Crittografia dei dati - AWS HealthImaging
Creazione di una chiave gestita dal clienteIAMAutorizzazioni richieste per l'utilizzo di una chiave gestita KMS dal cliente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati

Con AWS HealthImaging, puoi aggiungere un livello di sicurezza ai tuoi dati archiviati nel cloud, fornendo funzionalità di crittografia scalabili ed efficienti. Ciò include:

  • Funzionalità di crittografia dei dati archiviati disponibili nella maggior parte dei casi AWS services

  • Opzioni flessibili di gestione delle chiavi, tra cui AWS Key Management Service, con cui puoi scegliere se avere AWS gestisci le chiavi di crittografia o mantieni il controllo completo sulle tue chiavi.

  • AWS di proprietà AWS KMS chiavi di crittografia

  • Code di messaggi crittografate per la trasmissione di dati sensibili utilizzando la crittografia lato server () SSE per Amazon SQS

Inoltre, AWS consente APIs di integrare la crittografia e la protezione dei dati con tutti i servizi sviluppati o implementati in un AWS ambiente.

Creazione di una chiave gestita dal cliente

È possibile creare una chiave simmetrica gestita dal cliente utilizzando AWS Management Console o il AWS KMS APIs. Per ulteriori informazioni, vedere Creazione di KMS chiavi di crittografia simmetriche nella AWS Key Management Service Guida per gli sviluppatori.

Le policy della chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, consulta Gestire l'accesso alle chiavi gestite dal cliente nella AWS Key Management Service Guida per gli sviluppatori.

Per utilizzare la chiave gestita dai clienti con HealthImaging le tue risorse, kms: CreateGrant operations deve essere consentita nella policy chiave. Ciò aggiunge una concessione a una chiave gestita dal cliente che controlla l'accesso a una KMS chiave specificata, che consente a un utente di accedere alle operazioni Grant HealthImaging richieste. Per ulteriori informazioni, vedere Sovvenzioni in AWS KMS nella AWS Key Management Service Guida per gli sviluppatori.

Per utilizzare la KMS chiave gestita dal cliente con HealthImaging le tue risorse, nella politica chiave devono essere consentite le seguenti API operazioni:

  • kms:DescribeKeyfornisce i dettagli chiave gestiti dal cliente necessari per convalidare la chiave. Ciò è necessario per tutte le operazioni.

  • kms:GenerateDataKeyfornisce l'accesso alle risorse di crittografia a riposo per tutte le operazioni di scrittura.

  • kms:Decryptfornisce l'accesso alle operazioni di lettura o ricerca per risorse crittografate.

  • kms:ReEncrypt*fornisce l'accesso alle risorse di ricrittografia.

Di seguito è riportato un esempio di dichiarazione politica che consente a un utente di creare e interagire con un archivio dati in HealthImaging cui è crittografato mediante tale chiave:

{
    "Sid": "Allow access to create data stores and perform CRUD and search in HealthImaging",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "medical-imaging.amazonaws.com"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:kms-arn": "arn:aws:kms:us-east-1:123456789012:key/bec71d48-3462-4cdd-9514-77a7226e001f",
            "kms:EncryptionContext:aws:medical-imaging:datastoreId": "datastoreId"
        }
    }
}

IAMAutorizzazioni richieste per l'utilizzo di una chiave gestita KMS dal cliente

Quando si crea un archivio dati con AWS KMS la crittografia abilitata utilizzando una KMS chiave gestita dal cliente, sono necessarie le autorizzazioni sia per la policy chiave che per la IAM policy per l'utente o il ruolo che crea l'archivio HealthImaging dati.

Per ulteriori informazioni sulle politiche chiave, vedere Abilitazione IAM delle politiche nella AWS Key Management Service Guida per gli sviluppatori.

L'IAMutente, IAM il ruolo o AWS l'account che crea i repository deve disporre delle autorizzazioni perkms:CreateGrant,kms:GenerateDataKey,kms:RetireGrant, e kms:Decryptkms:ReEncrypt*, oltre alle autorizzazioni necessarie per. AWS HealthImaging

Come utilizza le sovvenzioni HealthImaging in AWS KMS

HealthImaging richiede una concessione per utilizzare la KMS chiave gestita dal cliente. Quando crei un archivio dati crittografato con una KMS chiave gestita dal cliente, HealthImaging crea una concessione per tuo conto inviando una CreateGrantrichiesta a AWS KMS. Sovvenzioni in AWS KMS vengono utilizzati per HealthImaging consentire l'accesso a una KMS chiave in un account cliente.

Le sovvenzioni HealthImaging create per tuo conto non devono essere revocate o ritirate. Se revochi o ritiri la sovvenzione che dà il permesso di utilizzare il HealthImaging AWS KMS le chiavi presenti nell'account HealthImaging non possono accedere a questi dati, crittografare le nuove risorse di imaging trasferite nell'archivio dati o decrittografarle quando vengono estratte. Quando si revoca o si ritira una sovvenzione per, la modifica avviene immediatamente. HealthImaging Per revocare i diritti di accesso, è necessario eliminare l'archivio dati anziché revocare la concessione. Quando un data store viene eliminato, annulla le HealthImaging concessioni per tuo conto.

Monitoraggio delle chiavi di crittografia per HealthImaging

È possibile utilizzare CloudTrail per tenere traccia delle richieste HealthImaging inviate a AWS KMS per tuo conto quando utilizzi una KMS chiave gestita dal cliente. Le voci di registro nel CloudTrail registro vengono visualizzate medical-imaging.amazonaws.com nel userAgent campo per distinguere chiaramente le richieste effettuate da HealthImaging.

Gli esempi seguenti sono CloudTrail eventi per CreateGrantGenerateDataKey,Decrypt, e DescribeKey da monitorare AWS KMS operazioni richieste HealthImaging per accedere ai dati crittografati dalla chiave gestita dal cliente.

Di seguito viene illustrato come utilizzare CreateGrant per consentire l'accesso HealthImaging a una KMS chiave fornita dal cliente, che consente di HealthImaging utilizzare tale KMS chiave per crittografare tutti i dati del cliente inattivi.

Gli utenti non sono tenuti a creare le proprie sovvenzioni. HealthImaging crea una sovvenzione per tuo conto inviando una CreateGrant richiesta a AWS KMS. Sovvenzioni in AWS KMS vengono utilizzati per dare HealthImaging accesso a AWS KMS digitare un account cliente.

{
    "Grants": [
        {
            "Operations": [
                "Decrypt", 
                "Encrypt", 
                "GenerateDataKey", 
                "GenerateDataKeyWithoutPlaintext", 
                "DescribeKey"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1", 
            "Name": "0a74e6ad2aa84b74a22fcd3efac1eaa8", 
            "RetiringPrincipal": "AWS Internal", 
            "GranteePrincipal": "AWS Internal", 
            "GrantId": "0da169eb18ffd3da8c0eebc9e74b3839573eb87e1e0dce893bb544a34e8fbaaf", 
            "IssuingAccount": "AWS Internal", 
            "CreationDate": 1685050229.0, 
            "Constraints": {
                "EncryptionContextSubset": {
                    "kms-arn": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1"
                }
            }
        }, 
        {
            "Operations": [
                "GenerateDataKey", 
                "CreateGrant", 
                "RetireGrant", 
                "DescribeKey"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1", 
            "Name": "2023-05-25T21:30:17", 
            "RetiringPrincipal": "AWS Internal", 
            "GranteePrincipal": "AWS Internal", 
            "GrantId": "8229757abbb2019555ba64d200278cedac08e5a7147426536fcd1f4270040a31", 
            "IssuingAccount": "AWS Internal", 
            "CreationDate": 1685050217.0, 
        }
    ]
}

Gli esempi seguenti mostrano come utilizzare per GenerateDataKey garantire che l'utente disponga delle autorizzazioni necessarie per crittografare i dati prima di archiviarli.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-06-30T21:17:06Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-06-30T21:17:37Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

L'esempio seguente mostra come HealthImaging richiama l'Decryptoperazione per utilizzare la chiave di dati crittografati archiviata per accedere ai dati crittografati.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-06-30T21:17:06Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-06-30T21:21:59Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

L'esempio seguente mostra come HealthImaging utilizza l'DescribeKeyoperazione per verificare se AWS KMS di proprietà del cliente AWS KMS la chiave è in uno stato utilizzabile e può aiutare l'utente a risolvere i problemi se non è funzionale.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-07-01T18:36:14Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-07-01T18:36:36Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Ulteriori informazioni

Le seguenti risorse forniscono ulteriori informazioni sulla crittografia dei dati a riposo e si trovano in AWS Key Management Service Guida per gli sviluppatori.