Persyaratan kebijakan utama untuk ephemeris elevasi azimuth Izin pengguna IAM untuk membuat ephemeris elevasi azimuth dengan kunci yang dikelola pelanggan Cara AWS Ground Station menggunakan kebijakan utama untuk ephemeris elevasi azimuth Konteks enkripsi ephemeris elevasi Azimuth Menggunakan konteks enkripsi untuk mengontrol akses ke kunci terkelola pelanggan Anda Memantau kunci enkripsi Anda untuk ephemeris elevasi azimuth

Enkripsi saat istirahat untuk ephemeris elevasi azimuth

Persyaratan kebijakan utama untuk ephemeris elevasi azimuth

Untuk menggunakan kunci terkelola pelanggan dengan data ephemeris elevasi azimuth, kebijakan kunci Anda harus memberikan izin berikut ke layanan. AWS Ground Station Tidak seperti data ephemeris TLE dan OEM yang menggunakan hibah, ephemeris elevasi azimuth menggunakan izin kebijakan kunci langsung untuk operasi enkripsi. Ini adalah metode yang lebih sederhana untuk mengelola izin, dan menggunakan kunci Anda.

kms:GenerateDataKey- Menghasilkan kunci data untuk mengenkripsi data ephemeris elevasi azimuth Anda.
kms:Decrypt- Mendekripsi kunci data terenkripsi saat mengakses data ephemeris elevasi azimuth Anda.

Contoh kebijakan kunci yang memberikan AWS Ground Station akses ke kunci yang dikelola pelanggan

catatan

Dengan azimuth elevation ephemeris, Anda harus mengonfigurasi izin ini secara langsung di kebijakan utama. Prinsipal AWS Ground Station layanan regional (misalnya,groundstation.region.amazonaws.com) harus diberikan izin ini dalam pernyataan kebijakan utama Anda. Tanpa pernyataan ini ditambahkan ke kebijakan utama tidak AWS Ground Station akan dapat menyimpan atau mengakses ephemeris elevasi azimuth kustom Anda.

Izin pengguna IAM untuk membuat ephemeris elevasi azimuth dengan kunci yang dikelola pelanggan

Saat AWS Ground Station menggunakan kunci yang dikelola pelanggan dalam operasi kriptografi, ia bertindak atas nama pengguna yang membuat sumber daya ephemeris elevasi azimuth.

Untuk membuat sumber daya ephemeris elevasi azimuth menggunakan kunci terkelola pelanggan, pengguna harus memiliki izin untuk memanggil operasi berikut pada kunci yang dikelola pelanggan:

kms:GenerateDataKey- Memungkinkan pengguna untuk menghasilkan kunci data untuk mengenkripsi data ephemeris elevasi azimuth.
kms:Decrypt- Memungkinkan pengguna untuk mendekripsi kunci data saat mengakses data ephemeris elevasi azimuth.
kms:DescribeKey- Memungkinkan pengguna untuk melihat detail kunci yang dikelola pelanggan untuk memvalidasi kunci.

Anda dapat menentukan izin yang diperlukan ini dalam kebijakan kunci, atau dalam kebijakan IAM jika kebijakan kunci memungkinkan hal tersebut. Izin ini memastikan bahwa pengguna dapat mengotorisasi AWS Ground Station untuk menggunakan kunci yang dikelola pelanggan untuk operasi enkripsi atas nama mereka.

Cara AWS Ground Station menggunakan kebijakan utama untuk ephemeris elevasi azimuth

Saat Anda memberikan data ephemeris elevasi azimuth dengan kunci yang dikelola pelanggan, AWS Ground Station gunakan kebijakan utama untuk mengakses kunci enkripsi Anda. Izin diberikan langsung melalui pernyataan kebijakan utama daripada AWS Ground Station melalui hibah seperti dengan data ephemeris TLE atau OEM.

Jika Anda menghapus AWS Ground Station akses ke kunci yang dikelola pelanggan, AWS Ground Station tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci tersebut, yang memengaruhi operasi yang bergantung pada data tersebut. Misalnya, jika Anda menghapus izin kebijakan kunci untuk ephemeris elevasi azimuth yang saat ini digunakan untuk kontak, tidak AWS Ground Station akan dapat menggunakan data elevasi azimuth yang disediakan untuk memerintahkan antena selama kontak. Ini akan menyebabkan kontak berakhir dalam keadaan GAGAL.

Konteks enkripsi ephemeris elevasi Azimuth

Saat AWS Ground Station menggunakan AWS KMS kunci Anda untuk mengenkripsi data ephemeris elevasi azimuth, layanan menentukan konteks enkripsi. Konteks enkripsi adalah data otentikasi tambahan (AAD) yang AWS KMS digunakan untuk memastikan integritas data. Ketika konteks enkripsi ditentukan untuk operasi enkripsi, layanan harus menentukan konteks enkripsi yang sama untuk operasi dekripsi. Jika tidak, dekripsi akan gagal. Konteks enkripsi juga ditulis ke CloudTrail log Anda untuk membantu Anda memahami mengapa AWS KMS kunci yang diberikan digunakan. CloudTrail Log Anda mungkin berisi banyak entri yang menjelaskan penggunaan AWS KMS kunci, tetapi konteks enkripsi di setiap entri log dapat membantu Anda menentukan alasan penggunaan tertentu.

AWS Ground Station menentukan konteks enkripsi berikut saat melakukan operasi kriptografi dengan kunci yang dikelola pelanggan Anda pada ephemeris elevasi azimuth:


{
    "encryptionContext": {
        "aws:groundstation:ground-station-id": "Ohio 1",
        "aws:groundstation:arn": "arn:aws:groundstation:us-east-2:111122223333:ephemeris/00a770b0-082d-45a4-80ed-SAMPLE",
        "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/00a770b0-082d-45a4-80ed-SAMPLE/raw"
    }
}

Konteks enkripsi berisi:

aws:groundstation:ground-station-id: Nama stasiun bumi yang terkait dengan ephemeris elevasi azimuth.
aws:groundstation: arn: ARN dari sumber daya ephemeris.
aws:s3: arn: ARN dari ephemeris disimpan di Amazon S3.

Menggunakan konteks enkripsi untuk mengontrol akses ke kunci terkelola pelanggan Anda

Anda dapat menggunakan pernyataan kondisi IAM untuk mengontrol AWS Ground Station akses ke kunci yang dikelola pelanggan Anda. Menambahkan pernyataan kondisi pada kms:GenerateDataKey dan kms:Decrypt tindakan membatasi stasiun bumi mana yang AWS KMS dapat digunakan.

Berikut ini adalah contoh pernyataan kebijakan utama untuk memberikan AWS Ground Station akses ke kunci yang dikelola pelanggan Anda di wilayah tertentu untuk stasiun bumi tertentu. Kondisi dalam pernyataan kebijakan ini mengharuskan semua mengenkripsi dan mendekripsi akses ke kunci yang menentukan konteks enkripsi yang cocok dengan kondisi dalam kebijakan kunci.

Contoh kebijakan kunci yang memberikan AWS Ground Station akses ke kunci yang dikelola pelanggan untuk stasiun bumi tertentu

Contoh kebijakan kunci yang memberikan AWS Ground Station akses ke kunci yang dikelola pelanggan untuk beberapa stasiun bumi

Memantau kunci enkripsi Anda untuk ephemeris elevasi azimuth

Saat Anda menggunakan kunci terkelola AWS KMS pelanggan dengan sumber daya ephemeris elevasi azimuth, Anda dapat menggunakan CloudTrailatau CloudWatch mencatat untuk melacak permintaan yang dikirim ke. AWS Ground Station AWS KMS Contoh berikut adalah CloudTrail peristiwa untuk GenerateDataKeydan Dekripsi untuk memantau AWS KMS operasi yang dipanggil oleh AWS Ground Station untuk mengakses data yang dienkripsi oleh kunci yang dikelola pelanggan Anda.

GenerateDataKey

Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya ephemeris elevasi azimuth Anda, AWS Ground Station kirimkan GenerateDataKeypermintaan ke untuk AWS KMS menghasilkan kunci data yang dapat digunakan untuk mengenkripsi data Anda.

Contoh peristiwa berikut mencatat GenerateDataKeyoperasi untuk ephemeris elevasi azimuth:


{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
        "accountId": "111122223333",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2025-08-25T14:45:48Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2025-08-25T14:52:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
            "aws:groundstation:ground-station-id": "Ohio 1",
            "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ef6f9a8f-8ef6-46a1-bdcb-123456SAMPLE",
    "eventID": "952842d4-1389-3232-b885-123456SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "8424f6b6-2280-4d1d-b9fd-0348b1546cba",
    "eventCategory": "Management"
}

Decrypt

Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya ephemeris elevasi azimuth Anda, AWS Ground Station gunakan operasi Dekripsi untuk mendekripsi data ephemeris elevasi azimuth yang disediakan jika sudah dienkripsi dengan kunci terkelola pelanggan yang sama.

Contoh peristiwa berikut mencatat operasi Dekripsi untuk ephemeris elevasi azimuth:


{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
        "accountId": "111122223333",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            }
        },
        "attributes": {
            "creationDate": "2025-08-25T14:45:48Z",
            "mfaAuthenticated": "false"
        }
    },
    "invokedBy": "AWS Internal",
    "eventTime": "2025-08-25T14:54:01Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "encryptionContext": {
            "aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
            "aws:groundstation:ground-station-id": "Ohio 1",
            "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "a2f46066-49fb-461a-93cb-123456SAMPLE",
    "eventID": "e997b426-e3ad-31c7-a308-123456SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "477b568e-7f56-4f04-905c-623ff146f30d",
    "eventCategory": "Management"
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Enkripsi saat istirahat untuk data ephemeris TLE dan OEM

Enkripsi data selama transit untuk AWS Ground Station