翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# の保管中のデータ暗号化 AWS Ground Station
AWS Ground Station はデフォルトで暗号化を提供し、 AWS 所有の暗号化キーを使用して保管中の機密データを保護します。
+ *AWS 所有キー* - デフォルトでは、これらのキー AWS Ground Station を使用して、個人が直接識別可能なデータとエフェメリスを自動的に暗号化します。 AWS所有キーを表示、管理、または使用したり、その使用を監査したりすることはできません。ただし、データを暗号化するキーを保護するためにアクションを実行したりプログラムを変更したりする必要はありません。詳細については、「 [AWS Key Management Service デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)」の[AWS「 所有キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)」を参照してください。
保管中のデータをデフォルトで暗号化することで、機密データの保護におけるオーバーヘッドと複雑な作業を減らすのに役立ちます。同時に、セキュリティを重視したアプリケーションを構築して、暗号化のコンプライアンスと規制の厳格な要件を満たすことができます。
AWS Ground Station は、すべての機密性の高い保管時のデータに対して暗号化を適用しますが、エフェメリスなどの一部の AWS Ground Station リソースでは、デフォルトのマネージドキーの代わりにカスタマー AWS マネージドキーを使用することを選択できます。
+ *カスタマーマネージドキー* -- 既存の AWS 所有暗号化の代わりに作成、所有、管理する対称カスタマーマネージドキーの使用 AWS Ground Station をサポートします。この暗号化層はユーザーが完全に制御できるため、次のようなタスクを実行できます。
+ キーポリシーの策定と維持
+ IAM ポリシーとグラントの策定と維持
+ キーポリシーの有効化と無効化
+ キー暗号化マテリアルのローテーション
+ タグを追加する
+ キーエイリアスの作成
+ キー削除のスケジュール設定
詳細については、「[AWS Key Management Service デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)」の「[カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)」を参照してください。
次の表は、 がカスタマーマネージドキーの使用 AWS Ground Station をサポートしているリソースをまとめたものです。
| データ型 | AWS 所有キーの暗号化 | カスタマーマネージドキーの暗号化 (オプション) |
| --- | --- | --- |
| 衛星の軌跡の計算に使用されるエフェメリスデータ | 有効 | 有効 |
| アンテナのコマンドに使用される方位高度エフェメリス | 有効 | 有効 |
**注記**
AWS Ground Station は、 を使用して保管時の暗号化を自動的に有効に AWS 所有のキー し、個人を特定できるデータを無償で保護します。ただし、カスタマーマネージドキーの使用には AWS KMS 料金が適用されます。料金の詳細については、「[AWS Key Management Service 料金](https://aws.amazon.com/kms/pricing/)」を参照してください。
詳細については AWS KMS、「 [AWS Key Management Service デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/)」を参照してください。
各リソースタイプに固有の情報については、以下を参照してください。
+ [TLE および OEM エフェメリスデータの保管時の暗号化](security.encryption-at-rest-tle-oem.md)
+ [方位高度エフェメリスの保管時の暗号化](security.encryption-at-rest-azimuth-elevation.md)
## カスタマーマネージドキーを作成する
対称カスタマーマネージドキーは AWS マネジメントコンソール、、または AWS KMS APIs を使用して作成できます。
### 対称カスタマーマネージドキーを作成するには
「 [AWS Key Management Service デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」の「対称カスタマーマネージドキーの作成」の手順に従います。
### キーポリシーの概要
キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。キーポリシーは、カスタマーマネージドキーの作成時に指定できます。詳細については、「 AWS Key Management Service デベロッパーガイド」の[「カスタマーマネージドキーへのアクセスの管理](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)」を参照してください。
AWS Ground Station リソースでカスタマーマネージドキーを使用するには、 AWS Ground Station サービスに適切なアクセス許可を付与するようにキーポリシーを設定する必要があります。特定のアクセス許可とポリシー設定は、暗号化するリソースのタイプによって異なります。
+ *TLE および OEM エフェメリスデータ* - 特定のキーポリシーの要件と例[TLE および OEM エフェメリスデータの保管時の暗号化](security.encryption-at-rest-tle-oem.md)については、「」を参照してください。
+ *方位標高エフェメリスデータ* - 特定のキーポリシーの要件と例[方位高度エフェメリスの保管時の暗号化](security.encryption-at-rest-azimuth-elevation.md)については、「」を参照してください。
**注記**
キーポリシーの設定はエフェメリスタイプによって異なります。TLE および OEM エフェメリスデータはキーアクセスに許可を使用し、アジマス昇格エフェメリスは直接キーポリシー許可を使用します。暗号化する特定のリソースタイプに従ってキーポリシーを設定してください。
[ ポリシーでのアクセス許可の指定とキーアクセスのトラブルシューティングの詳細については、](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#overview-policy-elements)「 AWS Key Management Service デベロッパーガイド」を参照してください。 [https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam)
## のカスタマーマネージドキーの指定 AWS Ground Station
カスタマーマネージドキーを指定して、次のリソースを暗号化できます。
+ エフェメリス (TLE、OEM、方位高度)
リソースを作成するときに *kmsKeyArn* を提供することでデータキーを指定できます。
+ *kmsKeyArn* - AWS KMS カスタマーマネージド[キーのキー識別子](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id)
## AWS Ground Station 暗号化コンテキスト
[暗号化コンテキスト](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html)とは、データに関する追加のコンテキスト情報を含むために、使用する (オプションの) キーと値のペアのセットです。 AWS KMS は、暗号化コンテキストを追加の認証済みデータとして使用し、暗号化の認証をサポートします。データを暗号化するリクエストに暗号化コンテキストを含めると、 は暗号化コンテキストを暗号化されたデータに AWS KMS バインドします。データを復号化するには、そのリクエストに (暗号化時と) 同じ暗号化コンテキストを含めます。
AWS Ground Station は、暗号化されるリソースに応じて異なる暗号化コンテキストを使用し、作成されたキー許可ごとに特定の暗号化コンテキストを指定します。
リソース固有の暗号化コンテキストの詳細については、以下を参照してください。
+ [TLE および OEM エフェメリスデータの保管時の暗号化](security.encryption-at-rest-tle-oem.md)
+ [方位高度エフェメリスの保管時の暗号化](security.encryption-at-rest-azimuth-elevation.md)