方位高度エフェメリスの保管時の暗号化 - AWS Ground Station
方位高度エフェメリスの主要なポリシー要件カスタマーマネージドキーを使用して方位高度エフェメリスを作成するための IAM ユーザーアクセス許可が方位高度エフェメリスのキーポリシー AWS Ground Station を使用する方法方位高度エフェメリス暗号化コンテキスト暗号化コンテキストを使用してカスタマーマネージドキーへのアクセスを制御する頂点標高エフェメリスの暗号化キーのモニタリング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

方位高度エフェメリスの保管時の暗号化

方位高度エフェメリスの主要なポリシー要件

方位標高エフェメリスデータでカスタマーマネージドキーを使用するには、キーポリシーが AWS Ground Station サービスに次のアクセス許可を付与する必要があります。許可を使用する TLE および OEM エフェメリスデータとは異なり、方位高度エフェメリスは暗号化オペレーションにダイレクトキーポリシーアクセス許可を使用します。これは、 のアクセス許可を管理し、キーを使用するためのより簡単な方法です。

  • kms:GenerateDataKey - 方位角エフェメリスデータを暗号化するためのデータキーを生成します。

  • kms:Decrypt - 方位角エフェメリスデータにアクセスするときに、暗号化されたデータキーを復号します。

カスタマーマネージドキー AWS Ground Station へのアクセスを許可するキーポリシーの例

注記

方位高度エフェメリスでは、キーポリシーでこれらのアクセス許可を直接設定する必要があります。リージョン AWS Ground Station サービスプリンシパル ( などgroundstation.region.amazonaws.com) には、キーポリシーステートメントでこれらのアクセス許可を付与する必要があります。これらのステートメントをキーポリシーに追加しないと AWS Ground Station 、カスタム方位高度エフェメリスを保存またはアクセスできなくなります。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow AWS Ground Station to Describe key",
            "Effect": "Allow",
            "Principal": {
                "Service": "groundstation.us-east-1.amazonaws.com"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
            "Effect": "Allow",
            "Principal": {
                "Service": "groundstation.us-east-1.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}

カスタマーマネージドキーを使用して方位高度エフェメリスを作成するための IAM ユーザーアクセス許可

は、暗号化オペレーションでカスタマーマネージドキー AWS Ground Station を使用する場合、方位角エフェメリスリソースを作成するユーザーに代わって動作します。

カスタマーマネージドキーを使用して方位高度エフェメリスリソースを作成するには、ユーザーはカスタマーマネージドキーで次のオペレーションを呼び出すアクセス許可を持っている必要があります。

  • kms:GenerateDataKey - ユーザーが方位高度エフェメリスデータを暗号化するためのデータキーを生成できるようにします。

  • kms:Decrypt - 方位角エフェメリスデータにアクセスするときに、ユーザーがデータキーを復号化できるようにします。

  • kms:DescribeKey - ユーザーがカスタマーマネージドキーの詳細を表示してキーを検証できるようにします。

これらの必要なアクセス許可は、キーポリシーか、キーポリシーで許可されている場合は IAM ポリシーで指定できます。これらのアクセス許可により、ユーザーはユーザーに代わって暗号化オペレーションにカスタマーマネージドキーを使用すること AWS Ground Station を に許可できます。

が方位高度エフェメリスのキーポリシー AWS Ground Station を使用する方法

カスタマーマネージドキーを使用して方位角エフェメリスデータを提供すると、 はキーポリシー AWS Ground Station を使用して暗号化キーにアクセスします。アクセス許可は、TLE または OEM エフェメリスデータと同様に許可ではなく、 AWS Ground Station キーポリシーステートメントを通じて に直接付与されます。

カスタマーマネージドキー AWS Ground Stationへのアクセスを削除した場合、そのキーによって暗号化されたデータにはアクセス AWS Ground Station できず、そのデータに依存するオペレーションに影響します。たとえば、コンタクトに現在使用されている方位標高エフェメリスのキーポリシー許可を削除すると、 AWS Ground Station はコンタクト中にアンテナをコマンドするために提供された方位標高データを使用できません。これにより、コンタクトは FAILED 状態で終了します。

方位高度エフェメリス暗号化コンテキスト

が AWS KMS キー AWS Ground Station を使用して方位高度エフェメリスデータを暗号化する場合、サービスは暗号化コンテキストを指定します。暗号化コンテキストは、データの整合性を確保するために が AWS KMS 使用する追加の認証データ (AAD) です。暗号化オペレーションで暗号化コンテキストを指定すると、サービスは復号オペレーションでも同じ暗号化コンテキストを指定する必要があります。そうしないと、復号は失敗します。暗号化コンテキストは CloudTrail ログにも書き込まれ、特定の AWS KMS キーが使用された理由を理解するのに役立ちます。CloudTrail ログには、 AWS KMS キーの使用を説明するエントリが多数含まれている場合がありますが、各ログエントリの暗号化コンテキストは、その特定の使用理由を判断するのに役立ちます。

AWS Ground Station は、方位角エフェメリスでカスタマーマネージドキーを使用して暗号化オペレーションを実行するときに、次の暗号化コンテキストを指定します。

{
    "encryptionContext": {
        "aws:groundstation:ground-station-id": "Ohio 1",
        "aws:groundstation:arn": "arn:aws:groundstation:us-east-2:111122223333:ephemeris/00a770b0-082d-45a4-80ed-SAMPLE",
        "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/00a770b0-082d-45a4-80ed-SAMPLE/raw"
    }
}

暗号化コンテキストには以下が含まれます。

aws:groundstation:ground-station-id

方位高度エフェメリスに関連付けられた地上局の名前。

aws:groundstation:arn

エフェメリスリソースの ARN。

aws:s3:arn

Amazon S3 に保存されているエフェメリスの ARN。

暗号化コンテキストを使用してカスタマーマネージドキーへのアクセスを制御する

IAM 条件ステートメントを使用して、カスタマーマネージドキー AWS Ground Station へのアクセスを制御できます。および kms:Decryptアクションに条件ステートメントを追加するkms:GenerateDataKeyと、 AWS KMS を使用できる地上局が制限されます。

以下は、特定の地上局の特定のリージョンでカスタマーマネージドキー AWS Ground Station へのアクセスを許可するためのキーポリシーステートメントの例です。このポリシーステートメントの条件では、キーポリシーの条件に一致する暗号化コンテキストを指定するキーへのすべての暗号化および復号アクセスが必要です。

特定の地上局のカスタマーマネージドキー AWS Ground Station へのアクセスを許可するキーポリシーの例

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow AWS Ground Station to Describe key",
            "Effect": "Allow",
            "Principal": {
                "Service": "groundstation.us-east-1.amazonaws.com"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
            "Effect": "Allow",
            "Principal": {
                "Service": "groundstation.us-east-1.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:groundstation:ground-station-id": "specific-ground-station-name"
                }
            }
        }
    ]
}

複数の地上局のカスタマーマネージドキー AWS Ground Station へのアクセスを許可するキーポリシーの例

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow AWS Ground Station to Describe key",
            "Effect": "Allow",
            "Principal": {
                "Service": "groundstation.us-east-1.amazonaws.com"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
            "Effect": "Allow",
            "Principal": {
                "Service": "groundstation.us-east-1.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:aws:groundstation:ground-station-id": [
                        "specific-ground-station-name-1",
                        "specific-ground-station-name-2"
                    ]
                }
            }
        }
    ]
}

頂点標高エフェメリスの暗号化キーのモニタリング

方位高度エフェメリスリソースで AWS KMS カスタマーマネージドキーを使用する場合、CloudTrail または CloudWatch ログを使用して が AWS Ground Station 送信するリクエストを追跡できます AWS KMS。次の例は、GenerateDataKeyDecrypt の CloudTrail イベントで、カスタマーマネージドキーによって暗号化されたデータにアクセス AWS Ground Station するために によって呼び出されるオペレーションをモニタリング AWS KMS します。

GenerateDataKey

AWS KMS カスタマーマネージドキーを使用して方位角エフェメリスリソースを暗号化すると、 は GenerateDataKey リクエストを AWS Ground Station に送信 AWS KMS して、データを暗号化するデータキーを生成します。

次のイベント例では、方位高度エフェメリスの GenerateDataKey オペレーションを記録します。

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
        "accountId": "111122223333",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2025-08-25T14:45:48Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2025-08-25T14:52:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
            "aws:groundstation:ground-station-id": "Ohio 1",
            "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ef6f9a8f-8ef6-46a1-bdcb-123456SAMPLE",
    "eventID": "952842d4-1389-3232-b885-123456SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "8424f6b6-2280-4d1d-b9fd-0348b1546cba",
    "eventCategory": "Management"
}
Decrypt

AWS KMS カスタマーマネージドキーを使用して方位高度エフェメリスリソースを暗号化する場合、 は Decrypt オペレーション AWS Ground Station を使用して、同じカスタマーマネージドキーで既に暗号化されている場合に提供された方位高度エフェメリスデータを復号します。

次のイベント例では、方位高度エフェメリスの Decrypt オペレーションを記録します。

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
        "accountId": "111122223333",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            }
        },
        "attributes": {
            "creationDate": "2025-08-25T14:45:48Z",
            "mfaAuthenticated": "false"
        }
    },
    "invokedBy": "AWS Internal",
    "eventTime": "2025-08-25T14:54:01Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "encryptionContext": {
            "aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
            "aws:groundstation:ground-station-id": "Ohio 1",
            "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "a2f46066-49fb-461a-93cb-123456SAMPLE",
    "eventID": "e997b426-e3ad-31c7-a308-123456SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "477b568e-7f56-4f04-905c-623ff146f30d",
    "eventCategory": "Management"
}