Cifrado de datos - AWS HealthImaging
Creación de claves administradas por el clienteIAMPermisos necesarios para usar una KMS clave administrada por el cliente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado de datos

Con AWS HealthImaging él, puede añadir una capa de seguridad a sus datos almacenados en la nube, proporcionando funciones de cifrado escalables y eficientes. Entre ellos se incluyen:

  • Las capacidades de cifrado de datos en reposo están disponibles en la mayoría de los AWS servicios

  • Opciones flexibles de administración de claves AWS Key Management Service, que incluyen la posibilidad de elegir entre AWS gestionar las claves de cifrado o mantener el control total sobre las suyas propias.

  • AWS claves de AWS KMS cifrado propias

  • Colas de mensajes cifrados para la transmisión de datos confidenciales mediante cifrado del lado del servidor () SSE para Amazon SQS

Además, le AWS permite integrar APIs el cifrado y la protección de datos con cualquiera de los servicios que desarrolle o implemente en un entorno. AWS

Creación de claves administradas por el cliente

Puede crear una clave simétrica gestionada por el cliente mediante el AWS Management Console o el AWS KMS APIs. Para obtener más información, consulte Creación de KMS claves de cifrado simétricas en la Guía AWS Key Management Service para desarrolladores.

Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Administración del acceso a las claves en la Guía para desarrolladores de AWS Key Management Service .

Para utilizar la clave gestionada por el cliente con sus HealthImaging recursos, la política de claves debe permitir CreateGrant las operaciones de kms:. Esto añade una concesión a una clave gestionada por el cliente que controla el acceso a una KMS clave específica, lo que permite al usuario acceder a las operaciones de subvención HealthImaging requeridas. Para más información, consulte Concesiones en AWS KMS en la Guía para desarrolladores de AWS Key Management Service .

Para utilizar la KMS clave gestionada por el cliente con HealthImaging los recursos, la política clave debe permitir las siguientes API operaciones:

  • kms:DescribeKey proporciona los detalles necesarios de la clave administrada por el cliente para validar la clave. Esto es necesario para todas las operaciones.

  • kms:GenerateDataKey proporciona acceso a los recursos de cifrado en reposo para todas las operaciones de escritura.

  • kms:Decrypt proporciona acceso a las operaciones de lectura o búsqueda de recursos cifrados.

  • kms:ReEncrypt* proporciona acceso para volver a cifrar los recursos.

El siguiente es un ejemplo de declaración de política que permite a un usuario crear un almacén de datos cifrado con esa clave e interactuar con él: HealthImaging 

{
    "Sid": "Allow access to create data stores and perform CRUD and search in HealthImaging",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "medical-imaging.amazonaws.com"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:kms-arn": "arn:aws:kms:us-east-1:123456789012:key/bec71d48-3462-4cdd-9514-77a7226e001f",
            "kms:EncryptionContext:aws:medical-imaging:datastoreId": "datastoreId"
        }
    }
}

IAMPermisos necesarios para usar una KMS clave administrada por el cliente

Al crear un almacén de datos con el AWS KMS cifrado habilitado mediante una KMS clave administrada por el cliente, se requieren permisos tanto para la política de claves como para la IAM política del usuario o rol que crea el almacén de HealthImaging datos.

Para obtener más información sobre las políticas clave, consulte Habilitar IAM políticas en la Guía para AWS Key Management Service desarrolladores.

El IAM usuario, el IAM rol o la AWS cuenta que crea tus repositorios debe tener permisos para kms:CreateGrantkms:GenerateDataKey,kms:RetireGrant, y kms:Decryptkms:ReEncrypt*, además de los permisos necesarios para AWS HealthImaging.

¿Cómo se HealthImaging utilizan las subvenciones en AWS KMS

HealthImaging requiere una concesión para utilizar la KMS clave gestionada por el cliente. Al crear un almacén de datos cifrado con una KMS clave gestionada por el cliente, HealthImaging crea una concesión en tu nombre enviando una CreateGrantsolicitud a AWS KMS. Las concesiones AWS KMS se utilizan para dar HealthImaging acceso a una KMS clave de la cuenta de un cliente.

Las subvenciones que se HealthImaging crean en tu nombre no se deben revocar ni retirar. Si revoca o retira la concesión que HealthImaging autoriza el uso de las AWS KMS claves de su cuenta, HealthImaging no puede acceder a estos datos, cifra los nuevos recursos de imágenes introducidos en el almacén de datos o los descifra al extraerlos. Al revocar o retirar una subvención HealthImaging, el cambio se produce inmediatamente. Para revocar derechos de acceso, debe eliminar el almacén en lugar de revocar la concesión. Cuando se elimina un almacén de datos, HealthImaging retira las subvenciones en tu nombre.

Supervisión de las claves de cifrado para HealthImaging

Puedes utilizarla CloudTrail para hacer un seguimiento de las solicitudes que se HealthImaging envían AWS KMS en tu nombre cuando utilizas una KMS clave gestionada por el cliente. Las entradas del CloudTrail registro se muestran medical-imaging.amazonaws.com en el userAgent campo para distinguir claramente las solicitudes realizadas por HealthImaging.

Los siguientes ejemplos son CloudTrail eventos para CreateGrant GenerateDataKeyDecrypt, y para supervisar AWS KMS las operaciones solicitadas DescribeKey para acceder HealthImaging a los datos cifrados por la clave gestionada por el cliente.

A continuación, se muestra cómo se utiliza CreateGrant para permitir el acceso HealthImaging a una KMS clave proporcionada por el cliente, lo que HealthImaging permite utilizar esa KMS clave para cifrar todos los datos inactivos del cliente.

Los usuarios no están obligados a crear sus propias subvenciones. HealthImaging crea una subvención en tu nombre enviando una CreateGrant solicitud a AWS KMS. Las subvenciones AWS KMS se utilizan para dar HealthImaging acceso a una AWS KMS clave de la cuenta de un cliente.

{
    "Grants": [
        {
            "Operations": [
                "Decrypt", 
                "Encrypt", 
                "GenerateDataKey", 
                "GenerateDataKeyWithoutPlaintext", 
                "DescribeKey"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1", 
            "Name": "0a74e6ad2aa84b74a22fcd3efac1eaa8", 
            "RetiringPrincipal": "AWS Internal", 
            "GranteePrincipal": "AWS Internal", 
            "GrantId": "0da169eb18ffd3da8c0eebc9e74b3839573eb87e1e0dce893bb544a34e8fbaaf", 
            "IssuingAccount": "AWS Internal", 
            "CreationDate": 1685050229.0, 
            "Constraints": {
                "EncryptionContextSubset": {
                    "kms-arn": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1"
                }
            }
        }, 
        {
            "Operations": [
                "GenerateDataKey", 
                "CreateGrant", 
                "RetireGrant", 
                "DescribeKey"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1", 
            "Name": "2023-05-25T21:30:17", 
            "RetiringPrincipal": "AWS Internal", 
            "GranteePrincipal": "AWS Internal", 
            "GrantId": "8229757abbb2019555ba64d200278cedac08e5a7147426536fcd1f4270040a31", 
            "IssuingAccount": "AWS Internal", 
            "CreationDate": 1685050217.0, 
        }
    ]
}

Los ejemplos siguientes muestran cómo utilizar GenerateDataKey para garantizar que los usuarios tengan los permisos necesarios para cifrar los datos antes de almacenarlos.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-06-30T21:17:06Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-06-30T21:17:37Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

En el siguiente ejemplo, se muestra HealthImaging cómo realizar la Decrypt operación para utilizar la clave de datos cifrados almacenada para acceder a los datos cifrados.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-06-30T21:17:06Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-06-30T21:21:59Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

El siguiente ejemplo muestra cómo se HealthImaging utiliza la DescribeKey operación para comprobar si la AWS KMS clave propiedad del AWS KMS cliente está en un estado utilizable y para ayudar al usuario a solucionar problemas si no funciona.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-07-01T18:36:14Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-07-01T18:36:36Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Más información

Los recursos siguientes proporcionan más información sobre el cifrado de datos en reposo y se encuentran en la Guía para desarrolladores de AWS Key Management Service .