本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
疊流高度暫時性的靜態加密
方位提升暫時性的關鍵政策要求
若要將客戶受管金鑰與方位提升暫時性資料搭配使用,您的金鑰政策必須將下列許可授予 AWS Ground Station 服務。與使用授予的 TLE 和 OEM ephemeris 資料不同,azimuth elevation ephemeris 會使用直接金鑰政策許可來進行加密操作。這是管理 許可和使用您的 金鑰的更簡單方法。
授予客戶受管金鑰 AWS Ground Station 存取權的金鑰政策範例
使用方位提升暫時性時,您必須直接在金鑰政策中設定這些許可。必須在您的金鑰政策陳述式中授予區域 AWS Ground Station 服務主體 (例如 groundstation.region.amazonaws.com) 這些許可。如果沒有這些新增至金鑰政策的陳述式, AWS Ground Station 將無法存放或存取您的自訂方位提升暫時性。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
使用客戶受管金鑰建立方位提升暫時性的 IAM 使用者許可
當 AWS Ground Station 在密碼編譯操作中使用客戶受管金鑰時,它會代表建立方位提升暫時性資源的使用者。
若要使用客戶受管金鑰建立方位提升 ephemeris 資源,使用者必須具有在客戶受管金鑰上呼叫下列操作的許可:
您可以在金鑰政策或在 IAM 政策中指定這些必要的許可 (如果金鑰政策允許)。這些許可可確保使用者可以授權 代表他們 AWS Ground Station 使用客戶受管金鑰進行加密操作。
如何 AWS Ground Station 將關鍵政策用於方位角升高暫時性
當您使用客戶受管金鑰提供方位提升暫時性資料時, AWS Ground Station 會使用金鑰政策來存取您的加密金鑰。許可是透過 AWS Ground Station 金鑰政策陳述式直接授予給 ,而不是透過授予,如同使用 TLE 或 OEM ephemeris 資料。
如果您移除 AWS Ground Station對客戶受管金鑰的存取權, AWS Ground Station 則無法存取該金鑰加密的任何資料,這會影響依賴該資料的操作。例如,如果您移除目前用於聯絡的方位角提升暫時性的金鑰政策許可, AWS Ground Station 將無法在聯絡期間使用提供的方位角提升資料來命令天線。這會導致聯絡人以 FAILED 狀態結束。
方位提升暫時性加密內容
當 AWS Ground Station 使用您的 AWS KMS 金鑰來加密方位提升暫時性資料時,服務會指定加密內容。加密內容是額外的驗證資料 (AAD), AWS KMS 用於確保資料完整性。為加密操作指定加密內容時,此服務必須為解密操作指定相同的加密內容。否則,解密會失敗。加密內容也會寫入 CloudTrail 日誌,以協助您了解使用指定 AWS KMS 金鑰的原因。您的 CloudTrail 日誌可能包含許多描述 AWS KMS 使用金鑰的項目,但每個日誌項目中的加密內容可協助您判斷該特定使用的原因。
AWS Ground Station 指定以下加密內容,當其使用客戶受管金鑰在方位提升暫時性上執行密碼編譯操作時:
{
"encryptionContext": {
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:groundstation:arn": "arn:aws:groundstation:us-east-2:111122223333:ephemeris/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/00a770b0-082d-45a4-80ed-SAMPLE/raw"
}
}
加密內容包含:
aws:groundstation:ground-station-id-
與方位海拔暫時性關聯之地面站的名稱。
- aws:groundstation:arn
-
ephemeris 資源的 ARN。
- aws:s3:arn
-
存放在 Amazon S3 中 ephemeris 的 ARN。
使用加密內容控制對客戶受管金鑰的存取
您可以使用 IAM 條件陳述式來控制對客戶受管金鑰的 AWS Ground Station 存取。在 kms:GenerateDataKey和 kms:Decrypt動作上新增條件陳述式會限制 AWS KMS 可以使用的地面站。
以下是金鑰政策陳述式範例,可將 AWS Ground Station 存取權授予特定地面站點特定區域中的客戶受管金鑰。此政策陳述式中的 條件要求對指定符合金鑰政策中條件之加密內容的金鑰的所有加密和解密存取權。
授予特定地面站之客戶受管金鑰 AWS Ground Station 存取權的金鑰政策範例
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:groundstation:ground-station-id": "specific-ground-station-name"
}
}
}
]
}
授予 AWS Ground Station 存取多個地面站點之客戶受管金鑰的金鑰政策範例
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:groundstation:ground-station-id": [
"specific-ground-station-name-1",
"specific-ground-station-name-2"
]
}
}
}
]
}
監控您的加密金鑰是否有方位提升暫時性
當您使用 AWS KMS 客戶受管金鑰搭配方位提升 ephemeris 資源時,您可以使用 CloudTrail 或 CloudWatch 日誌來追蹤 AWS Ground Station 傳送的請求 AWS KMS。下列範例是 GenerateDataKey 和 Decrypt 的 CloudTrail 事件,用於監控 AWS KMS 呼叫的操作 AWS Ground Station ,以存取客戶受管金鑰加密的資料。
- GenerateDataKey
-
當您使用 AWS KMS 客戶受管金鑰來加密方位提升暫時性資源時, 會將 GenerateDataKey 請求 AWS Ground Station 傳送至 , AWS KMS 以產生用於加密資料的資料金鑰。
下列範例事件會記錄方位角升高暫時性的 GenerateDataKey 操作:
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2025-08-25T14:45:48Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2025-08-25T14:52:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ef6f9a8f-8ef6-46a1-bdcb-123456SAMPLE",
"eventID": "952842d4-1389-3232-b885-123456SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "8424f6b6-2280-4d1d-b9fd-0348b1546cba",
"eventCategory": "Management"
}
- Decrypt
-
當您使用 AWS KMS 客戶受管金鑰來加密方位提升暫時性資源時,如果提供的方位提升暫時性資料已使用相同的客戶受管金鑰加密,則 AWS Ground Station 會使用解密操作來解密他們所提供的方位提升暫時性資料。
下列範例事件會記錄方位角升高暫時性的 Decrypt 操作:
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
}
},
"attributes": {
"creationDate": "2025-08-25T14:45:48Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal",
"eventTime": "2025-08-25T14:54:01Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "a2f46066-49fb-461a-93cb-123456SAMPLE",
"eventID": "e997b426-e3ad-31c7-a308-123456SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "477b568e-7f56-4f04-905c-623ff146f30d",
"eventCategory": "Management"
}
