本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 静态数据加密 AWS Ground Station
AWS Ground Station 默认提供加密,以使用 AWS 自有的加密密钥保护您的静态敏感数据。
+ *AWS 自有密钥*-默认 AWS Ground Station 使用这些密钥自动加密可直接识别的个人数据和星历表。您无法查看、管理或使用 AWS自有密钥,也无法审核其使用情况;但是,没有必要采取任何措施或更改程序来保护加密数据的密钥。有关更多信息,请参阅《[AWS Key Management Service 开发者指南》](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)中的[AWS自有密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)。
默认情况下,静态数据加密可帮助降低保护敏感数据时涉及的操作开销和复杂性。同时,它还支持构建符合严格加密合规性以及监管要求的安全应用程序。
AWS Ground Station 对所有敏感的静态数据强制加密,但是,对于某些 AWS Ground Station 资源(例如星历表),您可以选择使用客户托管密钥代替默认的托管密钥。 AWS
+ *客户托管密钥*-- AWS Ground Station 支持使用由您创建、 AWS 拥有和管理的对称客户托管密钥来代替现有的自有加密。由于您可以完全控制这层加密,因此可以执行以下任务:
+ 制定和维护关键策略
+ 建立和维护 IAM 策略和授权
+ 启用和禁用密钥策略
+ 轮换加密材料
+ 添加 标签
+ 创建密钥别名
+ 计划删除密钥
有关更多信息,请参阅 [AWS Key Management Service 开发人员指南](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)中的[客户托管密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)。
下表汇总了 AWS Ground Station 支持使用客户托管密钥的资源
| 数据类型 | AWS 自有密钥加密 | 客户托管密钥加密(可选) |
| --- | --- | --- |
| 用于计算卫星轨迹的星历数据 | 已启用 | 已启用 |
| 用于指挥天线的方位角仰角星历 | 已启用 | 已启用 |
**注意**
AWS Ground Station 自动启用静态加密 AWS 拥有的密钥 ,用于免费保护个人身份数据。但是,使用客户管理的密钥需要 AWS KMS 付费。有关定价的更多信息,请参阅 [AWS Key Management Service 定价](https://aws.amazon.com/kms/pricing/)。
有关的更多信息 AWS KMS,请参阅《[AWS Key Management Service 开发人员指南》](https://docs.aws.amazon.com/kms/latest/developerguide/)。
有关每种资源类型的特定信息,请参阅:
+ [TLE 和 OEM 星历数据的静态加密](security.encryption-at-rest-tle-oem.md)
+ [方位角高程星历的静态加密](security.encryption-at-rest-azimuth-elevation.md)
## 创建客户托管密钥
您可以使用 AWS 管理控制台、或,创建对称的客户托管密钥。 AWS KMS APIs
### 创建对称的客户托管密钥
按照《[AWS Key Management Service 开发人员指南](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)》中创建对称客户托管密钥的步骤进行操作。
### 关键政策概述
密钥政策控制对客户托管密钥的访问。每个客户托管式密钥必须只有一个密钥策略,其中包含确定谁可以使用密钥以及如何使用密钥的声明。创建客户托管式密钥时,可以指定密钥策略。有关更多信息,请参阅 AWS Key Management Service 开发人员指南中的[管理客户托管密钥的访问权限](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)。
要将客户托管密钥与 AWS Ground Station 资源一起使用,您必须配置密钥策略以向 AWS Ground Station 服务授予适当的权限。具体的权限和策略配置取决于您要加密的资源类型:
+ *有关 TLE 和 OEM 星历数据*-有关具体[TLE 和 OEM 星历数据的静态加密](security.encryption-at-rest-tle-oem.md)的关键政策要求和示例,请参阅。
+ *有关方位角高程星历数据-有关具体的关键策略*要求和示例[方位角高程星历的静态加密](security.encryption-at-rest-azimuth-elevation.md),请参阅。
**注意**
密钥策略配置因星历类型而异。TLE 和 OEM 星历表数据使用密钥访问权限,而方位角提升星历使用直接密钥策略权限。确保根据要加密的特定资源类型配置密钥策略。
有关在[策略中指定权限](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#overview-policy-elements)以及对[密钥访问进行故障排除](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam)的更多信息,请参阅《 AWS Key Management Service 开发者指南》。
## 为指定客户管理的密钥 AWS Ground Station
您可以指定客户托管密钥以加密以下资源:
+ 星历(TLE、OEM 和方位角仰角)
创建资源时,可以通过提供一个来指定数据密钥 *kmsKeyArn*
+ *kmsKeyArn*- AWS KMS 客户托管[密钥的密钥标识符](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id)
## AWS Ground Station 加密上下文
[加密上下文](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html)是一组可选的键值对,其中包含有关数据的其他上下文信息。 AWS KMS 使用加密上下文作为其他经过身份验证的数据来支持经过身份验证的加密。当您在加密数据的请求中包含加密上下文时,会将加密上下文 AWS KMS 绑定到加密数据。要解密数据,您必须在请求中包含相同的加密上下文。
AWS Ground Station 根据要加密的资源使用不同的加密上下文,并为创建的每个密钥授权指定特定的加密上下文。
有关特定于资源的加密上下文的详细信息,请参阅:
+ [TLE 和 OEM 星历数据的静态加密](security.encryption-at-rest-tle-oem.md)
+ [方位角高程星历的静态加密](security.encryption-at-rest-azimuth-elevation.md)