. AWS les clés KMS que vous détenez ne sont pas stockées dans votre compte. Elles font partie d'un ensemble de clés KMS qui AWS possède et gère pour une utilisation dans plusieurs AWS comptes. AWS les services peuvent utiliser AWS des clés KMS détenues pour protéger vos données. Vous ne pouvez pas afficher, gérer, utiliser AWS les clés KMS que vous possédez ou auditer leur utilisation. Cependant, vous n'avez pas besoin de travailler ou de modifier de programme pour protéger les clés qui chiffrent vos données.
Aucuns frais mensuels ni frais d'utilisation ne vous sont facturés si vous utilisez AWS des clés KMS que vous possédez, et elles ne sont pas prises en compte dans les AWS KMS quotas de votre compte. Pour plus d'informations, consultez les [clés détenues par AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) dans le *manuel du AWS Key Management Service développeur*.
## Clés KMS gérées par le client
Si vous souhaitez contrôler totalement le AWS KMS cycle de vie et l'utilisation, HealthImaging prend en charge l'utilisation d'une clé KMS symétrique gérée par le client que vous créez, détenez et gérez. Étant donné que vous avez le contrôle total de cette couche de chiffrement, vous pouvez effectuer les tâches suivantes :
+ Établir et maintenir des politiques clés, des politiques IAM et des subventions
+ Rotation des matériaux de chiffrement de clé
+ Activation et désactivation des stratégies de clé
+ Ajout de balises
+ Création d’alias de clé
+ Planification des clés pour la suppression
Vous pouvez également l' CloudTrail utiliser pour suivre les demandes HealthImaging envoyées AWS KMS en votre nom. Des AWS KMS frais supplémentaires s'appliquent. Pour plus d'informations, consultez la section [Clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) dans le *Guide du AWS Key Management Service développeur*.
## Création d'une clé gérée par le client
Vous pouvez créer une clé symétrique gérée par le client en utilisant le AWS Management Console ou le AWS KMS APIs. Pour plus d'informations, consultez la section [Création de clés KMS de chiffrement symétriques](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) dans le *manuel du AWS Key Management Service développeur*.
Les stratégies de clés contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez [Gestion de l'accès aux clés gérées par le client](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) dans le *Guide du développeur AWS Key Management Service *.
Pour utiliser votre clé gérée par le client avec vos HealthImaging ressources, les CreateGrant opérations [kms :](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) doivent être autorisées dans la politique des clés. Cela ajoute une subvention à une clé gérée par le client qui contrôle l'accès à une clé KMS spécifiée, ce qui donne à un utilisateur l'accès aux [opérations de subvention](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) HealthImaging requises. Pour plus d'informations, consultez la section [Subventions AWS KMS dans](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) le *guide du AWS Key Management Service développeur*.
Pour utiliser votre clé KMS gérée par le client avec vos HealthImaging ressources, les opérations d'API suivantes doivent être autorisées dans la politique des clés :
+ `kms:DescribeKey`fournit les informations clés gérées par le client nécessaires à la validation de la clé. Cela est obligatoire pour toutes les opérations.
+ `kms:GenerateDataKey`fournit un accès aux ressources de chiffrement au repos pour toutes les opérations d'écriture.
+ `kms:Decrypt`permet d'accéder aux opérations de lecture ou de recherche de ressources chiffrées.
+ `kms:ReEncrypt*`permet d'accéder à des ressources de rechiffrement.
Voici un exemple de déclaration de politique qui permet à un utilisateur de créer et d'interagir avec un magasin de HealthImaging données chiffré par cette clé :
```
{
"Sid": "Allow access to create data stores and perform CRUD and search in HealthImaging",
"Effect": "Allow",
"Principal": {
"Service": [
"medical-imaging.amazonaws.com"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:kms-arn": "arn:aws:kms:us-east-1:123456789012:key/bec71d48-3462-4cdd-9514-77a7226e001f",
"kms:EncryptionContext:aws:medical-imaging:datastoreId": "datastoreId"
}
}
}
```
## Autorisations IAM requises pour utiliser une clé KMS gérée par le client
Lors de la création d'un magasin de données dont le AWS KMS chiffrement est activé à l'aide d'une clé KMS gérée par le client, des autorisations sont requises pour la politique de clé et la politique IAM pour l'utilisateur ou le rôle qui crée le magasin de HealthImaging données.
Pour plus d'informations sur les politiques clés, consultez la section [Activation des politiques IAM](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-root-enable-iam) dans le *Guide du AWS Key Management Service développeur*.
L'utilisateur IAM, le rôle IAM ou le AWS compte qui crée vos référentiels doit disposer d'autorisations pour la politique ci-dessous, ainsi que des autorisations nécessaires pour AWS. HealthImaging
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:GenerateDataKey",
"kms:RetireGrant",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/bec71d48-3462-4cdd-9514-77a7226e001f"
}
]
}
```
------
### Comment HealthImaging utilise les subventions dans AWS KMS
HealthImaging nécessite une [autorisation](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) pour utiliser votre clé KMS gérée par le client. Lorsque vous créez un magasin de données chiffré à l'aide d'une clé KMS gérée par le client, vous HealthImaging créez une subvention en votre nom en envoyant une [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)demande à AWS KMS. Les subventions AWS KMS sont utilisées pour donner HealthImaging accès à une clé KMS dans un compte client.
Les subventions HealthImaging créées en votre nom ne doivent pas être révoquées ou retirées. Si vous révoquez ou retirez l' HealthImaging autorisation d'utiliser les AWS KMS clés de votre compte, vous HealthImaging ne pouvez pas accéder à ces données, chiffrer les nouvelles ressources d'imagerie envoyées au magasin de données ou les déchiffrer lorsqu'elles sont extraites. Lorsque vous révoquez ou retirez une subvention pour HealthImaging, le changement intervient immédiatement. Pour révoquer les droits d'accès, vous devez supprimer le magasin de données plutôt que de révoquer l'autorisation. Lorsqu'un magasin de données est supprimé, les HealthImaging subventions sont annulées en votre nom.
### Surveillance de vos clés de chiffrement pour HealthImaging
Vous pouvez l'utiliser CloudTrail pour suivre les demandes HealthImaging envoyées en votre AWS KMS nom lorsque vous utilisez une clé KMS gérée par le client. Les entrées du CloudTrail journal apparaissent `medical-imaging.amazonaws.com` dans le `userAgent` champ pour distinguer clairement les demandes effectuées par HealthImaging.
Les exemples suivants sont CloudTrail des événements pour`CreateGrant`, `GenerateDataKey``Decrypt`, et `DescribeKey` pour surveiller les AWS KMS opérations appelées HealthImaging pour accéder aux données chiffrées par votre clé gérée par le client.
Ce qui suit montre comment utiliser `CreateGrant` pour autoriser l'accès HealthImaging à une clé KMS fournie par le client, ce qui HealthImaging permet d'utiliser cette clé KMS pour chiffrer toutes les données client au repos.
Les utilisateurs ne sont pas tenus de créer leurs propres subventions. HealthImaging crée une subvention en votre nom en envoyant une `CreateGrant` demande à AWS KMS. Les subventions AWS KMS sont utilisées pour donner HealthImaging accès à une AWS KMS clé dans un compte client.
```
{
"KeyId": "arn:aws:kms:us-east-1:147997158357:key/8e1c34df-5fd2-49fa-8986-4618c9829a8c",
"GrantId": "44e88bc45b769499ce5ec4abd5ecb27eeb3b178a4782452aae65fe885ee5ba20",
"Name": "MedicalImagingGrantForQIDO_ebff634a-2d16-4046-9238-e3dc4ab54d29",
"CreationDate": "2025-04-17T20:12:49+00:00",
"GranteePrincipal": "AWS Internal",
"RetiringPrincipal": "medical-imaging.us-east-1.amazonaws.com",
"IssuingAccount": "medical-imaging.us-east-1.amazonaws.com",
"Operations": [
"Decrypt",
"Encrypt",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"RetireGrant",
"DescribeKey"
]
},
{
"KeyId": "arn:aws:kms:us-east-1:147997158357:key/8e1c34df-5fd2-49fa-8986-4618c9829a8c",
"GrantId": "9e5fd5ba7812daf75be4a86efb2b1920d6c0c9c0b19781549556bf2ff98953a1",
"Name": "2025-04-17T20:12:38",
"CreationDate": "2025-04-17T20:12:38+00:00",
"GranteePrincipal": "medical-imaging.us-east-1.amazonaws.com",
"RetiringPrincipal": "medical-imaging.us-east-1.amazonaws.com",
"IssuingAccount": "AWS Internal",
"Operations": [
"Decrypt",
"Encrypt",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"CreateGrant",
"RetireGrant",
"DescribeKey"
]
},
{
"KeyId": "arn:aws:kms:us-east-1:147997158357:key/8e1c34df-5fd2-49fa-8986-4618c9829a8c",
"GrantId": "ab4a9b919f6ca8eb2bd08ee72475658ee76cfc639f721c9caaa3a148941bcd16",
"Name": "9d060e5b5d4144a895e9b24901088ca5",
"CreationDate": "2025-04-17T20:12:39+00:00",
"GranteePrincipal": "AWS Internal",
"RetiringPrincipal": "medical-imaging.us-east-1.amazonaws.com",
"IssuingAccount": "medical-imaging.us-east-1.amazonaws.com",
"Operations": [
"Decrypt",
"Encrypt",
"GenerateDataKey",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"DescribeKey"
],
"Constraints": {
"EncryptionContextSubset": {
"kms-arn": "arn:aws:kms:us-east-1:147997158357:key/8e1c34df-5fd2-49fa-8986-4618c9829a8c"
}
}
}
```
Les exemples suivants montrent comment s'`GenerateDataKey`assurer que l'utilisateur dispose des autorisations nécessaires pour chiffrer les données avant de les stocker.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "EXAMPLEUSER",
"arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLEKEYID",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "EXAMPLEROLE",
"arn": "arn:aws:iam::111122223333:role/Sampleuser01",
"accountId": "111122223333",
"userName": "Sampleuser01"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2021-06-30T21:17:06Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "medical-imaging.amazonaws.com"
},
"eventTime": "2021-06-30T21:17:37Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "medical-imaging.amazonaws.com",
"userAgent": "medical-imaging.amazonaws.com",
"requestParameters": {
"keySpec": "AES_256",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
},
"responseElements": null,
"requestID": "EXAMPLE_ID_01",
"eventID": "EXAMPLE_ID_02",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
L'exemple suivant montre comment l'opération HealthImaging appelle l'`Decrypt`opération pour utiliser la clé de données cryptée stockée afin d'accéder aux données cryptées.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "EXAMPLEUSER",
"arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLEKEYID",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "EXAMPLEROLE",
"arn": "arn:aws:iam::111122223333:role/Sampleuser01",
"accountId": "111122223333",
"userName": "Sampleuser01"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2021-06-30T21:17:06Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "medical-imaging.amazonaws.com"
},
"eventTime": "2021-06-30T21:21:59Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "medical-imaging.amazonaws.com",
"userAgent": "medical-imaging.amazonaws.com",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
},
"responseElements": null,
"requestID": "EXAMPLE_ID_01",
"eventID": "EXAMPLE_ID_02",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
L'exemple suivant montre comment HealthImaging utiliser l'`DescribeKey`opération pour vérifier si la AWS KMS clé détenue par le AWS KMS client est dans un état utilisable et pour aider l'utilisateur à résoudre les problèmes si elle n'est pas fonctionnelle.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "EXAMPLEUSER",
"arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLEKEYID",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "EXAMPLEROLE",
"arn": "arn:aws:iam::111122223333:role/Sampleuser01",
"accountId": "111122223333",
"userName": "Sampleuser01"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2021-07-01T18:36:14Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "medical-imaging.amazonaws.com"
},
"eventTime": "2021-07-01T18:36:36Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "medical-imaging.amazonaws.com",
"userAgent": "medical-imaging.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
},
"responseElements": null,
"requestID": "EXAMPLE_ID_01",
"eventID": "EXAMPLE_ID_02",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
### En savoir plus
Les ressources suivantes fournissent des informations supplémentaires sur le chiffrement des données au repos et se trouvent dans le *manuel du AWS Key Management Service développeur*.
+ [Concepts de AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)
+ [Bonnes pratiques de sécurité pour AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html)