Crittografia dei dati - AWS HealthImaging
Creazione di una chiave gestita dal clienteIAMAutorizzazioni richieste per l'utilizzo di una chiave gestita KMS dal cliente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati

Con AWS HealthImaging, puoi aggiungere un livello di sicurezza ai tuoi dati archiviati nel cloud, fornendo funzionalità di crittografia scalabili ed efficienti. Ciò include:

  • Funzionalità di crittografia dei dati archiviati disponibili nella maggior parte dei servizi AWS

  • Opzioni flessibili di gestione delle chiavi AWS Key Management Service, tra cui è possibile scegliere se AWS gestire le chiavi di crittografia o mantenere il controllo completo sulle proprie chiavi.

  • AWS chiavi di AWS KMS crittografia possedute

  • Code di messaggi crittografate per la trasmissione di dati sensibili utilizzando la crittografia lato server () SSE per Amazon SQS

Inoltre, AWS consente di integrare APIs la crittografia e la protezione dei dati con qualsiasi servizio sviluppato o distribuito in un ambiente. AWS

Creazione di una chiave gestita dal cliente

È possibile creare una chiave simmetrica gestita dal cliente utilizzando AWS Management Console o il. AWS KMS APIs Per ulteriori informazioni, consulta Creazione di KMS chiavi di crittografia simmetriche nella Guida per gli sviluppatori.AWS Key Management Service

Le policy della chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, consulta Gestione dell'accesso alle chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS Key Management Service .

Per utilizzare la chiave gestita dal cliente con HealthImaging le tue risorse, kms: CreateGrant le operazioni devono essere consentite nella politica chiave. Ciò aggiunge una concessione a una chiave gestita dal cliente che controlla l'accesso a una KMS chiave specificata, che consente a un utente di accedere alle operazioni Grant HealthImaging richieste. Per ulteriori informazioni, consulta Grants AWS KMS nella AWS Key Management Service Developer Guide.

Per utilizzare la KMS chiave gestita dal cliente con HealthImaging le tue risorse, nella politica chiave devono essere consentite le seguenti API operazioni:

  • kms:DescribeKeyfornisce i dettagli chiave gestiti dal cliente necessari per convalidare la chiave. Ciò è necessario per tutte le operazioni.

  • kms:GenerateDataKeyfornisce l'accesso alle risorse di crittografia a riposo per tutte le operazioni di scrittura.

  • kms:Decryptfornisce l'accesso alle operazioni di lettura o ricerca per risorse crittografate.

  • kms:ReEncrypt*fornisce l'accesso alle risorse di ricrittografia.

Di seguito è riportato un esempio di dichiarazione politica che consente a un utente di creare e interagire con un archivio dati in HealthImaging cui è crittografato mediante tale chiave:

{
    "Sid": "Allow access to create data stores and perform CRUD and search in HealthImaging",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "medical-imaging.amazonaws.com"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:kms-arn": "arn:aws:kms:us-east-1:123456789012:key/bec71d48-3462-4cdd-9514-77a7226e001f",
            "kms:EncryptionContext:aws:medical-imaging:datastoreId": "datastoreId"
        }
    }
}

IAMAutorizzazioni richieste per l'utilizzo di una chiave gestita KMS dal cliente

Quando si crea un archivio dati con AWS KMS crittografia abilitata utilizzando una KMS chiave gestita dal cliente, sono necessarie le autorizzazioni sia per la policy chiave che per la IAM politica per l'utente o il ruolo che crea il HealthImaging data store.

Per ulteriori informazioni sulle politiche chiave, consulta Enabling IAM policies nella AWS Key Management Service Developer Guide.

L'IAMutente, il IAM ruolo o l' AWS account che crea i repository deve disporre delle autorizzazioni perkms:CreateGrant,kms:GenerateDataKey,kms:RetireGrant, e kms:Decryptkms:ReEncrypt*, più le autorizzazioni necessarie per. AWS HealthImaging

Come utilizza le sovvenzioni HealthImaging in AWS KMS

HealthImaging richiede una concessione per utilizzare la KMS chiave gestita dal cliente. Quando crei un archivio dati crittografato con una KMS chiave gestita dal cliente, HealthImaging crea una concessione per tuo conto inviando una CreateGrantrichiesta a AWS KMS. Le sovvenzioni AWS KMS vengono utilizzate per HealthImaging consentire l'accesso a una KMS chiave in un account cliente.

Le sovvenzioni HealthImaging create per tuo conto non devono essere revocate o ritirate. Se revochi o ritiri la concessione che HealthImaging autorizza l'uso delle AWS KMS chiavi del tuo account, HealthImaging non puoi accedere a questi dati, crittografare le nuove risorse di imaging trasferite nell'archivio dati o decrittografarle quando vengono estratte. Quando si revoca o si ritira una sovvenzione, la modifica avviene immediatamente. HealthImaging Per revocare i diritti di accesso, è necessario eliminare l'archivio dati anziché revocare la concessione. Quando un data store viene eliminato, annulla le HealthImaging concessioni per tuo conto.

Monitoraggio delle chiavi di crittografia per HealthImaging

Puoi utilizzarlo CloudTrail per tenere traccia delle richieste HealthImaging inviate a per tuo AWS KMS conto quando utilizzi una KMS chiave gestita dal cliente. Le voci di registro nel CloudTrail registro vengono visualizzate medical-imaging.amazonaws.com nel userAgent campo per distinguere chiaramente le richieste effettuate da HealthImaging.

Gli esempi seguenti sono CloudTrail eventi perCreateGrant, GenerateDataKeyDecrypt, e per DescribeKey monitorare AWS KMS le operazioni richieste HealthImaging per accedere ai dati crittografati dalla chiave gestita dal cliente.

Di seguito viene illustrato come utilizzare CreateGrant per consentire l'accesso HealthImaging a una KMS chiave fornita dal cliente, che consente di HealthImaging utilizzare tale KMS chiave per crittografare tutti i dati del cliente inattivi.

Gli utenti non sono tenuti a creare le proprie sovvenzioni. HealthImaging crea una sovvenzione per tuo conto inviando una CreateGrant richiesta a AWS KMS. Le sovvenzioni AWS KMS vengono utilizzate per HealthImaging consentire l'accesso a una AWS KMS chiave in un account cliente.

{
    "Grants": [
        {
            "Operations": [
                "Decrypt", 
                "Encrypt", 
                "GenerateDataKey", 
                "GenerateDataKeyWithoutPlaintext", 
                "DescribeKey"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1", 
            "Name": "0a74e6ad2aa84b74a22fcd3efac1eaa8", 
            "RetiringPrincipal": "AWS Internal", 
            "GranteePrincipal": "AWS Internal", 
            "GrantId": "0da169eb18ffd3da8c0eebc9e74b3839573eb87e1e0dce893bb544a34e8fbaaf", 
            "IssuingAccount": "AWS Internal", 
            "CreationDate": 1685050229.0, 
            "Constraints": {
                "EncryptionContextSubset": {
                    "kms-arn": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1"
                }
            }
        }, 
        {
            "Operations": [
                "GenerateDataKey", 
                "CreateGrant", 
                "RetireGrant", 
                "DescribeKey"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1", 
            "Name": "2023-05-25T21:30:17", 
            "RetiringPrincipal": "AWS Internal", 
            "GranteePrincipal": "AWS Internal", 
            "GrantId": "8229757abbb2019555ba64d200278cedac08e5a7147426536fcd1f4270040a31", 
            "IssuingAccount": "AWS Internal", 
            "CreationDate": 1685050217.0, 
        }
    ]
}

Gli esempi seguenti mostrano come GenerateDataKey garantire che l'utente disponga delle autorizzazioni necessarie per crittografare i dati prima di archiviarli.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-06-30T21:17:06Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-06-30T21:17:37Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

L'esempio seguente mostra come HealthImaging richiama l'Decryptoperazione per utilizzare la chiave di dati crittografati archiviata per accedere ai dati crittografati.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-06-30T21:17:06Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-06-30T21:21:59Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

L'esempio seguente mostra come HealthImaging utilizza l'DescribeKeyoperazione per verificare se la AWS KMS chiave di proprietà AWS KMS del cliente è in uno stato utilizzabile e per aiutare l'utente a risolvere i problemi se non funziona.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-07-01T18:36:14Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-07-01T18:36:36Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Ulteriori informazioni

Le seguenti risorse forniscono ulteriori informazioni sulla crittografia dei dati a riposo e sono disponibili nella Guida per gli AWS Key Management Service sviluppatori.