Criptografia em repouso para efemérides de elevação de azimute - AWS Ground Station
Principais requisitos de política para efemérides de elevação de azimutePermissões de usuário do IAM para criar efemérides de elevação de azimute com chaves gerenciadas pelo clienteComo AWS Ground Station usa as principais políticas para efemérides de elevação de azimuteContexto de criptografia de efemérides de elevação de azimuteUsar o contexto de criptografia para controlar o acesso à chave gerenciada pelo clienteMonitorando suas chaves de criptografia para efemérides de elevação de azimute

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia em repouso para efemérides de elevação de azimute

Principais requisitos de política para efemérides de elevação de azimute

Para usar uma chave gerenciada pelo cliente com dados de efemérides de elevação de azimute, sua política de chaves deve conceder as seguintes permissões ao serviço. AWS Ground Station Ao contrário dos dados de efemérides TLE e OEM, que usam concessões, as efemérides de elevação de azimute usam permissões diretas de política de chave para operações de criptografia. Esse é um método mais simples de gerenciar as permissões e usar suas chaves.

  • kms:GenerateDataKey- Gera chaves de dados para criptografar seus dados de efemérides de elevação de azimute.

  • kms:Decrypt- Descriptografa as chaves de dados criptografadas ao acessar seus dados de efemérides de elevação de azimute.

Exemplo de política de chaves que concede AWS Ground Station acesso a uma chave gerenciada pelo cliente

nota

Com efemérides de elevação de azimute, você deve configurar essas permissões diretamente na política de chaves. O diretor do AWS Ground Station serviço regional (por exemplo,groundstation.region.amazonaws.com) deve receber essas permissões em suas principais declarações de política. Sem essas declarações adicionadas à política de chaves, não AWS Ground Station será possível armazenar ou acessar suas efemérides personalizadas de elevação de azimute.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow AWS Ground Station to Describe key",
            "Effect": "Allow",
            "Principal": {
                "Service": "groundstation.us-east-1.amazonaws.com"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
            "Effect": "Allow",
            "Principal": {
                "Service": "groundstation.us-east-1.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}

Permissões de usuário do IAM para criar efemérides de elevação de azimute com chaves gerenciadas pelo cliente

Quando AWS Ground Station usa uma chave gerenciada pelo cliente em operações criptográficas, ela age em nome do usuário que está criando o recurso de efemérides de elevação de azimute.

Para criar um recurso de efemérides de elevação de azimute usando uma chave gerenciada pelo cliente, o usuário deve ter permissões para chamar as seguintes operações na chave gerenciada pelo cliente:

  • kms:GenerateDataKey- Permite que o usuário gere chaves de dados para criptografar os dados de efemérides de elevação de azimute.

  • kms:Decrypt- Permite que o usuário decifre as chaves de dados ao acessar os dados de efemérides de elevação de azimute.

  • kms:DescribeKey- Permite que o usuário visualize os detalhes da chave gerenciada pelo cliente para validar a chave.

Você pode especificar essas permissões em uma política de chaves ou em uma política do IAM, se a política de chaves permitir. Essas permissões garantem que os usuários possam AWS Ground Station autorizar o uso da chave gerenciada pelo cliente para operações de criptografia em seu nome.

Como AWS Ground Station usa as principais políticas para efemérides de elevação de azimute

Quando você fornece dados de efemérides de elevação de azimute com uma chave gerenciada pelo cliente, AWS Ground Station usa políticas de chaves para acessar sua chave de criptografia. As permissões são concedidas diretamente AWS Ground Station por meio de declarações políticas importantes, e não por meio de doações, como acontece com dados de efemérides de TLE ou OEM.

Se você remover AWS Ground Station o acesso à chave gerenciada pelo cliente, AWS Ground Station não conseguirá acessar nenhum dos dados criptografados por essa chave, o que afeta as operações que dependem desses dados. Por exemplo, se você remover as principais permissões de política para efemérides de elevação de azimute atualmente em uso para um contato, não AWS Ground Station poderá usar os dados de elevação de azimute fornecidos para comandar a antena durante o contato. Isso fará com que o contato termine em um estado de FALHA.

Contexto de criptografia de efemérides de elevação de azimute

Quando AWS Ground Station usa sua AWS KMS chave para criptografar dados de efemérides de elevação de azimute, o serviço especifica um contexto de criptografia. O contexto de criptografia são dados autenticados adicionais (AAD) AWS KMS usados para garantir a integridade dos dados. Quando um contexto de criptografia é especificado para uma operação de criptografia, o serviço deve especificar esse mesmo contexto para a operação de descriptografia. Caso contrário, ocorrerá uma falha na descriptografia. O contexto de criptografia também é gravado em seus CloudTrail registros para ajudar você a entender por que uma determinada AWS KMS chave foi usada. Seus CloudTrail registros podem conter várias entradas descrevendo o uso de uma AWS KMS chave, mas o contexto de criptografia em cada entrada de registro pode ajudá-lo a determinar o motivo desse uso específico.

AWS Ground Station especifica o seguinte contexto de criptografia ao realizar operações criptográficas com sua chave gerenciada pelo cliente em uma efeméride de elevação de azimute: 

{
    "encryptionContext": {
        "aws:groundstation:ground-station-id": "Ohio 1",
        "aws:groundstation:arn": "arn:aws:groundstation:us-east-2:111122223333:ephemeris/00a770b0-082d-45a4-80ed-SAMPLE",
        "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/00a770b0-082d-45a4-80ed-SAMPLE/raw"
    }
}

O contexto de criptografia contém:

aws:groundstation:ground-station-id

O nome da estação terrestre associada às efemérides de elevação do azimute.

aws: estação terrestre: arn

O ARN do recurso de efemérides.

aws: s3: arn

O ARN das efemérides armazenadas no Amazon S3.

Usar o contexto de criptografia para controlar o acesso à chave gerenciada pelo cliente

Você pode usar declarações de condição do IAM para controlar o AWS Ground Station acesso à sua chave gerenciada pelo cliente. Adicionar uma declaração de condição kms:Decrypt às ações kms:GenerateDataKey e restringe para quais estações terrestres a AWS KMS podem ser usadas.

A seguir estão exemplos de declarações de políticas importantes para conceder AWS Ground Station acesso à sua chave gerenciada pelo cliente em uma região específica para uma estação terrestre específica. A condição nesta declaração de política exige que todos criptografem e descriptografem o acesso à chave que especifiquem um contexto de criptografia que corresponda à condição na política de chaves.

Exemplo de política de chaves que concede AWS Ground Station acesso a uma chave gerenciada pelo cliente para uma estação terrestre específica

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow AWS Ground Station to Describe key",
            "Effect": "Allow",
            "Principal": {
                "Service": "groundstation.us-east-1.amazonaws.com"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
            "Effect": "Allow",
            "Principal": {
                "Service": "groundstation.us-east-1.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:aws:groundstation:ground-station-id": "specific-ground-station-name"
                }
            }
        }
    ]
}

Exemplo de política de chaves que concede AWS Ground Station acesso a uma chave gerenciada pelo cliente para várias estações terrestres

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow AWS Ground Station to Describe key",
            "Effect": "Allow",
            "Principal": {
                "Service": "groundstation.us-east-1.amazonaws.com"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        },
        {
            "Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
            "Effect": "Allow",
            "Principal": {
                "Service": "groundstation.us-east-1.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:EncryptionContext:aws:groundstation:ground-station-id": [
                        "specific-ground-station-name-1",
                        "specific-ground-station-name-2"
                    ]
                }
            }
        }
    ]
}

Monitorando suas chaves de criptografia para efemérides de elevação de azimute

Ao usar uma chave gerenciada pelo AWS KMS cliente com seus recursos de efemérides de elevação de azimute, você pode usar CloudTrailou CloudWatch registrar para rastrear as solicitações enviadas para. AWS Ground Station AWS KMS Os exemplos a seguir são CloudTrail eventos para GenerateDataKeye Decrypt para monitorar AWS KMS operações chamadas por AWS Ground Station para acessar dados criptografados pela chave gerenciada pelo cliente.

GenerateDataKey

Quando você usa uma chave gerenciada pelo AWS KMS cliente para criptografar seus recursos de efemérides de elevação de azimute, AWS Ground Station envia uma GenerateDataKeysolicitação para AWS KMS gerar uma chave de dados com a qual criptografar seus dados.

O exemplo de evento a seguir registra a GenerateDataKeyoperação para efemérides de elevação de azimute: 

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
        "accountId": "111122223333",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2025-08-25T14:45:48Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2025-08-25T14:52:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
            "aws:groundstation:ground-station-id": "Ohio 1",
            "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ef6f9a8f-8ef6-46a1-bdcb-123456SAMPLE",
    "eventID": "952842d4-1389-3232-b885-123456SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "8424f6b6-2280-4d1d-b9fd-0348b1546cba",
    "eventCategory": "Management"
}
Decrypt

Quando você usa uma chave gerenciada pelo AWS KMS cliente para criptografar seus recursos de efemérides de elevação de azimute, AWS Ground Station usa a operação Descriptografar para descriptografar os dados de efemérides de elevação de azimute fornecidos se eles já estiverem criptografados com a mesma chave gerenciada pelo cliente.

O evento de exemplo a seguir registra a operação Decrypt para efemérides de elevação de azimute: 

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
        "accountId": "111122223333",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            }
        },
        "attributes": {
            "creationDate": "2025-08-25T14:45:48Z",
            "mfaAuthenticated": "false"
        }
    },
    "invokedBy": "AWS Internal",
    "eventTime": "2025-08-25T14:54:01Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "encryptionContext": {
            "aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
            "aws:groundstation:ground-station-id": "Ohio 1",
            "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "a2f46066-49fb-461a-93cb-123456SAMPLE",
    "eventID": "e997b426-e3ad-31c7-a308-123456SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "477b568e-7f56-4f04-905c-623ff146f30d",
    "eventCategory": "Management"
}