Chiffrement des données - AWS HealthImaging
Création d'une clé gérée par le clientIAMAutorisations requises pour utiliser une KMS clé gérée par le client

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement des données

Vous pouvez ainsi ajouter une couche de sécurité à vos données inactives dans le cloud, en fournissant des fonctionnalités de chiffrement évolutives et efficaces. AWS HealthImaging Il s'agit des licences suivantes :

  • Fonctionnalités de chiffrement des données au repos disponibles dans la plupart des AWS services

  • Options flexibles de gestion des clés, notamment AWS Key Management Service, avec lequel vous pouvez choisir d'avoir AWS gérez les clés de chiffrement ou gardez le contrôle total sur vos propres clés.

  • AWS possédé AWS KMS clés de chiffrement

  • Files d'attente de messages chiffrées pour la transmission de données sensibles à l'aide du chiffrement côté serveur () SSE pour Amazon SQS

En outre, AWS vous permet APIs d'intégrer le chiffrement et la protection des données à tous les services que vous développez ou déployez dans un AWS environnement.

Création d'une clé gérée par le client

Vous pouvez créer une clé symétrique gérée par le client à l'aide du AWS Management Console ou le AWS KMS APIs. Pour plus d'informations, consultez la section Création de KMS clés de chiffrement symétriques dans le AWS Key Management Service Guide du développeur.

Les politiques de clés contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez la section Gestion de l'accès aux clés gérées par le client dans le AWS Key Management Service Guide du développeur.

Pour utiliser votre clé gérée par le client avec vos HealthImaging ressources, les CreateGrant opérations kms : doivent être autorisées dans la politique des clés. Cela ajoute une subvention à une clé gérée par le client qui contrôle l'accès à une KMS clé spécifiée, ce qui donne à un utilisateur l'accès aux opérations de subvention HealthImaging requises. Pour plus d'informations, voir Subventions dans AWS KMS dans le .AWS Key Management Service Guide du développeur.

Pour utiliser votre KMS clé gérée par le client avec vos HealthImaging ressources, les API opérations suivantes doivent être autorisées dans la politique des clés :

  • kms:DescribeKeyfournit les informations clés gérées par le client nécessaires à la validation de la clé. Cela est obligatoire pour toutes les opérations.

  • kms:GenerateDataKeyfournit un accès aux ressources de chiffrement au repos pour toutes les opérations d'écriture.

  • kms:Decryptpermet d'accéder aux opérations de lecture ou de recherche de ressources chiffrées.

  • kms:ReEncrypt*permet d'accéder à des ressources de rechiffrement.

Voici un exemple de déclaration de politique qui permet à un utilisateur de créer et d'interagir avec un magasin de HealthImaging données chiffré par cette clé :

{
    "Sid": "Allow access to create data stores and perform CRUD and search in HealthImaging",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "medical-imaging.amazonaws.com"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:kms-arn": "arn:aws:kms:us-east-1:123456789012:key/bec71d48-3462-4cdd-9514-77a7226e001f",
            "kms:EncryptionContext:aws:medical-imaging:datastoreId": "datastoreId"
        }
    }
}

IAMAutorisations requises pour utiliser une KMS clé gérée par le client

Lors de la création d'un magasin de données avec AWS KMS chiffrement activé à l'aide d'une KMS clé gérée par le client, des autorisations sont requises à la fois pour la politique de clé et pour la IAM politique de l'utilisateur ou du rôle qui crée le magasin de HealthImaging données.

Pour plus d'informations sur les politiques clés, consultez la section Activation IAM des politiques dans le AWS Key Management Service Guide du développeur.

L'IAMutilisateur, IAM le rôle ou AWS le compte qui crée vos référentiels doit disposer des autorisations pour kms:CreateGrantkms:GenerateDataKey,kms:RetireGrant,kms:Decrypt, etkms:ReEncrypt*, ainsi que des autorisations nécessaires pour AWS HealthImaging.

Comment HealthImaging utilise les subventions dans AWS KMS

HealthImaging nécessite une autorisation pour utiliser votre KMS clé gérée par le client. Lorsque vous créez un magasin de données chiffré à l'aide d'une KMS clé gérée par le client, vous HealthImaging créez une subvention en votre nom en envoyant une CreateGrantdemande à AWS KMS. Subventions en AWS KMS sont utilisés pour donner HealthImaging accès à une KMS clé dans un compte client.

Les subventions HealthImaging créées en votre nom ne doivent pas être révoquées ou retirées. Si vous révoquez ou retirez la subvention qui donne HealthImaging l'autorisation d'utiliser le AWS KMS clés de votre compte, HealthImaging impossible d'accéder à ces données, de chiffrer les nouvelles ressources d'imagerie envoyées au magasin de données ou de les déchiffrer lorsqu'elles sont extraites. Lorsque vous révoquez ou retirez une subvention pour HealthImaging, le changement intervient immédiatement. Pour révoquer les droits d'accès, vous devez supprimer le magasin de données plutôt que de révoquer l'autorisation. Lorsqu'un magasin de données est supprimé, les HealthImaging subventions sont annulées en votre nom.

Surveillance de vos clés de chiffrement pour HealthImaging

Vous pouvez utiliser CloudTrail pour suivre les demandes HealthImaging envoyées à AWS KMS en votre nom lorsque vous utilisez une KMS clé gérée par le client. Les entrées du CloudTrail journal apparaissent medical-imaging.amazonaws.com dans le userAgent champ pour distinguer clairement les demandes effectuées par HealthImaging.

Les exemples suivants sont CloudTrail des événements pour CreateGrantGenerateDataKey,Decrypt, et DescribeKey à surveiller AWS KMS opérations appelées HealthImaging pour accéder aux données chiffrées par votre clé gérée par le client.

Ce qui suit montre comment utiliser CreateGrant pour autoriser l'accès HealthImaging à une KMS clé fournie par le client, HealthImaging permettant d'utiliser cette KMS clé pour chiffrer toutes les données client au repos.

Les utilisateurs ne sont pas tenus de créer leurs propres subventions. HealthImaging crée une subvention en votre nom en envoyant une CreateGrant demande à AWS KMS. Subventions en AWS KMS sont utilisés pour donner HealthImaging accès à un AWS KMS entrez dans un compte client.

{
    "Grants": [
        {
            "Operations": [
                "Decrypt", 
                "Encrypt", 
                "GenerateDataKey", 
                "GenerateDataKeyWithoutPlaintext", 
                "DescribeKey"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1", 
            "Name": "0a74e6ad2aa84b74a22fcd3efac1eaa8", 
            "RetiringPrincipal": "AWS Internal", 
            "GranteePrincipal": "AWS Internal", 
            "GrantId": "0da169eb18ffd3da8c0eebc9e74b3839573eb87e1e0dce893bb544a34e8fbaaf", 
            "IssuingAccount": "AWS Internal", 
            "CreationDate": 1685050229.0, 
            "Constraints": {
                "EncryptionContextSubset": {
                    "kms-arn": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1"
                }
            }
        }, 
        {
            "Operations": [
                "GenerateDataKey", 
                "CreateGrant", 
                "RetireGrant", 
                "DescribeKey"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1", 
            "Name": "2023-05-25T21:30:17", 
            "RetiringPrincipal": "AWS Internal", 
            "GranteePrincipal": "AWS Internal", 
            "GrantId": "8229757abbb2019555ba64d200278cedac08e5a7147426536fcd1f4270040a31", 
            "IssuingAccount": "AWS Internal", 
            "CreationDate": 1685050217.0, 
        }
    ]
}

Les exemples suivants montrent comment s'GenerateDataKeyassurer que l'utilisateur dispose des autorisations nécessaires pour chiffrer les données avant de les stocker.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-06-30T21:17:06Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-06-30T21:17:37Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

L'exemple suivant montre comment l'opération HealthImaging appelle l'Decryptopération pour utiliser la clé de données cryptée stockée afin d'accéder aux données cryptées.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-06-30T21:17:06Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-06-30T21:21:59Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

L'exemple suivant montre comment HealthImaging utilise l'DescribeKeyopération pour vérifier si AWS KMS appartenant au client AWS KMS la clé est dans un état utilisable et pour aider l'utilisateur à résoudre les problèmes si elle ne fonctionne pas.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-07-01T18:36:14Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-07-01T18:36:36Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

En savoir plus

Les ressources suivantes fournissent plus d'informations sur le chiffrement des données au repos et se trouvent dans le AWS Key Management Service Guide du développeur.