静态数据加密 AWS Ground Station

AWS Ground Station 默认提供加密，以使用 AWS 自有的加密密钥保护您的静态敏感数据。

AWS 自有密钥-默认 AWS Ground Station 使用这些密钥自动加密可直接识别的个人数据和星历表。您无法查看、管理或使用 AWS自有密钥，也无法审核其使用情况；但是，没有必要采取任何措施或更改程序来保护加密数据的密钥。有关更多信息，请参阅《AWS Key Management Service 开发者指南》中的AWS自有密钥。

默认情况下，静态数据加密可帮助降低保护敏感数据时涉及的操作开销和复杂性。同时，它还支持构建符合严格加密合规性以及监管要求的安全应用程序。

AWS Ground Station 对所有敏感的静态数据强制加密，但是，对于某些 AWS Ground Station 资源（例如星历表），您可以选择使用客户托管密钥代替默认的托管密钥。 AWS

下表汇总了 AWS Ground Station 支持使用客户托管密钥的资源

数据类型	AWS 自有密钥加密	客户托管密钥加密（可选）
用于计算卫星轨迹的星历数据	已启用	已启用
用于指挥天线的方位角仰角星历	已启用	已启用

AWS Ground Station 自动启用静态加密 AWS 拥有的密钥，用于保护个人身份数据，不收取任何费用。但是，使用客户管理的密钥需要 AWS KMS 付费。有关定价的更多信息，请参阅 AWS Key Management Service 定价。

有关每种资源类型的特定信息，请参阅：

创建客户托管密钥

您可以使用 AWS 管理控制台、或，创建对称的客户托管密钥。 AWS KMS APIs

按照《AWS Key Management Service 开发人员指南》中创建对称客户托管密钥的步骤进行操作。

密钥政策控制对客户托管密钥的访问。每个客户托管式密钥必须只有一个密钥策略，其中包含确定谁可以使用密钥以及如何使用密钥的声明。创建客户托管式密钥时，可以指定密钥策略。有关更多信息，请参阅《 AWS Key Management Service 开发人员指南》中的管理客户托管密钥的访问权限。

要将客户托管密钥与 AWS Ground Station 资源一起使用，您必须配置密钥策略以向 AWS Ground Station 服务授予适当的权限。具体的权限和策略配置取决于您要加密的资源类型：

密钥策略配置因星历类型而异。TLE 和 OEM 星历表数据使用密钥访问权限，而方位角提升星历使用直接密钥策略权限。确保根据要加密的特定资源类型配置密钥策略。

有关在策略中指定权限以及对密钥访问进行故障排除的更多信息，请参阅《 AWS Key Management Service 开发者指南》。

您可以指定客户托管密钥以加密以下资源：

创建资源时，您可以通过提供一个来指定数据密钥 kmsKeyArn

加密上下文是一组可选的键值对，其中包含有关数据的其他上下文信息。 AWS KMS 使用加密上下文作为其他经过身份验证的数据来支持经过身份验证的加密。当您在加密数据的请求中包含加密上下文时，会将加密上下文 AWS KMS 绑定到加密数据。要解密数据，您必须在请求中包含相同的加密上下文。

AWS Ground Station 根据要加密的资源使用不同的加密上下文，并为创建的每个密钥授权指定特定的加密上下文。

有关特定于资源的加密上下文的详细信息，请参阅：

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

使用服务相关角色

对 TLE 和 OEM 星历数据进行静态加密