Enkripsi data - AWS HealthImaging
Membuat kunci yang dikelola pelangganIAMIzin yang diperlukan untuk menggunakan kunci terkelola KMS pelanggan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi data

Dengan AWS HealthImaging, Anda dapat menambahkan lapisan keamanan ke data Anda saat diam di cloud, menyediakan fitur enkripsi yang dapat diskalakan dan efisien. Ini termasuk:

  • Kemampuan enkripsi data saat istirahat tersedia di sebagian besar AWS layanan

  • Opsi manajemen kunci yang fleksibel, termasuk AWS Key Management Service, dengan mana Anda dapat memilih apakah akan memiliki AWS mengelola kunci enkripsi atau untuk menjaga kontrol penuh atas kunci Anda sendiri.

  • AWS dimiliki AWS KMS kunci enkripsi

  • Antrian pesan terenkripsi untuk transmisi data sensitif menggunakan enkripsi sisi server () untuk Amazon SSE SQS

Selain itu, AWS menyediakan APIs bagi Anda untuk mengintegrasikan enkripsi dan perlindungan data dengan salah satu layanan yang Anda kembangkan atau terapkan AWS lingkungan.

Membuat kunci yang dikelola pelanggan

Anda dapat membuat kunci terkelola pelanggan simetris dengan menggunakan AWS Management Console atau AWS KMS APIs. Untuk informasi selengkapnya, lihat Membuat KMS kunci enkripsi simetris di AWS Key Management Service Panduan Pengembang.

Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat Mengelola akses ke kunci terkelola pelanggan di AWS Key Management Service Panduan Pengembang.

Untuk menggunakan kunci yang dikelola pelanggan dengan HealthImaging sumber daya Anda, kms: CreateGrant operasi harus diizinkan dalam kebijakan utama. Ini menambahkan hibah ke kunci terkelola pelanggan yang mengontrol akses ke KMS kunci tertentu, yang memberikan akses pengguna ke operasi Hibah yang HealthImaging diperlukan. Untuk informasi lebih lanjut, lihat Hibah di AWS KMSdi AWS Key Management Service Panduan Pengembang.

Untuk menggunakan KMS kunci yang dikelola pelanggan dengan HealthImaging sumber daya Anda, API operasi berikut harus diizinkan dalam kebijakan utama:

  • kms:DescribeKeymemberikan rincian kunci yang dikelola pelanggan yang diperlukan untuk memvalidasi kunci. Ini diperlukan untuk semua operasi.

  • kms:GenerateDataKeymenyediakan akses untuk mengenkripsi sumber daya saat istirahat untuk semua operasi penulisan.

  • kms:Decryptmenyediakan akses ke operasi membaca atau mencari sumber daya terenkripsi.

  • kms:ReEncrypt*menyediakan akses untuk mengenkripsi ulang sumber daya.

Berikut ini adalah contoh pernyataan kebijakan yang memungkinkan pengguna untuk membuat dan berinteraksi dengan penyimpanan data HealthImaging yang dienkripsi oleh kunci tersebut:

{
    "Sid": "Allow access to create data stores and perform CRUD and search in HealthImaging",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "medical-imaging.amazonaws.com"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:kms-arn": "arn:aws:kms:us-east-1:123456789012:key/bec71d48-3462-4cdd-9514-77a7226e001f",
            "kms:EncryptionContext:aws:medical-imaging:datastoreId": "datastoreId"
        }
    }
}

IAMIzin yang diperlukan untuk menggunakan kunci terkelola KMS pelanggan

Saat membuat penyimpanan data dengan AWS KMS enkripsi diaktifkan menggunakan KMS kunci terkelola pelanggan, ada izin yang diperlukan untuk kebijakan kunci dan IAM kebijakan untuk pengguna atau peran yang membuat penyimpanan HealthImaging data.

Untuk informasi selengkapnya tentang kebijakan utama, lihat Mengaktifkan IAM kebijakan di AWS Key Management Service Panduan Pengembang.

IAMPengguna, IAM peran, atau AWS membuat akun repositori Anda harus memiliki izin untukkms:CreateGrant,,,,kms:GenerateDataKey, dan kms:RetireGrant kms:Decryptkms:ReEncrypt*, ditambah izin yang diperlukan untuk. AWS HealthImaging

Bagaimana HealthImaging menggunakan hibah di AWS KMS

HealthImaging membutuhkan hibah untuk menggunakan KMS kunci yang dikelola pelanggan Anda. Saat Anda membuat penyimpanan data yang dienkripsi dengan KMS kunci yang dikelola pelanggan, HealthImaging buat hibah atas nama Anda dengan mengirimkan permintaan ke CreateGrant AWS KMS. Hibah di AWS KMS digunakan untuk memberikan HealthImaging akses ke KMS kunci di akun pelanggan.

Hibah yang HealthImaging dibuat atas nama Anda tidak boleh dicabut atau pensiun. Jika Anda mencabut atau menghentikan hibah yang memberikan HealthImaging izin untuk menggunakan AWS KMS kunci di akun Anda, HealthImaging tidak dapat mengakses data ini, mengenkripsi sumber pencitraan baru yang didorong ke penyimpanan data, atau mendekripsi ketika ditarik. Ketika Anda mencabut atau pensiun hibah untuk HealthImaging, perubahan terjadi segera. Untuk mencabut hak akses, Anda harus menghapus penyimpanan data daripada mencabut hibah. Ketika penyimpanan data dihapus, HealthImaging pensiun hibah atas nama Anda.

Memantau kunci enkripsi Anda untuk HealthImaging

Anda dapat menggunakan CloudTrail untuk melacak permintaan yang HealthImaging dikirim ke AWS KMS atas nama Anda saat menggunakan KMS kunci yang dikelola pelanggan. Entri log di CloudTrail log ditampilkan medical-imaging.amazonaws.com di userAgent bidang untuk membedakan dengan jelas permintaan yang dibuat oleh HealthImaging.

Contoh berikut adalah CloudTrail acara untukCreateGrant,GenerateDataKey,Decrypt, dan DescribeKey untuk memantau AWS KMS operasi dipanggil oleh HealthImaging untuk mengakses data yang dienkripsi oleh kunci yang dikelola pelanggan Anda.

Berikut ini menunjukkan cara menggunakan untuk memungkinkan CreateGrant HealthImaging untuk mengakses KMS kunci yang disediakan pelanggan, memungkinkan HealthImaging untuk menggunakan KMS kunci itu untuk mengenkripsi semua data pelanggan saat istirahat.

Pengguna tidak diharuskan untuk membuat hibah mereka sendiri. HealthImaging membuat hibah atas nama Anda dengan mengirimkan CreateGrant permintaan ke AWS KMS. Hibah di AWS KMS digunakan untuk memberikan HealthImaging akses ke AWS KMS kunci dalam akun pelanggan.

{
    "Grants": [
        {
            "Operations": [
                "Decrypt", 
                "Encrypt", 
                "GenerateDataKey", 
                "GenerateDataKeyWithoutPlaintext", 
                "DescribeKey"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1", 
            "Name": "0a74e6ad2aa84b74a22fcd3efac1eaa8", 
            "RetiringPrincipal": "AWS Internal", 
            "GranteePrincipal": "AWS Internal", 
            "GrantId": "0da169eb18ffd3da8c0eebc9e74b3839573eb87e1e0dce893bb544a34e8fbaaf", 
            "IssuingAccount": "AWS Internal", 
            "CreationDate": 1685050229.0, 
            "Constraints": {
                "EncryptionContextSubset": {
                    "kms-arn": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1"
                }
            }
        }, 
        {
            "Operations": [
                "GenerateDataKey", 
                "CreateGrant", 
                "RetireGrant", 
                "DescribeKey"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1", 
            "Name": "2023-05-25T21:30:17", 
            "RetiringPrincipal": "AWS Internal", 
            "GranteePrincipal": "AWS Internal", 
            "GrantId": "8229757abbb2019555ba64d200278cedac08e5a7147426536fcd1f4270040a31", 
            "IssuingAccount": "AWS Internal", 
            "CreationDate": 1685050217.0, 
        }
    ]
}

Contoh berikut menunjukkan cara menggunakan GenerateDataKey untuk memastikan pengguna memiliki izin yang diperlukan untuk mengenkripsi data sebelum menyimpannya.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-06-30T21:17:06Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-06-30T21:17:37Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Contoh berikut menunjukkan bagaimana HealthImaging memanggil Decrypt operasi untuk menggunakan kunci data terenkripsi yang disimpan untuk mengakses data terenkripsi.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-06-30T21:17:06Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-06-30T21:21:59Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Contoh berikut menunjukkan bagaimana HealthImaging menggunakan DescribeKey operasi untuk memverifikasi apakah AWS KMS dimiliki pelanggan AWS KMS kunci berada dalam keadaan yang dapat digunakan dan untuk membantu pengguna memecahkan masalah jika tidak berfungsi.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-07-01T18:36:14Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-07-01T18:36:36Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Pelajari selengkapnya

Sumber daya berikut memberikan informasi lebih lanjut tentang enkripsi data saat istirahat dan terletak di dalam AWS Key Management Service Panduan Pengembang.