Utilizzo del contesto di crittografia - SDK Amazon Chime
Utilizzo del contesto di crittografia per controllare l'accesso alla chiave

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo del contesto di crittografia

Un contesto di crittografia è un insieme opzionale di coppie chiave-valore che contengono informazioni contestuali aggiuntive sui dati. AWS KMS utilizza il contesto di crittografia per supportare la crittografia autenticata.

Quando includi un contesto di crittografia in una richiesta di crittografia, AWS KMS associa il contesto di crittografia ai dati crittografati. Per decrittografare i dati, nella richiesta deve essere incluso lo stesso contesto di crittografia.

L'analisi vocale utilizza lo stesso contesto di crittografia in tutte le operazioni crittografiche AWS KMS, in cui la chiave è aws:chime:voice-profile-domain:arn e il valore è la risorsa Amazon Resource Name (ARN).

L'esempio seguente mostra un contesto di crittografia tipico.

"encryptionContext": {
    "aws:chime:voice-profile-domain:arn": "arn:aws:chime:us-west-2:111122223333:voice-profile-domain/sample-domain-id"
}

È inoltre possibile utilizzare il contesto di crittografia nei record e nei log di audit per identificare come viene utilizzata la chiave gestita dal cliente. Il contesto di crittografia viene visualizzato anche nei log generati da CloudTrail or CloudWatch Logs.

Utilizzo del contesto di crittografia per controllare l'accesso alla chiave

È possibile utilizzare il contesto di crittografia nelle policy delle chiavi e nelle policy IAM come condizioni per controllare l’accesso alla chiave simmetrica gestita dal cliente. È possibile utilizzare i vincoli del contesto di crittografia in una concessione.

L'analisi vocale utilizza un vincolo di contesto di crittografia nelle concessioni per controllare l'accesso alle chiavi gestite dal cliente nell'account o nella regione. Il vincolo della concessione richiede che le operazioni consentite dalla concessione utilizzino il contesto di crittografia specificato.

L'esempio seguente di dichiarazioni politiche chiave concedono l'accesso a una chiave gestita dal cliente per un contesto di crittografia specifico. La condizione nella dichiarazione politica richiede che le concessioni abbiano un vincolo di contesto di crittografia che specifichi il contesto di crittografia.

{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action": "kms:DescribeKey",
    "Resource": "*"
},
{
    "Sid": "Enable CreateGrant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action": "kms:CreateGrant",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:chime:voice-profile-domain:arn": "arn:aws:chime:us-west-2:111122223333:voice-profile-domain/sample-domain-id"
        }
    }
}