本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 的靜態資料加密 AWS Ground Station
AWS Ground Station 預設提供加密,以使用 AWS 擁有的加密金鑰保護您的靜態敏感資料。
+ *AWS 擁有的金鑰* - 預設 AWS Ground Station 使用這些金鑰自動加密可直接識別個人身分的資料和暫時性資料。您無法檢視、管理或使用擁有 AWS的金鑰,或稽核其使用方式;不過,您不需要採取任何動作或變更程式來保護加密資料的金鑰。如需詳細資訊,請參閱《 [AWS Key Management Service 開發人員指南](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)》中的 [AWS擁有的金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)。
根據預設,加密靜態資料有助於降低保護敏感資料所涉及的操作開銷和複雜性。同時,它可以建立符合嚴格加密合規以及法規要求的安全應用程式。
AWS Ground Station 對所有敏感的靜態資料強制執行加密,不過,對於某些 AWS Ground Station 資源,例如暫時性資料,您可以選擇使用客戶受管金鑰來取代預設的 AWS 受管金鑰。
+ *客戶受管金鑰* - AWS Ground Station 支援使用您建立、擁有和管理的對稱客戶受管金鑰來取代現有的 AWS 擁有加密。您可以完全控制此層加密,因此能執行以下任務:
+ 建立和維護金鑰政策
+ 建立和維護 IAM 政策和授予操作
+ 啟用和停用金鑰政策
+ 輪換金鑰密碼編譯資料
+ 新增 標籤
+ 建立金鑰別名
+ 安排金鑰供刪除
如需詳細資訊,請參閱《 [AWS Key Management Service 開發人員指南](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)》中的[客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)。
下表摘要說明 AWS Ground Station 支援使用客戶受管金鑰的資源
| 資料類型 | AWS 擁有的金鑰加密 | 客戶自管金鑰加密 (選用) |
| --- | --- | --- |
| Ephemeris 資料用於計算衛星的軌跡 | 已啟用 | 已啟用 |
| 用來命令天線的方位海拔暫時性曲線 | 已啟用 | 已啟用 |
**注意**
AWS Ground Station 會使用 自動啟用靜態加密 AWS 擁有的金鑰 ,以免費保護個人身分識別資料。不過,使用客戶受管金鑰會產生 AWS KMS 費用。如需定價的詳細資訊,請參閱 [AWS Key Management Service 定價](https://aws.amazon.com/kms/pricing/)。
如需詳細資訊 AWS KMS,請參閱 [AWS Key Management Service 開發人員指南](https://docs.aws.amazon.com/kms/latest/developerguide/)。
如需每個資源類型的特定資訊,請參閱:
+ [TLE 和 OEM ephemeris 資料的靜態加密](security.encryption-at-rest-tle-oem.md)
+ [疊流高度暫時性的靜態加密](security.encryption-at-rest-azimuth-elevation.md)
## 建立客戶自管金鑰
您可以使用 AWS 管理主控台或 AWS KMS APIs 來建立對稱客戶受管金鑰。
### 建立對稱客戶受管金鑰
遵循《 [AWS Key Management Service 開發人員指南](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)》中建立對稱客戶受管金鑰的步驟。
### 金鑰政策概觀
金鑰政策會控制客戶受管金鑰的存取權限。每個客戶受管金鑰都必須只有一個金鑰政策,其中包含決定誰可以使用金鑰及其使用方式的陳述式。在建立客戶受管金鑰時,可以指定金鑰政策。如需詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的[管理對客戶受管金鑰的存取](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)。
若要將客戶受管金鑰與 AWS Ground Station 資源搭配使用,您必須設定金鑰政策以授予 AWS Ground Station 服務適當的許可。特定許可和政策組態取決於您正在加密的資源類型:
+ *如需 TLE 和 OEM ephemeris 資料* - 如需特定金鑰政策需求和範例[TLE 和 OEM ephemeris 資料的靜態加密](security.encryption-at-rest-tle-oem.md),請參閱 。
+ *如需方位提升暫時性資料* - 如需特定金鑰政策需求和範例[疊流高度暫時性的靜態加密](security.encryption-at-rest-azimuth-elevation.md),請參閱 。
**注意**
金鑰政策組態在 ephemeris 類型之間有所不同。TLE 和 OEM ephemeris 資料使用授予金鑰存取,而方位提升 ephemeris 使用直接金鑰政策許可。請確定您根據要加密的特定資源類型來設定金鑰政策。
如需在[政策中指定許可](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#overview-policy-elements)和[疑難排解金鑰存取 ](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam)的詳細資訊,請參閱 AWS Key Management Service 開發人員指南。
## 指定 的客戶受管金鑰 AWS Ground Station
您可以指定客戶受管金鑰來加密下列資源:
+ Ephemeris (TLE、OEM 和方位提升)
建立資源時,您可以提供 *kmsKeyArn* 來指定資料金鑰
+ *kmsKeyArn* - AWS KMS 客戶受管[金鑰的金鑰識別符](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id)
## AWS Ground Station 加密內容
[加密內容](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html)是一組選用的金鑰/值對,其中包含有關資料的其他內容資訊。 AWS KMS 會使用加密內容做為額外的已驗證資料,以支援已驗證的加密。當您在加密資料的請求中包含加密內容時, 會將加密內容 AWS KMS 繫結至加密的資料。若要解密資料,您必須在請求中包含相同的加密內容。
AWS Ground Station 根據加密的資源使用不同的加密內容,並為每個建立的金鑰授權指定特定的加密內容。
如需資源特定的加密內容詳細資訊,請參閱:
+ [TLE 和 OEM ephemeris 資料的靜態加密](security.encryption-at-rest-tle-oem.md)
+ [疊流高度暫時性的靜態加密](security.encryption-at-rest-azimuth-elevation.md)