Crittografia inattiva per i dati effemeridi TLE e OEM - AWS Ground Station
Requisiti politici chiave per le effemeridi TLE e OEMAutorizzazioni utente IAM per la creazione di effemeridi con chiavi gestite dal clienteCome AWS Ground Station utilizza le sovvenzioni per le effemeridi AWS KMSContesto di crittografia EphemerisUtilizzo del contesto di crittografia per il monitoraggioUtilizzo del contesto di crittografia per controllare l'accesso alla chiave gestita dal clienteMonitoraggio delle chiavi di crittografia per verificare la presenza di effemeridi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia inattiva per i dati effemeridi TLE e OEM

Requisiti politici chiave per le effemeridi TLE e OEM

Per utilizzare una chiave gestita dal cliente con dati sulle effemeridi, la policy chiave deve concedere le seguenti autorizzazioni al servizio: AWS Ground Station

  • kms:CreateGrant- Crea una concessione di accesso su una chiave gestita dal cliente. Concede AWS Ground Station l'accesso per eseguire operazioni di concessione sulla chiave gestita dal cliente per la lettura e l'archiviazione di dati crittografati.

  • kms:DescribeKey- Fornisce i dettagli della chiave gestita dal cliente AWS Ground Station per consentire la convalida della chiave prima di tentare di utilizzare la chiave fornita.

Per ulteriori informazioni sull'utilizzo di Grants, consulta la AWS Key Management Service Guida per gli sviluppatori.

Autorizzazioni utente IAM per la creazione di effemeridi con chiavi gestite dal cliente

Quando AWS Ground Station utilizza una chiave gestita dal cliente nelle operazioni crittografiche, agisce per conto dell'utente che crea la risorsa effemeridi.

Per creare una risorsa effemeridi utilizzando una chiave gestita dal cliente, un utente deve disporre delle autorizzazioni per eseguire le seguenti operazioni sulla chiave gestita dal cliente:

  • kms:CreateGrant- Consente all'utente di creare concessioni sulla chiave gestita dal cliente per conto di. AWS Ground Station

  • kms:DescribeKey- Consente all'utente di visualizzare i dettagli della chiave gestita dal cliente per convalidare la chiave.

Puoi specificare queste autorizzazioni necessarie in una policy chiave o in una policy IAM se la policy chiave lo consente. Queste autorizzazioni garantiscono che gli utenti possano autorizzarsi AWS Ground Station a utilizzare la chiave gestita dal cliente per le operazioni di crittografia per loro conto.

Come AWS Ground Station utilizza le sovvenzioni per le effemeridi AWS KMS

AWS Ground Station richiede una concessione chiave per utilizzare la chiave gestita dal cliente.

Quando carichi un'effemeride crittografata con una chiave gestita dal cliente, AWS Ground Station crea una concessione di chiave per tuo conto inviando una richiesta a. CreateGrant AWS KMS Le sovvenzioni AWS KMS vengono utilizzate per AWS Ground Station consentire l'accesso a una AWS KMS chiave nel tuo account.

Questo permette di AWS Ground Station fare quanto segue:

  • Chiama GenerateDataKey per generare una chiave dati crittografata e archiviarla, poiché la chiave dati non viene utilizzata immediatamente per crittografare.

  • Chiama Decrypt per utilizzare la chiave dati crittografata memorizzata per accedere ai dati crittografati.

  • Chiama Encrypt per utilizzare la chiave dati per crittografare i dati.

  • Configurare un principale ritirato per consentire al servizio di RetireGrant.

Puoi revocare l'accesso alla concessione in qualsiasi momento. Se lo fai, non AWS Ground Station sarai in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influirà sulle operazioni che dipendono da tali dati. Ad esempio, se rimuovi una chiave concessa da un'effemeride attualmente in uso per un contatto, non AWS Ground Station sarà possibile utilizzare i dati sulle effemeridi forniti per puntare l'antenna durante il contatto. Ciò farà sì che il contatto finisca in uno stato NON RIUSCITO.

Contesto di crittografia Ephemeris

Le principali concessioni per la crittografia delle risorse effemeridi sono vincolate a un ARN satellitare specifico. 

"encryptionContext": {
    "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
    "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
}
Nota

Le concessioni chiave vengono riutilizzate per la stessa coppia chiave-satellite.

Utilizzo del contesto di crittografia per il monitoraggio

Quando si utilizza una chiave simmetrica gestita dal cliente per crittografare le effemeridi, è inoltre possibile utilizzare il contesto di crittografia nei record e nei registri di controllo per identificare come viene utilizzata la chiave gestita dal cliente. Il contesto di crittografia appare anche nei log generati da AWS CloudTrail o Amazon CloudWatch Logs.

Utilizzo del contesto di crittografia per controllare l'accesso alla chiave gestita dal cliente

È possibile utilizzare il contesto di crittografia nelle policy delle chiavi e nelle policy IAM come conditions per controllare l'accesso alla chiave simmetrica gestita dal cliente. È possibile utilizzare i vincoli del contesto di crittografia in una concessione.

AWS Ground Station utilizza un vincolo di contesto di crittografia nelle concessioni per controllare l'accesso alla chiave gestita dal cliente nel tuo account o nella tua regione. Il vincolo della concessione richiede che le operazioni consentite dalla concessione utilizzino il contesto di crittografia specificato.

Di seguito sono riportati alcuni esempi di istruzioni delle policy della chiave per concedere l’accesso a una chiave gestita dal cliente per un contesto di crittografia specifico. Questa istruzione della policy impone come condizione che le concessioni abbiano un vincolo che specifica il contesto di crittografia.

L'esempio seguente mostra una politica chiave per i dati sulle effemeridi associati a un satellite:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow AWS Ground Station to Describe key",
            "Effect": "Allow",
            "Principal": {
                "Service": "groundstation.us-east-1.amazonaws.com"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "Allow AWS Ground Station to Create Grant on key",
            "Effect": "Allow",
            "Principal": {
                "Service": "groundstation.us-east-1.amazonaws.com"
            },
            "Action": "kms:CreateGrant",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:groundstation:arn": "arn:aws:groundstation::123456789012:satellite/satellite-id"
                }
            }
        }
    ]
}

Monitoraggio delle chiavi di crittografia per verificare la presenza di effemeridi

Quando utilizzi una chiave gestita AWS Key Management Service dal cliente con le tue risorse effemeridi, puoi utilizzare CloudWatch i log di AWS CloudTrailAmazon per tenere traccia delle richieste inviate a. AWS Ground Station AWS KMS Gli esempi seguenti sono CloudTrail eventi per CreateGrantGenerateDataKey, Decrypt e per monitorare AWS KMS le operazioni richieste per accedere DescribeKey AWS Ground Station ai dati crittografati dalla chiave gestita dal cliente.

CreateGrant

Quando utilizzi una chiave gestita AWS KMS dal cliente per crittografare le tue risorse effemeridi, AWS Ground Station invia una CreateGrantrichiesta per tuo conto per accedere alla chiave del tuo account. AWS KMS AWS La concessione che AWS Ground Station crea è specifica per la risorsa associata alla chiave gestita dal AWS KMS cliente. Inoltre, AWS Ground Station utilizza l'RetireGrantoperazione per rimuovere una concessione quando si elimina una risorsa.

L'evento di esempio seguente registra l'CreateGrantoperazione per un'effemeride: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
        "accountId": "111122223333",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-02-22T22:22:22Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "operations": [
            "GenerateDataKeyWithoutPlaintext",
            "Decrypt",
            "Encrypt"
        ],
        "constraints": {
            "encryptionContextSubset": {
                "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE"
            }
        },
        "granteePrincipal": "groundstation.us-west-2.amazonaws.com",
        "retiringPrincipal": "groundstation.us-west-2.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
DescribeKey

Quando utilizzi una chiave gestita AWS KMS dal cliente per crittografare le tue risorse di effemeridi, AWS Ground Station invia una DescribeKeyrichiesta per tuo conto per verificare che la chiave richiesta esista nel tuo account.

L’evento di esempio seguente registra l’operazione DescribeKey: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:sts::111122223333:assumed-role/User/Role",
        "accountId": "111122223333",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Role",
                "accountId": "111122223333",
                "userName": "User"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-02-22T22:22:22Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
GenerateDataKey

Quando utilizzi una chiave gestita AWS KMS dal cliente per crittografare le tue risorse di effemeridi, AWS Ground Station invia una GenerateDataKeyrichiesta a per generare una chiave dati con cui crittografare i tuoi dati.

L'evento di esempio seguente registra l'operazione per un'effemeride GenerateDataKey: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
            "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}
Decrypt

Quando si utilizza una chiave gestita AWS KMS dal cliente per crittografare le risorse di effemeridi, AWS Ground Station utilizza l'operazione Decrypt per decrittografare le effemeridi fornite se sono già crittografate con la stessa chiave gestita dal cliente. Ad esempio, se un'effemeride viene caricata da un bucket S3 e viene crittografata in quel bucket con una determinata chiave.

L'evento di esempio seguente registra l'operazione Decrypt per un'effemeride: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "encryptionContext": {
            "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
            "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}