の保管中のデータ暗号化 AWS Ground Station - AWS Ground Station
で 許可 AWS Ground Station を使用する方法 AWS KMSカスタマーマネージドキーを作成するのカスタマーマネージドキーの指定 AWS Ground StationAWS Ground Station 暗号化コンテキストの暗号化キーのモニタリング AWS Ground Station

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の保管中のデータ暗号化 AWS Ground Station

AWS Ground Station は、 AWS 所有の暗号化キーを使用して保管中の機密データを保護するために、デフォルトで暗号化を提供します。

  • AWS 所有キー - デフォルトでは、これらのキー AWS Ground Station を使用して、個人が直接識別可能なデータとエフェメリスを自動的に暗号化します。AWSが所有するキーを表示、管理、使用したり、その使用を監査したりすることはできません。ただし、データを暗号化するキーを保護するためにアクションを実行したりプログラムを変更したりする必要はありません。詳細については、「 Key Management Service AWSデベロッパーガイド」の「 が所有するキー」を参照してください。 AWS

保管中のデータをデフォルトで暗号化することで、機密データの保護におけるオーバーヘッドと複雑な作業を減らすのに役立ちます。同時に、セキュリティを重視したアプリケーションを構築して、暗号化のコンプライアンスと規制の厳格な要件を満たすことができます。

AWS Ground Station は、すべての機密性の高い保管時のデータに対して暗号化を強制しますが、エフェメリスなどの一部の AWS Ground Station リソースでは、デフォルトの マネージドキーの代わりにカスタマー AWS マネージドキーを使用することを選択できます。

  • カスタマーマネージドキー -- ユーザーが作成、所有、管理する対称カスタマーマネージドキーの使用 AWS Ground Station をサポートし、既存の AWS 所有の暗号化に 2 番目の暗号化レイヤーを追加します。この暗号化層はユーザーが完全に制御できるため、次のようなタスクを実行できます。

    • キーポリシーの策定と維持

    • IAM ポリシーと許可の確立と維持

    • キーポリシーの有効化と無効化

    • キー暗号化マテリアルのローテーション

    • タグの追加

    • キーエイリアスの作成

    • キー削除のスケジュール設定

    詳細については、「 Key Management Service デベロッパーガイド」の「カスタマーマネージドキー」を参照してください。 AWS

次の表は、 がカスタマーマネージドキーの使用 AWS Ground Station をサポートしているリソースをまとめたものです。

データ型 AWS 所有のキー暗号化 カスタマーマネージドキーの暗号化 (オプション)
衛星の軌跡の計算に使用されるエフェメリスデータ 有効 有効
注記

AWS Ground Station は、 AWS 所有キーを使用した保管時の暗号化を自動的に有効にし、個人を特定できるデータを無償で保護します。ただし、 AWS KMSカスタマーマネージドキーの使用には料金が適用されます。料金の詳細については、AWS「 Key Management Service の料金」を参照してください。

の詳細については AWS KMS、「 AWSKMSデベロッパーガイド」を参照してください。

で 許可 AWS Ground Station を使用する方法 AWS KMS

AWS Ground Station では、カスタマーマネージドキーを使用するにはキー許可が必要です。

カスタマーマネージドキーで暗号化されたエフェメリスをアップロードすると、 は に CreateGrant リクエストを送信して、ユーザーに代わってキー許可 AWS Ground Station を作成します AWS KMS。の AWS KMS許可は、アカウントのKMSキーへのアクセスを許可する AWS Ground Station ために使用されます。

AWS Ground Station では、次の内部オペレーションでカスタマーマネージドキーを使用するには、グラントが必要です。

  • カスタマーマネージドキーで暗号化されたデータキーを生成するには、 にGenerateDataKey AWS KMSリクエストを送信します。

  • Decrypt リクエストを AWS KMS に送信して、暗号化されたデータキーを復号し、データの暗号化に使用できます。

  • Encrypt リクエストを AWS KMS に送信して、提供されたデータを暗号化します。

任意のタイミングで、許可に対するアクセス権を取り消したり、カスタマーマネージドキーに対するサービスからのアクセス権を削除したりできます。これを行う AWS Ground Station と、カスタマーマネージドキーによって暗号化されたデータにアクセスできなくなり、そのデータに依存するオペレーションに影響します。例えば、問い合わせに現在使用されているエフェメリスからキー許可を削除すると、 AWS Ground Station は、提供されたエフェメリスデータを問い合わせ中にアンテナを指すために使用できなくなります。これにより、コンタクトは FAILED状態で終了します。

カスタマーマネージドキーを作成する

対称カスタマーマネージドキーは、 AWS マネジメントコンソール、または AWS KMS を使用して作成できますAPIs。

対称カスタマーマネージドキーを作成するには

Key AWS Management Service デベロッパーガイドの対称カスタマーマネージドキーを作成するステップに従います

キーポリシー

キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。カスタマーマネージドキーを作成する際に、キーポリシーを指定することができます。詳細については、「 Key Management Service デベロッパーガイド」の「カスタマーマネージドキーへのアクセスの管理」を参照してください。 AWS

AWS Ground Station リソースでカスタマーマネージドキーを使用するには、キーポリシーで次のAPIオペレーションを許可する必要があります。

kms:CreateGrant - カスタマーマネージドキーに許可を追加します。指定されたKMSキーへのアクセスを制御する権限。これにより、必要な許可オペレーション AWS Ground Station へのアクセスが可能になります。グラントの使用の詳細については、 AWS 「 Key Management Service デベロッパーガイド」を参照してください。

これにより、Amazon は次の AWS ことを実行できます。

  • を呼び出しGenerateDataKeyて、暗号化されたデータキーを生成して保存します。これは、データキーがすぐに暗号化に使用されるわけではないためです。

  • Decrypt を呼び出して、保存された暗号化されたデータキーを使用して暗号化されたデータにアクセスします。

  • Encrypt を呼び出して、データキーを使用してデータを暗号化します。

  • RetireGrant にサービスが許可するための、廃止するプリンシパルを設定します。

kms:DescribeKey - カスタマーマネージドキーの詳細を提供し、提供されたキー AWS Ground Station に許可を作成する前に、 がキーを検証できるようにします。

以下は、 に追加できるIAMポリシーステートメントの例です。 AWS Ground Station 

"Statement" : [ 
  {"Sid" : "Allow access to principals authorized to use AWS Ground Station",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "*"
    },
    "Action" : [ 
      "kms:DescribeKey", 
      "kms:CreateGrant"
    ],
    "Resource" : "*",
    "Condition" : {
    "StringEquals" : {
        "kms:ViaService" : "groundstation.amazonaws.com",
        "kms:CallerAccount" : "111122223333"
    }
  },
  {"Sid": "Allow access for key administrators",
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action" : [ 
      "kms:*"
      ],
    "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
  },
  {"Sid" : "Allow read-only access to key metadata to the account",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : [ 
      "kms:Describe*",
      "kms:Get*",
      "kms:List*",
      "kms:RevokeGrant"
    ],
    "Resource" : "*"
  }
]

ポリシー でのアクセス許可の指定の詳細については、 AWS 「 Key Management Service デベロッパーガイド」を参照してください。

キーアクセスのトラブルシューティングの詳細については、 AWS 「 Key Management Service デベロッパーガイド」を参照してください。

のカスタマーマネージドキーの指定 AWS Ground Station

カスタマーマネージドキーを指定して、次のリソースを暗号化できます。

  • エフェメリス

リソースを作成するときは、 を指定してデータキーを指定できます。 kmsKeyArn

AWS Ground Station 暗号化コンテキスト

暗号化コンテキストは、データに関する追加のコンテキスト情報が含まれたキーバリューペアのオプションのセットです。 AWS KMS は、認証された暗号化をサポートするために、暗号化コンテキストを追加の認証データとして使用します。データを暗号化するリクエストに暗号化コンテキストを含めると、 AWS KMS は暗号化コンテキストを暗号化されたデータにバインドします。データを復号化するには、そのリクエストに (暗号化時と) 同じ暗号化コンテキストを含めます。

AWS Ground Station 暗号化コンテキスト

AWS Ground Station は、暗号化されるリソースに応じて異なる暗号化コンテキストを使用し、作成されたキー許可ごとに特定の暗号化コンテキストを指定します。

エフェメリス暗号化コンテキスト:

エフェメリスリソースを暗号化するためのキー許可は、特定の衛星にバインドされます ARN 

"encryptionContext": {
    "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE"
}
注記

キーグ許可は同じキーと衛星のペアに再利用されます。

暗号化コンテキストによるモニタリングに暗号化コンテキストを使用する

対称カスタマーマネージドキーを使用してエメリフィスを暗号化する場合は、監査レコードとログで暗号化コンテキストを使用して、カスタマーマネージドキーがどのように使用されているかを特定することもできます。暗号化コンテキストは、 AWS CloudTrail または Amazon CloudWatch Logs によって生成されたログにも表示されます。

暗号化コンテキストを使用してカスタマーマネージドキーへのアクセスを制御する

キーポリシーおよび IAMポリシーで暗号化コンテキストを として使用conditionsして、対称カスタマーマネージドキーへのアクセスを制御できます。付与する際に、暗号化コンテキストの制約を使用することもできます。

AWS Ground Station は、権限で暗号化コンテキストの制約を使用して、アカウントまたはリージョンのカスタマーマネージドキーへのアクセスを制御します。権限の制約では、権限によって許可されるオペレーションで指定された暗号化コンテキストを使用する必要があります。

次に、特定の暗号化コンテキストのカスタマーマネージドキーへのアクセスを付与するキーポリシーステートメントの例を示します。このポリシーステートメントの条件では、権限に暗号化コンテキストを指定する暗号化コンテキスト制約が必要です。

{"Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:DescribeKey",
     "Resource": "*"
},{"Sid": "Enable CreateGrant",
     "Effect": "Allow",
     "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE"
        }
     }
}

の暗号化キーのモニタリング AWS Ground Station

AWS Ground Station リソースで AWS KMS カスタマーマネージドキーを使用する場合、 AWS CloudTrail または Amazon CloudWatch ログを使用して、 AWS Ground Station が に送信するリクエストを追跡できます AWS KMS。次の例は、 AWS CloudTrail、CreateGrant、、Encryptおよび のイベントでDecrypt、 AWS Ground Station GenerateDataKeyによって呼び出されたKMSオペレーションをDescribeKeyモニタリングして、カスタマーマネージドキーによって暗号化されたデータにアクセスします。

CreateGrant (Cloudtrail)

カスタマーマネージドキーを使用して AWS KMSエフェメリスリソースを暗号化すると、 AWS Ground Station はユーザーに代わって AWS アカウントのKMSキーにアクセスするCreateGrantリクエストを送信します。が AWS Ground Station 作成する許可は、カスタマーマネージドキーに関連付けられたリソースに AWS KMS固有です。さらに、 AWS Ground Station は RetireGrantオペレーションを使用して、リソースを削除するときにグラントを削除します。

以下のイベント例では CreateGrant オペレーションを記録しています。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AAAAAAAAAAAAAAAAAAAAA:SampleUser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
        "accountId": "111122223333",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AAAAAAAAAAAAAAAAAAAAA",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-02-22T22:22:22Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "111.11.11.11",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "operations": [
            "GenerateDataKeyWithoutPlaintext",
            "Decrypt",
            "Encrypt"
        ],
        "constraints": {
            "encryptionContextSubset": {
                "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE"
            }
        },
        "granteePrincipal": "groundstation.us-west-2.amazonaws.com",
        "retiringPrincipal": "groundstation.us-west-2.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

DescribeKey (Cloudtrail)

カスタマーマネージドキーを使用して AWS KMSエフェメリスリソースを暗号化すると、 AWS Ground Station はユーザーに代わってDescribeKeyリクエストを送信し、リクエストされたキーがアカウントに存在することを検証します。

以下のイベント例では DescribeKey オペレーションを記録しています。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AAAAAAAAAAAAAAAAAAAAA:SampleUser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/User/Role",
        "accountId": "111122223333",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AAAAAAAAAAAAAAAAAAAAA",
                "arn": "arn:aws:iam::111122223333:role/Role",
                "accountId": "111122223333",
                "userName": "User"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-02-22T22:22:22Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

GenerateDataKey (Cloudtrail)

カスタマーマネージドキーを使用して AWS KMSエフェメリスリソースを暗号化すると、 AWS Ground Station は にGenerateDataKeyリクエストを送信KMSして、データを暗号化するデータキーを生成します。

以下のイベント例では GenerateDataKey オペレーションを記録しています。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
            "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}

Decrypt (Cloudtrail)

カスタマーマネージドキーを使用して AWS KMSエフェメリスリソースを暗号化する場合、 は Decryptオペレーション AWS Ground Station を使用して、提供されたエフェメリスが同じカスタマーマネージドキーで既に暗号化されている場合に復号します。例えば、エフェメリスが S3 バケットからアップロードされ、そのバケット内で特定のキーで暗号化されているとします。

以下のイベント例では Decrypt オペレーションを記録しています。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "encryptionContext": {
            "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
            "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}