Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia a riposo per le effemeridi di elevazione dell'azimut
Requisiti politici chiave per le effemeridi di elevazione dell'azimut
Per utilizzare una chiave gestita dal cliente con dati sulle effemeridi di elevazione dell'azimut, la politica chiave deve concedere le seguenti autorizzazioni al servizio. AWS Ground Station A differenza dei dati sulle effemeridi TLE e OEM che utilizzano concessioni, le effemeridi di elevazione azimutale utilizzano autorizzazioni basate su criteri a chiave diretta per le operazioni di crittografia. Si tratta di un metodo più semplice per gestire le autorizzazioni e utilizzare le chiavi.
-
kms:GenerateDataKey- Genera chiavi di dati per crittografare i dati sulle effemeridi di elevazione azimutale. -
kms:Decrypt- Decripta le chiavi dati crittografate quando si accede ai dati sulle effemeridi di elevazione dell'azimut.
Esempio di politica chiave che concede l'accesso a una chiave gestita dal cliente AWS Ground Station
Nota
Con le effemeridi di elevazione azimutale, è necessario configurare queste autorizzazioni direttamente nella policy chiave. Al responsabile del AWS Ground Station
servizio regionale (ad esempiogroundstation.) devono essere concesse queste autorizzazioni nelle dichiarazioni politiche chiave. Senza queste istruzioni aggiunte alla policy chiave non AWS Ground Station sarà possibile memorizzare o accedere alle effemeridi di elevazione azimutale personalizzate. region.amazonaws.com
Autorizzazioni utente IAM per la creazione di effemeridi di elevazione azimutale con chiavi gestite dal cliente
Quando AWS Ground Station utilizza una chiave gestita dal cliente nelle operazioni crittografiche, agisce per conto dell'utente che sta creando la risorsa sulle effemeridi di elevazione dell'azimut.
Per creare una risorsa di effemeridi di elevazione azimutale utilizzando una chiave gestita dal cliente, un utente deve disporre delle autorizzazioni per eseguire le seguenti operazioni sulla chiave gestita dal cliente:
-
kms:GenerateDataKey- Consente all'utente di generare chiavi di dati per crittografare i dati sulle effemeridi di elevazione azimutale. -
kms:Decrypt- Consente all'utente di decrittografare le chiavi di dati quando accede ai dati delle effemeridi di elevazione dell'azimut. -
kms:DescribeKey- Consente all'utente di visualizzare i dettagli delle chiavi gestite dal cliente per convalidare la chiave.
Puoi specificare queste autorizzazioni necessarie in una policy chiave o in una policy IAM se la policy chiave lo consente. Queste autorizzazioni garantiscono che gli utenti possano autorizzarsi AWS Ground Station a utilizzare la chiave gestita dal cliente per le operazioni di crittografia per loro conto.
Come AWS Ground Station utilizza le politiche chiave per le effemeridi di elevazione dell'azimut
Quando fornisci dati sulle effemeridi di elevazione dell'azimut con una chiave gestita dal cliente, utilizza politiche chiave per accedere alla tua chiave di crittografia. AWS Ground Station Le autorizzazioni vengono concesse direttamente tramite dichiarazioni politiche chiave anziché AWS Ground Station tramite concessioni come nel caso dei dati sulle effemeridi TLE o OEM.
Se rimuovi AWS Ground Station l'accesso alla chiave gestita dal cliente, non AWS Ground Station sarai in grado di accedere a nessuno dei dati crittografati da quella chiave, il che influirà sulle operazioni che dipendono da quei dati. Ad esempio, se rimuovi le autorizzazioni chiave relative alle effemeridi di elevazione azimutale attualmente utilizzate per un contatto, non AWS Ground Station sarà possibile utilizzare i dati di elevazione azimutale forniti per comandare l'antenna durante il contatto. Ciò farà sì che il contatto finisca in uno stato NON RIUSCITO.
Contesto di crittografia delle effemeridi di elevazione azimutale
Quando AWS Ground Station utilizza la AWS KMS chiave per crittografare i dati sulle effemeridi di elevazione azimutale, il servizio specifica un contesto di crittografia. Il contesto di crittografia è costituito da dati autenticati aggiuntivi (AAD) utilizzati per garantire l'integrità dei dati. AWS KMS Quando viene specificato un contesto di crittografia per un'operazione di crittografia, il servizio deve specificare lo stesso contesto di crittografia per l'operazione di decrittografia. In caso contrario, la decrittografia ha esito negativo. Il contesto di crittografia viene inoltre scritto CloudTrail nei log per aiutarti a capire perché è stata utilizzata una determinata AWS KMS chiave. CloudTrail I registri possono contenere molte voci che descrivono l'uso di una AWS KMS chiave, ma il contesto di crittografia in ogni voce di registro può aiutarti a determinare il motivo di quel particolare utilizzo.
AWS Ground Station specifica il seguente contesto di crittografia quando esegue operazioni crittografiche con la chiave gestita dal cliente su un'effemeride di elevazione azimutale:
{ "encryptionContext": { "aws:groundstation:ground-station-id": "Ohio 1", "aws:groundstation:arn": "arn:aws:groundstation:us-east-2:111122223333:ephemeris/00a770b0-082d-45a4-80ed-SAMPLE", "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/00a770b0-082d-45a4-80ed-SAMPLE/raw" } }
Il contesto di crittografia contiene:
aws:groundstation:ground-station-id-
Il nome della stazione terrestre associata alle effemeridi di elevazione azimutale.
- aws: stazione di terra: arn
-
L'ARN della risorsa effemeridi.
- aws: s3: arn
-
L'ARN delle effemeridi archiviato in Amazon S3.
Utilizzo del contesto di crittografia per controllare l’accesso alla chiave gestita dal cliente
Puoi utilizzare le istruzioni condizionali IAM per controllare l' AWS Ground Station accesso alla chiave gestita dal cliente. L'aggiunta di una dichiarazione di condizione kms:Decrypt alle azioni kms:GenerateDataKey and limita le stazioni di terra a che AWS KMS possono essere utilizzate.
Di seguito sono riportati alcuni esempi di dichiarazioni politiche chiave per concedere AWS Ground Station l'accesso alla chiave gestita dal cliente in una regione specifica per una stazione di terra specifica. La condizione contenuta in questa dichiarazione di politica richiede che tutti crittografino e decrittografino l'accesso alla chiave che specifica un contesto di crittografia che corrisponda alla condizione della politica di chiave.
Esempio di politica chiave che concede AWS Ground Station l'accesso a una chiave gestita dal cliente per una stazione di terra specifica
Esempio di politica chiave che garantisce AWS Ground Station l'accesso a una chiave gestita dal cliente per più stazioni terrestri
Monitoraggio delle chiavi di crittografia per le effemeridi di elevazione azimutale
Quando utilizzi una chiave gestita AWS KMS dal cliente con le tue risorse sulle effemeridi di elevazione azimutale, puoi utilizzare o i log per tenere traccia delle richieste inviate a. CloudTrail CloudWatch AWS Ground Station AWS KMS Gli esempi seguenti sono CloudTrail Events for GenerateDataKeyand Decrypt per monitorare AWS KMS le operazioni richiamate per accedere AWS Ground Station ai dati crittografati dalla chiave gestita dal cliente.
