Enkripsi saat istirahat untuk data ephemeris TLE dan OEM - AWS Ground Station
Persyaratan kebijakan utama untuk ephemeris TLE dan OEMIzin pengguna IAM untuk membuat ephemeris dengan kunci yang dikelola pelangganBagaimana AWS Ground Station menggunakan hibah AWS KMS untuk ephemerisKonteks enkripsi EphemerisMenggunakan konteks enkripsi untuk pemantauanMenggunakan konteks enkripsi untuk mengontrol akses ke kunci terkelola pelanggan AndaMemantau kunci enkripsi Anda untuk ephemeris

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi saat istirahat untuk data ephemeris TLE dan OEM

Persyaratan kebijakan utama untuk ephemeris TLE dan OEM

Untuk menggunakan kunci yang dikelola pelanggan dengan data ephemeris, kebijakan kunci Anda harus memberikan izin berikut ke layanan: AWS Ground Station

  • kms:CreateGrant- Membuat hibah akses pada kunci yang dikelola pelanggan. Memberikan AWS Ground Station akses untuk melakukan operasi hibah pada kunci yang dikelola pelanggan untuk membaca dan menyimpan data terenkripsi.

  • kms:DescribeKey- Memberikan rincian kunci yang dikelola pelanggan AWS Ground Station untuk memungkinkan memvalidasi kunci sebelum mencoba menggunakan kunci yang disediakan.

Untuk informasi selengkapnya tentang Menggunakan Hibah, lihat Panduan AWS Key Management Service Pengembang.

Izin pengguna IAM untuk membuat ephemeris dengan kunci yang dikelola pelanggan

Saat AWS Ground Station menggunakan kunci yang dikelola pelanggan dalam operasi kriptografi, ia bertindak atas nama pengguna yang membuat sumber daya ephemeris.

Untuk membuat sumber daya ephemeris menggunakan kunci yang dikelola pelanggan, pengguna harus memiliki izin untuk memanggil operasi berikut pada kunci yang dikelola pelanggan:

  • kms:CreateGrant- Memungkinkan pengguna untuk membuat hibah pada kunci yang dikelola pelanggan atas nama. AWS Ground Station

  • kms:DescribeKey- Memungkinkan pengguna untuk melihat detail kunci yang dikelola pelanggan untuk memvalidasi kunci.

Anda dapat menentukan izin yang diperlukan ini dalam kebijakan kunci, atau dalam kebijakan IAM jika kebijakan kunci memungkinkan hal tersebut. Izin ini memastikan bahwa pengguna dapat mengotorisasi AWS Ground Station untuk menggunakan kunci yang dikelola pelanggan untuk operasi enkripsi atas nama mereka.

Bagaimana AWS Ground Station menggunakan hibah AWS KMS untuk ephemeris

AWS Ground Station memerlukan hibah kunci untuk menggunakan kunci yang dikelola pelanggan Anda.

Saat Anda mengunggah ephemeris yang dienkripsi dengan kunci yang dikelola pelanggan, AWS Ground Station buat hibah kunci atas nama Anda dengan mengirimkan permintaan ke. CreateGrant AWS KMS Hibah AWS KMS digunakan untuk memberikan AWS Ground Station akses ke AWS KMS kunci di akun Anda.

Hal ini memungkinkan AWS Ground Station untuk melakukan hal berikut:

  • Panggilan GenerateDataKeyuntuk menghasilkan kunci data terenkripsi dan menyimpannya, karena kunci data tidak segera digunakan untuk mengenkripsi.

  • Panggil Dekripsi untuk menggunakan kunci data terenkripsi yang disimpan untuk mengakses data terenkripsi.

  • Panggil Enkripsi untuk menggunakan kunci data untuk mengenkripsi data.

  • Siapkan kepala sekolah yang pensiun untuk memungkinkan layanan. RetireGrant

Anda dapat mencabut akses ke hibah kapan saja. Jika Anda melakukannya, AWS Ground Station tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci yang dikelola pelanggan, yang memengaruhi operasi yang bergantung pada data tersebut. Misalnya, jika Anda menghapus hibah kunci dari ephemeris yang saat ini digunakan untuk kontak maka tidak AWS Ground Station akan dapat menggunakan data ephemeris yang disediakan untuk mengarahkan antena selama kontak. Ini akan menyebabkan kontak berakhir dalam keadaan GAGAL.

Konteks enkripsi Ephemeris

Hibah kunci untuk mengenkripsi sumber daya ephemeris terikat pada ARN satelit tertentu. 

"encryptionContext": {
    "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
    "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
}
catatan

Hibah kunci digunakan kembali untuk pasangan kunci-satelit yang sama.

Menggunakan konteks enkripsi untuk pemantauan

Saat Anda menggunakan kunci terkelola pelanggan simetris untuk mengenkripsi ephemerides Anda, Anda juga dapat menggunakan konteks enkripsi dalam catatan audit dan log untuk mengidentifikasi bagaimana kunci yang dikelola pelanggan digunakan. Konteks enkripsi juga muncul di log yang dihasilkan oleh AWS CloudTrail atau Amazon CloudWatch Logs.

Menggunakan konteks enkripsi untuk mengontrol akses ke kunci terkelola pelanggan Anda

Anda dapat menggunakan konteks enkripsi dalam kebijakan utama dan kebijakan IAM conditions untuk mengontrol akses ke kunci terkelola pelanggan simetris Anda. Anda juga dapat menggunakan kendala konteks enkripsi dalam hibah.

AWS Ground Station menggunakan batasan konteks enkripsi dalam hibah untuk mengontrol akses ke kunci yang dikelola pelanggan di akun atau wilayah Anda. Batasan hibah mengharuskan operasi yang diizinkan oleh hibah menggunakan konteks enkripsi yang ditentukan.

Berikut ini adalah contoh pernyataan kebijakan kunci untuk memberikan akses ke kunci yang dikelola pelanggan untuk konteks enkripsi tertentu. Kondisi dalam pernyataan kebijakan ini mengharuskan hibah memiliki batasan konteks enkripsi yang menentukan konteks enkripsi.

Contoh berikut menunjukkan kebijakan kunci untuk data ephemeris yang terikat ke satelit:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow AWS Ground Station to Describe key",
            "Effect": "Allow",
            "Principal": {
                "Service": "groundstation.us-east-1.amazonaws.com"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "Allow AWS Ground Station to Create Grant on key",
            "Effect": "Allow",
            "Principal": {
                "Service": "groundstation.us-east-1.amazonaws.com"
            },
            "Action": "kms:CreateGrant",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:groundstation:arn": "arn:aws:groundstation::123456789012:satellite/satellite-id"
                }
            }
        }
    ]
}

Memantau kunci enkripsi Anda untuk ephemeris

Saat Anda menggunakan kunci yang dikelola AWS Key Management Service pelanggan dengan sumber daya ephemeris, Anda dapat menggunakan atau CloudWatch log AWS CloudTrailAmazon untuk melacak permintaan yang AWS Ground Station dikirim. AWS KMS Contoh berikut adalah CloudTrail peristiwa untuk CreateGrant,, Dekripsi GenerateDataKey, dan DescribeKeyuntuk memantau AWS KMS operasi yang dipanggil oleh AWS Ground Station untuk mengakses data yang dienkripsi oleh kunci yang dikelola pelanggan Anda.

CreateGrant

Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya ephemeris Anda, AWS Ground Station kirimkan CreateGrantpermintaan atas nama Anda untuk mengakses AWS KMS kunci di akun Anda. AWS Hibah AWS Ground Station yang dibuat khusus untuk sumber daya yang terkait dengan kunci yang dikelola AWS KMS pelanggan. Selain itu, AWS Ground Station gunakan RetireGrantoperasi untuk menghapus hibah saat Anda menghapus sumber daya.

Contoh peristiwa berikut mencatat CreateGrantoperasi untuk ephemeris: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
        "accountId": "111122223333",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-02-22T22:22:22Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "operations": [
            "GenerateDataKeyWithoutPlaintext",
            "Decrypt",
            "Encrypt"
        ],
        "constraints": {
            "encryptionContextSubset": {
                "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE"
            }
        },
        "granteePrincipal": "groundstation.us-west-2.amazonaws.com",
        "retiringPrincipal": "groundstation.us-west-2.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
DescribeKey

Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya ephemeris Anda, AWS Ground Station kirimkan DescribeKeypermintaan atas nama Anda untuk memvalidasi bahwa kunci yang diminta ada di akun Anda.

Contoh peristiwa berikut mencatat DescribeKeyoperasi: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:sts::111122223333:assumed-role/User/Role",
        "accountId": "111122223333",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Role",
                "accountId": "111122223333",
                "userName": "User"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-02-22T22:22:22Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
GenerateDataKey

Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya ephemeris Anda, AWS Ground Station kirimkan GenerateDataKeypermintaan untuk menghasilkan kunci data yang dapat digunakan untuk mengenkripsi data Anda.

Contoh peristiwa berikut mencatat GenerateDataKeyoperasi untuk ephemeris: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
            "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}
Decrypt

Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya ephemeris Anda, AWS Ground Station gunakan operasi Dekripsi untuk mendekripsi ephemeris yang disediakan jika sudah dienkripsi dengan kunci terkelola pelanggan yang sama. Misalnya jika ephemeris sedang diunggah dari bucket S3 dan dienkripsi dalam ember itu dengan kunci yang diberikan.

Contoh peristiwa berikut mencatat operasi Dekripsi untuk ephemeris: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "encryptionContext": {
            "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
            "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}