Usando contexto de criptografia - SDK do Amazon Chime
Usando o contexto de criptografia para controlar o acesso à sua chave

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando contexto de criptografia

Um contexto de criptografia é um conjunto opcional de pares de valores-chave que contêm informações contextuais adicionais sobre os dados. AWS O KMS usa o contexto de criptografia para oferecer suporte à criptografia autenticada.

Quando você inclui um contexto de criptografia em uma solicitação de criptografia, o AWS KMS vincula o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você inclui o mesmo contexto de criptografia na solicitação.

A análise de voz usa o mesmo contexto de criptografia em todas as operações criptográficas do AWS KMS, onde a chave está aws:chime:voice-profile-domain:arn e o valor é o recurso Amazon Resource Name (ARN).

O exemplo a seguir mostra um contexto de criptografia típico.

"encryptionContext": {
    "aws:chime:voice-profile-domain:arn": "arn:aws:chime:us-west-2:111122223333:voice-profile-domain/sample-domain-id"
}

Também é possível usar o contexto de criptografia em registros e logs de auditoria para identificar como a chave gerenciada pelo cliente está sendo usada. O contexto de criptografia também aparece nos registros gerados por CloudTrail ou CloudWatch Logs.

Usando o contexto de criptografia para controlar o acesso à sua chave

Você pode usar o contexto de criptografia nas políticas de chave e políticas do IAM como condições para controlar o acesso à sua chave simétrica gerenciada pelo cliente. Você também pode usar restrições no contexto de criptografia em uma concessão.

A análise de voz usa uma restrição de contexto de criptografia nas concessões para controlar o acesso às chaves gerenciadas pelo cliente em sua conta ou região. A restrição de concessão exige que as operações permitidas pela concessão usem o contexto de criptografia especificado.

O exemplo a seguir de declarações de política de chaves concede acesso a uma chave gerenciada pelo cliente para um contexto de criptografia específico. A condição na declaração de política exige que as concessões tenham uma restrição de contexto de criptografia que especifique o contexto de criptografia.

{
    "Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action": "kms:DescribeKey",
    "Resource": "*"
},
{
    "Sid": "Enable CreateGrant",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
    },
    "Action": "kms:CreateGrant",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:chime:voice-profile-domain:arn": "arn:aws:chime:us-west-2:111122223333:voice-profile-domain/sample-domain-id"
        }
    }
}