本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
方位角高程星历的静态加密
方位角高程星历表的关键政策要求
要将客户托管密钥与方位角提升星历表数据一起使用,您的密钥策略必须向该服务授予以下权限。 AWS Ground Station 与使用授权的 TLE 和 OEM 星历表数据不同,方位角提升星历使用直接密钥策略权限进行加密操作。这是一种管理权限和使用密钥的更简单方法。
授予客户托管密钥 AWS Ground Station 访问权限的密钥策略示例
使用方位角提升星历表,您必须直接在密钥策略中配置这些权限。必须在您的关键政策声明中向区域 AWS Ground Station
服务委托人(例如groundstation.region.amazonaws.com)授予这些权限。如果不 AWS Ground Station 将这些声明添加到密钥策略中,则无法存储或访问您的自定义方位角高程星历表。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
使用客户托管密钥创建方位角提升星历的 IAM 用户权限
在加密操作中 AWS Ground Station 使用客户托管密钥时,它代表正在创建方位角高程星历表资源的用户行事。
要使用客户托管密钥创建方位角提升星历表资源,用户必须有权对客户托管密钥进行以下操作:
您可以在密钥策略中指定这些所需权限,或者在密钥策略允许的情况下在 IAM 策略中指定这些权限。这些权限确保用户可以授权 AWS Ground Station 他们使用客户托管密钥进行加密操作。
如何 AWS Ground Station 使用关键策略制作方位角高程星历
当您为客户管理的密钥提供方位角高程星历表数据时,会 AWS Ground Station 使用密钥策略访问您的加密密钥。权限是 AWS Ground Station 通过关键政策声明直接授予的,而不是像 TLE 或 OEM 星历数据那样通过授权授予的。
如果您删除 AWS Ground Station对客户托管密钥的访问权限,将 AWS Ground Station 无法访问由该密钥加密的任何数据,这会影响依赖该数据的操作。例如,如果您删除了联系人当前使用的方位角高程星历表的关键策略权限,则在接触期间 AWS Ground Station 将无法使用提供的方位角高程数据来控制天线。这将导致该联系以“失败”状态结束。
方位角高程星历加密上下文
当 AWS Ground Station 使用您的 AWS KMS 密钥加密方位角高程星历表数据时,该服务会指定加密上下文。加密上下文是 AWS KMS 用于确保数据完整性的其他经过身份验证的数据 (AAD)。在为加密操作指定加密上下文时,该服务必须为解密操作指定同一加密上下文。否则,解密将失败。加密上下文还会写入您的 CloudTrail 日志,以帮助您了解为什么使用给定 AWS KMS 密钥。您的 CloudTrail 日志可能包含许多描述 AWS KMS 密钥使用的条目,但是每个日志条目中的加密上下文可以帮助您确定该特定使用的原因。
AWS Ground Station 当它使用您的客户托管密钥在方位角提升星历表上执行加密操作时,指定以下加密上下文:
{
"encryptionContext": {
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:groundstation:arn": "arn:aws:groundstation:us-east-2:111122223333:ephemeris/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/00a770b0-082d-45a4-80ed-SAMPLE/raw"
}
}
加密上下文包含:
aws:groundstation:ground-station-id-
与方位角高程星历表相关的地面站名称。
- aws: 地面站:arn
-
星历资源的 ARN。
- aws: s3: arn
-
存储在 Amazon S3 中的星历的 ARN。
使用加密上下文控制对客户托管密钥的访问
您可以使用 IAM 条件声明来控制对客户托管密钥的 AWS Ground Station 访问权限。在kms:GenerateDataKey和kms:Decrypt操作上添加条件声明会限制 a AWS KMS 可以用于哪些地面站。
以下是密钥政策声明示例,用于授予客户在特定区域对特定地面站的托管密钥的 AWS Ground Station 访问权限。此策略声明中的条件要求所有人对指定与密钥策略中的条件匹配的加密上下文的密钥进行加密和解密访问。
授予 AWS Ground Station 访问客户管理的特定地面站密钥的密钥策略示例
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:groundstation:ground-station-id": "specific-ground-station-name"
}
}
}
]
}
允许 AWS Ground Station 访问多个地面站的客户托管密钥的密钥策略示例
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:groundstation:ground-station-id": [
"specific-ground-station-name-1",
"specific-ground-station-name-2"
]
}
}
}
]
}
监控您的加密密钥中是否有方位角高程星历
当您将 AWS KMS 客户托管密钥与方位角提升星历表资源一起使用时,您可以使用 CloudTrail或 CloudWatch 日志来跟踪发送到的请求。 AWS Ground Station AWS KMS以下示例是GenerateDataKey和 Decrypt CloudTrail 的事件,用于监控访问由 AWS Ground Station 您的客户托管密钥加密的数据而调用的 AWS KMS
操作。
- GenerateDataKey
-
当您使用 AWS KMS 客户托管密钥加密您的方位角高程星历表资源时, AWS Ground Station 会向发送GenerateDataKey请求 AWS KMS 以生成用于加密数据的数据密钥。
以下示例事件记录了方位角高程星历的GenerateDataKey操作:
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2025-08-25T14:45:48Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2025-08-25T14:52:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ef6f9a8f-8ef6-46a1-bdcb-123456SAMPLE",
"eventID": "952842d4-1389-3232-b885-123456SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "8424f6b6-2280-4d1d-b9fd-0348b1546cba",
"eventCategory": "Management"
}
- Decrypt
-
当您使用 AWS KMS 客户托管密钥加密您的方位角高程星历表资源时,如果提供的方位角高程星历表数据已经 AWS Ground Station 使用相同的客户管理密钥进行加密,则使用解密操作来解密这些数据。
以下示例事件记录了方位角高程星历的解密操作:
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
}
},
"attributes": {
"creationDate": "2025-08-25T14:45:48Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal",
"eventTime": "2025-08-25T14:54:01Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "a2f46066-49fb-461a-93cb-123456SAMPLE",
"eventID": "e997b426-e3ad-31c7-a308-123456SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "477b568e-7f56-4f04-905c-623ff146f30d",
"eventCategory": "Management"
}
