Cifrado de datos en reposo para AWS Ground Station - AWS Ground Station
¿Cómo se AWS Ground Station utilizan las subvenciones en AWS KMSCrear una clave administrada por el clienteEspecificar una clave gestionada por el cliente para AWS Ground StationAWS Ground Station contexto de cifradoSupervisa tus claves de cifrado para AWS Ground Station

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de datos en reposo para AWS Ground Station

AWS Ground Station proporciona cifrado de forma predeterminada para proteger sus datos confidenciales en reposo mediante claves AWS de cifrado propias.

  • AWSclaves propias: AWS Ground Station utiliza estas claves de forma predeterminada para cifrar automáticamente los datos personales y directamente identificables y las efemérides. No puede ver, administrar ni usar claves AWS propias, ni auditar su uso; sin embargo, no es necesario realizar ninguna acción o cambiar los programas para proteger las claves que cifran los datos. Para obtener más información, consulte las claves AWS propias en la Guía para desarrolladores del Servicio de administración de AWS claves.

El cifrado de datos en reposo de forma predeterminada ayuda a reducir la sobrecarga operativa y la complejidad que conlleva la protección de datos confidenciales. Al mismo tiempo, permite crear aplicaciones seguras que cumplen estrictos requisitos de encriptación, así como requisitos normativos.

AWS Ground Station aplica el cifrado de todos los datos confidenciales inactivos; sin embargo, en el caso de algunos AWS Ground Station recursos, como las efemérides, puede optar por utilizar una clave gestionada por el cliente en lugar de las claves gestionadas por defecto. AWS

  • Claves administradas por el cliente: AWS Ground Station admite el uso de una clave simétrica administrada por el cliente, que usted crea, posee y administra para agregar una segunda capa de cifrado sobre la encriptación propia existente. AWS Como usted tiene el control total de este cifrado, puede realizar dichas tareas como:

    • Establecer y mantener políticas de claves

    • Establecer y mantener IAM políticas y subvenciones

    • Habilitar y deshabilitar políticas de claves

    • Rotar el material criptográfico

    • Agregar etiquetas.

    • Crear alias de clave

    • Programar la eliminación de claves

    Para obtener más información, consulte la clave administrada por el cliente en la Guía AWS para desarrolladores del servicio de administración de claves.

En la siguiente tabla se resumen los recursos que AWS Ground Station respaldan el uso de claves administradas por el cliente

Tipo de datos Cifrado de AWS de clave propia Cifrado de claves administradas por el cliente (opcional)
Datos de efemérides utilizados para calcular la trayectoria de un satélite Habilitado Habilitado
nota

AWS Ground Station habilita automáticamente el cifrado en reposo mediante claves AWS propias para proteger los datos de identificación personal sin coste alguno. Sin embargo, se aplican AWS KMS cargos por el uso de una clave gestionada por el cliente. Para obtener más información sobre los precios, consulte los precios del servicio de administración de AWS claves.

Para obtener más información AWS KMS, consulte la Guía para AWS KMS desarrolladores.

¿Cómo se AWS Ground Station utilizan las subvenciones en AWS KMS

AWS Ground Station requiere una concesión de clave para utilizar la clave gestionada por el cliente.

Cuando subes una efeméride cifrada con una clave gestionada por el cliente, AWS Ground Station crea una concesión de claves en tu nombre enviando una solicitud a. CreateGrant AWS KMS Las subvenciones AWS KMS se utilizan para dar AWS Ground Station acceso a una KMS clave de tu cuenta.

AWS Ground Station requiere la concesión para utilizar la clave gestionada por el cliente en las siguientes operaciones internas:

  • Envíe GenerateDataKeysolicitudes AWS KMS para generar claves de datos cifradas por su clave gestionada por el cliente.

  • Envíe solicitudes de descifrado AWS KMS a para descifrar las claves de datos cifrados para que puedan usarse para cifrar sus datos.

  • Envíe solicitudes de cifrado a para cifrar los datos AWS KMS proporcionados.

Puede revocar el acceso a la concesión o eliminar el acceso del servicio a la clave administrada por el cliente en cualquier momento. Si lo hace, AWS Ground Station no podrá acceder a ninguno de los datos cifrados por la clave gestionada por el cliente, lo que afectará a las operaciones que dependen de esos datos. Por ejemplo, si eliminas la concesión de una clave de una efeméride actualmente en uso para un contacto, no AWS Ground Station podrás utilizar los datos de efemérides proporcionados para apuntar la antena durante el contacto. Esto provocará que el contacto termine en un estado. FAILED

Crear una clave administrada por el cliente

Puede crear una clave simétrica gestionada por el cliente mediante la consola AWS de administración o la AWS KMSAPIs.

Para crear una clave simétrica administrada por el cliente

Siga los pasos para crear una clave simétrica administrada por el cliente que se indican en la Guía para desarrolladores del servicio de administración de AWS claves.

Política de claves

Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Administrar el acceso a las claves administradas por el cliente en la Guía para desarrolladores del Servicio de administración de AWS claves.

Para utilizar la clave gestionada por el cliente con AWS Ground Station los recursos, la política clave debe permitir las siguientes API operaciones:

kms:CreateGrant - Añade una subvención a una clave administrada por el cliente. Otorga el control de acceso a una KMS clave específica, que permite el acceso a las operaciones de subvención AWS Ground Station requeridas. Para obtener más información sobre el uso de las subvenciones, consulte la Guía para desarrolladores del servicio de administración de AWS claves.

Esto permite AWS a Amazon hacer lo siguiente:

  • Llame GenerateDataKeypara generar una clave de datos cifrada y almacenarla, ya que la clave de datos no se utiliza inmediatamente para cifrar.

  • Llame a Decrypt para usar la clave de datos cifrados almacenada para acceder a los datos cifrados.

  • Llame a Encrypt para usar la clave de datos para cifrar los datos.

  • Configurar una entidad principal que se retire para permitir que el servicio RetireGrant.

kms:DescribeKey- Proporciona los detalles de la clave gestionada por el cliente AWS Ground Station para poder validarla antes de intentar crear una concesión para la clave proporcionada.

Los siguientes son ejemplos IAM de declaraciones de política que puede añadir AWS Ground Station 

"Statement" : [ 
  {"Sid" : "Allow access to principals authorized to use AWS Ground Station",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "*"
    },
    "Action" : [ 
      "kms:DescribeKey", 
      "kms:CreateGrant"
    ],
    "Resource" : "*",
    "Condition" : {
    "StringEquals" : {
        "kms:ViaService" : "groundstation.amazonaws.com",
        "kms:CallerAccount" : "111122223333"
    }
  },
  {"Sid": "Allow access for key administrators",
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action" : [ 
      "kms:*"
      ],
    "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
  },
  {"Sid" : "Allow read-only access to key metadata to the account",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : [ 
      "kms:Describe*",
      "kms:Get*",
      "kms:List*",
      "kms:RevokeGrant"
    ],
    "Resource" : "*"
  }
]

Para obtener más información sobre cómo especificar los permisos en una política, consulte la Guía para desarrolladores de AWS Key Management Service.

Para obtener más información sobre la solución de problemas de acceso a las claves, consulte la Guía AWS para desarrolladores del Servicio de administración de claves.

Especificar una clave gestionada por el cliente para AWS Ground Station

Puede especificar una clave administrada por el cliente para cifrar los siguientes recursos:

  • Efemérides

Al crear un recurso, puede especificar la clave de datos proporcionando una kmsKeyArn

AWS Ground Station contexto de cifrado

Un contexto de cifrado es un conjunto opcional de pares clave-valor que pueden contener información contextual adicional sobre los datos. AWS KMSutiliza el contexto de cifrado como datos autenticados adicionales para respaldar el cifrado autenticado. Al incluir un contexto de cifrado en una solicitud de cifrado de datos, AWS KMS vincula el contexto de cifrado a los datos cifrados. Para descifrar los datos, debe incluir el mismo contexto de cifrado en la solicitud.

AWS Ground Station contexto de cifrado

AWS Ground Station utiliza un contexto de cifrado diferente en función del recurso que se esté cifrando y especifica un contexto de cifrado específico para cada concesión de clave creada.

Contexto de cifrado de efemérides:

La clave otorgada para cifrar los recursos de efemérides está vinculada a un satélite específico ARN 

"encryptionContext": {
    "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE"
}
nota

Las concesiones de claves se reutilizan para el mismo par clave-satélite.

Uso del contexto de cifrado para la supervisión

Si utiliza una clave simétrica administrada por el cliente para cifrar sus efemérides, también puede utilizar el contexto de cifrado en los registros y registros de auditoría para identificar cómo se está utilizando la clave administrada por el cliente. El contexto de cifrado también aparece en los registros generados por AWS CloudTrail Amazon CloudWatch Logs.

Utilizar el contexto de cifrado para controlar el acceso a la clave administrada por el cliente

Puede utilizar el contexto de cifrado en las políticas y IAM políticas clave conditions para controlar el acceso a su clave simétrica gestionada por el cliente. Puede usar también una restricción de contexto de cifrado en una concesión.

AWS Ground Station utiliza una restricción de contexto de cifrado en las concesiones para controlar el acceso a la clave gestionada por el cliente en su cuenta o región. La restricción de concesión requiere que las operaciones que permite la concesión utilicen el contexto de cifrado especificado.

Los siguientes son ejemplos de declaraciones de política de claves para conceder acceso a una clave administrada por el cliente para un contexto de cifrado específico. La condición de esta declaración de política exige que las concesiones tengan una restricción de contexto de cifrado que especifique el contexto de cifrado. 

{"Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:DescribeKey",
     "Resource": "*"
},{"Sid": "Enable CreateGrant",
     "Effect": "Allow",
     "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE"
        }
     }
}

Supervisa tus claves de cifrado para AWS Ground Station

Cuando utilizas una clave gestionada por el AWS KMS cliente con tus AWS Ground Station recursos, puedes utilizar AWS CloudTrailo los CloudWatch registros de Amazon para realizar un seguimiento de las solicitudes que se AWS Ground Station envían a AWS KMS. Los siguientes ejemplos son AWS CloudTrail eventos para CreateGrant GenerateDataKeyDecrypt, Encrypt y DescribeKey para monitorear KMS las operaciones llamadas por AWS Ground Station para acceder a los datos cifrados por su clave administrada por el cliente.

CreateGrant (CloudTrail)

Cuando utilizas una clave gestionada por el AWS KMS cliente para cifrar tus recursos efemérides, AWS Ground Station envía una CreateGrant solicitud en tu nombre para acceder a la KMS clave de tu cuenta. AWS La concesión que se AWS Ground Station crea es específica del recurso asociado a la clave gestionada por el AWS KMS cliente. Además, AWS Ground Station utiliza la RetireGrant operación para eliminar una concesión al eliminar un recurso.

El siguiente ejemplo de evento registra la operación CreateGrant: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AAAAAAAAAAAAAAAAAAAAA:SampleUser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
        "accountId": "111122223333",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AAAAAAAAAAAAAAAAAAAAA",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-02-22T22:22:22Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "111.11.11.11",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "operations": [
            "GenerateDataKeyWithoutPlaintext",
            "Decrypt",
            "Encrypt"
        ],
        "constraints": {
            "encryptionContextSubset": {
                "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE"
            }
        },
        "granteePrincipal": "groundstation.us-west-2.amazonaws.com",
        "retiringPrincipal": "groundstation.us-west-2.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

DescribeKey (CloudTrail)

Cuando utilizas una clave gestionada por el AWS KMS cliente para cifrar tus recursos efemérides, AWS Ground Station envía una DescribeKey solicitud en tu nombre para validar que la clave solicitada existe en tu cuenta.

El siguiente ejemplo de evento registra la operación DescribeKey: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AAAAAAAAAAAAAAAAAAAAA:SampleUser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/User/Role",
        "accountId": "111122223333",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AAAAAAAAAAAAAAAAAAAAA",
                "arn": "arn:aws:iam::111122223333:role/Role",
                "accountId": "111122223333",
                "userName": "User"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-02-22T22:22:22Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

GenerateDataKey (CloudTrail)

Cuando utilizas una clave gestionada por el AWS KMS cliente para cifrar tus recursos de efemérides, AWS Ground Station envía una GenerateDataKey solicitud a para KMS generar una clave de datos con la que cifrar tus datos.

El siguiente ejemplo de evento registra la operación GenerateDataKey: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
            "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}

Decrypt (CloudTrail)

Cuando utilizas una clave gestionada por el AWS KMS cliente para cifrar tus recursos de efemérides, AWS Ground Station utiliza la Decrypt operación para descifrar las efemérides proporcionadas si ya están cifradas con la misma clave gestionada por el cliente. Por ejemplo si se está cargando una efeméride desde un bucket de S3 y se cifra en ese bucket con una clave determinada.

El siguiente ejemplo de evento registra la operación Decrypt: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "encryptionContext": {
            "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
            "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}