Criptografia de dados em repouso para AWS Ground Station - AWS Ground Station
Como AWS Ground Station usa subsídios em AWS KMSCriar uma chave gerenciada pelo clienteEspecificando uma chave gerenciada pelo cliente para AWS Ground StationAWS Ground Station contexto de criptografiaMonitorando suas chaves de criptografia para AWS Ground Station

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia de dados em repouso para AWS Ground Station

AWS Ground Station fornece criptografia por padrão para proteger seus dados confidenciais em repouso usando chaves AWS de criptografia próprias.

  • AWSchaves próprias - AWS Ground Station usa essas chaves por padrão para criptografar automaticamente dados pessoais e efemérides diretamente identificáveis. Você não pode visualizar, gerenciar ou usar chaves AWS próprias nem auditar seu uso; no entanto, não é necessário realizar nenhuma ação ou alterar programas para proteger as chaves que criptografam os dados. Para obter mais informações, consulte chaves AWS próprias no Guia do desenvolvedor do AWS Key Management Service.

A criptografia de dados em repouso por padrão reduz a sobrecarga operacional e a complexidade envolvidas na proteção de dados confidenciais. Ao mesmo tempo, permite que você crie aplicativos seguros que atendam aos rigorosos requisitos regulatórios e de conformidade de criptografia.

AWS Ground Station impõe criptografia em todos os dados confidenciais em repouso. No entanto, para alguns AWS Ground Station recursos, como efemérides, você pode optar por usar uma chave gerenciada pelo cliente no lugar das chaves gerenciadas padrão. AWS

  • Chaves gerenciadas pelo cliente -- AWS Ground Station suporta o uso de uma chave simétrica gerenciada pelo cliente que você cria, possui e gerencia para adicionar uma segunda camada de criptografia sobre a criptografia existente AWS . Como você tem controle total dessa camada de criptografia, é possível realizar tarefas como:

    • Estabelecer e manter as políticas de chave

    • Estabelecendo e mantendo IAM políticas e subsídios

    • Habilitar e desabilitar políticas de chaves

    • Alternar os materiais de criptografia de chave

    • Adicionar etiquetas

    • Criar réplicas de chaves

    • Programar chaves para exclusão

    Para obter mais informações, consulte a chave gerenciada pelo cliente no Guia do desenvolvedor do AWS Key Management Service.

A tabela a seguir resume os recursos que oferecem AWS Ground Station suporte ao uso de chaves gerenciadas pelo cliente.

Tipo de dados Criptografia de chave de propriedade da AWS Criptografia de chave gerenciada pelo cliente (opcional)
Dados de efemérides usados para calcular a trajetória de um satélite Habilitado Habilitado
nota

AWS Ground Station ativa automaticamente a criptografia em repouso usando chaves AWS próprias para proteger dados de identificação pessoal sem nenhum custo. No entanto, AWS KMS cobranças são aplicadas pelo uso de uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte os preços do AWS Key Management Service.

Para obter mais informações sobre AWS KMS, consulte o Guia do AWS KMS desenvolvedor.

Como AWS Ground Station usa subsídios em AWS KMS

AWS Ground Station exige uma concessão de chave para usar sua chave gerenciada pelo cliente.

Quando você carrega uma efeméride criptografada com uma chave gerenciada pelo cliente, AWS Ground Station cria uma concessão de chave em seu nome enviando uma CreateGrant solicitação para. AWS KMS As concessões AWS KMS são usadas para dar AWS Ground Station acesso a uma KMS chave em sua conta.

AWS Ground Station exige que a concessão use sua chave gerenciada pelo cliente para as seguintes operações internas:

  • Envie GenerateDataKeysolicitações AWS KMS para gerar chaves de dados criptografadas pela chave gerenciada pelo cliente.

  • Envie solicitações de descriptografia para AWS KMS descriptografar as chaves de dados criptografadas para que elas possam ser usadas para criptografar seus dados.

  • Envie solicitações de criptografia para AWS KMS criptografar os dados fornecidos.

É possível revogar o acesso à concessão, ou remover o acesso do serviço à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, AWS Ground Station não conseguirá acessar nenhum dos dados criptografados pela chave gerenciada pelo cliente, o que afeta as operações que dependem desses dados. Por exemplo, se você remover uma concessão de chave de uma efeméride atualmente em uso para um contato, não AWS Ground Station poderá usar os dados de efemérides fornecidos para apontar a antena durante o contato. Isso fará com que o contato termine em um FAILED estado.

Criar uma chave gerenciada pelo cliente

Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou o. AWS KMS APIs

Para criar uma chave simétrica gerenciada pelo cliente

Siga as etapas para criar uma chave simétrica gerenciada pelo cliente no Guia do desenvolvedor do AWS Key Management Service.

Política de chave

As políticas de chaves controlam o acesso à chave gerenciada pelo seu cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, é possível especificar uma política de chaves. Para obter mais informações, consulte Gerenciando o acesso às chaves gerenciadas pelo cliente no Guia do desenvolvedor do AWS Key Management Service.

Para usar sua chave gerenciada pelo cliente com seus AWS Ground Station recursos, as seguintes API operações devem ser permitidas na política de chaves:

kms:CreateGrant: adiciona uma concessão a uma chave gerenciada pelo cliente. Concede acesso de controle a uma KMS chave especificada, o que permite o acesso AWS Ground Station necessário às operações de concessão. Para obter mais informações sobre o uso de concessões, consulte o Guia do desenvolvedor do AWS Key Management Service.

Isso permite que AWS a Amazon faça o seguinte:

  • Ligue GenerateDataKeypara gerar uma chave de dados criptografada e armazená-la, porque a chave de dados não é usada imediatamente para criptografar.

  • Chame o Decrypt para usar a chave de dados criptografada armazenada para acessar os dados criptografados.

  • Chame Encrypt para usar a chave de dados para criptografar dados.

  • Configure uma entidade principal aposentada para permitir que o serviço para RetireGrant.

kms:DescribeKey- Fornece os detalhes da chave gerenciada pelo cliente AWS Ground Station para permitir a validação da chave antes de tentar criar uma concessão com a chave fornecida.

A seguir estão exemplos IAM de declarações de política que você pode adicionar para AWS Ground Station 

"Statement" : [ 
  {"Sid" : "Allow access to principals authorized to use AWS Ground Station",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "*"
    },
    "Action" : [ 
      "kms:DescribeKey", 
      "kms:CreateGrant"
    ],
    "Resource" : "*",
    "Condition" : {
    "StringEquals" : {
        "kms:ViaService" : "groundstation.amazonaws.com",
        "kms:CallerAccount" : "111122223333"
    }
  },
  {"Sid": "Allow access for key administrators",
    "Effect": "Allow",
    "Principal": {
      "AWS": "arn:aws:iam::111122223333:root"
    },
    "Action" : [ 
      "kms:*"
      ],
    "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
  },
  {"Sid" : "Allow read-only access to key metadata to the account",
    "Effect" : "Allow",
    "Principal" : {
      "AWS" : "arn:aws:iam::111122223333:root"
    },
    "Action" : [ 
      "kms:Describe*",
      "kms:Get*",
      "kms:List*",
      "kms:RevokeGrant"
    ],
    "Resource" : "*"
  }
]

Para obter mais informações sobre a especificação de permissões em uma política, consulte o Guia do desenvolvedor do AWS Key Management Service.

Para obter mais informações sobre como solucionar problemas de acesso à chave, consulte o Guia do desenvolvedor do AWS Key Management Service.

Especificando uma chave gerenciada pelo cliente para AWS Ground Station

Você pode especificar uma chave gerenciada pelo cliente para fornecer criptografia para os seguintes recursos:

  • Efemérides

Ao criar um recurso, você pode especificar a chave de dados fornecendo um kmsKeyArn

AWS Ground Station contexto de criptografia

Um contexto de criptografia é um conjunto opcional de pares chave-valor que pode conter informações contextuais adicionais sobre os dados. AWS KMSusa o contexto de criptografia como dados autenticados adicionais para oferecer suporte à criptografia autenticada. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, AWS KMS vincula o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você inclui o mesmo contexto de criptografia na solicitação.

AWS Ground Station contexto de criptografia

AWS Ground Station usa o contexto de criptografia diferente dependendo do recurso que está sendo criptografado e especifica um contexto de criptografia específico para cada concessão de chave criada.

Contexto de criptografia de efemérides:

Concessão de chave para criptografia de efemérides: os recursos estão vinculados a um satélite específico. ARN 

"encryptionContext": {
    "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE"
}
nota

As doações de chaves são reutilizadas para o mesmo par chave-satélite.

Usar o contexto de criptografia para monitoramento

Quando você usa uma chave simétrica gerenciada pelo cliente para criptografar suas efemérides, também pode utilizar o contexto de criptografia em registros de auditoria e logs para identificar como a chave gerenciada pelo cliente está sendo utilizada. O contexto de criptografia também aparece nos registros gerados pelo AWS CloudTrail ou Amazon CloudWatch Logs.

Usar o contexto de criptografia para controlar o acesso à chave gerenciada pelo cliente

Você pode usar o contexto de criptografia nas principais políticas e IAM políticas conditions para controlar o acesso à sua chave simétrica gerenciada pelo cliente. Você também pode usar restrições no contexto de criptografia em uma concessão.

AWS Ground Station usa uma restrição de contexto de criptografia nas concessões para controlar o acesso à chave gerenciada pelo cliente em sua conta ou região. A restrição da concessão exige que as operações permitidas pela concessão usem o contexto de criptografia especificado.

Veja a seguir exemplos de declarações de políticas de chave para conceder acesso a uma chave gerenciada pelo cliente para um contexto de criptografia específico. A condição nesta declaração de política exige que as concessões tenham uma restrição de contexto de criptografia que especifique o contexto de criptografia. 

{"Sid": "Enable DescribeKey",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:DescribeKey",
     "Resource": "*"
},{"Sid": "Enable CreateGrant",
     "Effect": "Allow",
     "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"
     },
     "Action": "kms:CreateGrant",
     "Resource": "*",
     "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE"
        }
     }
}

Monitorando suas chaves de criptografia para AWS Ground Station

Ao usar uma chave gerenciada pelo AWS KMS cliente com seus AWS Ground Station recursos, você pode usar AWS CloudTrailnossos CloudWatch registros da Amazon para rastrear solicitações AWS Ground Station enviadas para AWS KMS. Os exemplos a seguir são AWS CloudTrail eventos paraCreateGrant, GenerateDataKeyDecrypt, Encrypt e DescribeKey para monitorar KMS operações chamadas pela AWS Ground Station para acessar dados criptografados pela chave gerenciada pelo cliente.

CreateGrant (Cloudtrail)

Quando você usa uma chave gerenciada pelo AWS KMS cliente para criptografar seus recursos de efemérides, AWS Ground Station envia uma CreateGrant solicitação em seu nome para acessar a KMS chave em sua conta. AWS A concessão AWS Ground Station criada é específica para o recurso associado à chave gerenciada pelo AWS KMS cliente. Além disso, o AWS Ground Station usa a RetireGrant operação para remover uma concessão quando você exclui um recurso.

O evento de exemplo a seguir registra a operação CreateGrant: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AAAAAAAAAAAAAAAAAAAAA:SampleUser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
        "accountId": "111122223333",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AAAAAAAAAAAAAAAAAAAAA",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-02-22T22:22:22Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "111.11.11.11",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "operations": [
            "GenerateDataKeyWithoutPlaintext",
            "Decrypt",
            "Encrypt"
        ],
        "constraints": {
            "encryptionContextSubset": {
                "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE"
            }
        },
        "granteePrincipal": "groundstation.us-west-2.amazonaws.com",
        "retiringPrincipal": "groundstation.us-west-2.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

DescribeKey (Cloudtrail)

Quando você usa uma chave gerenciada pelo AWS KMS cliente para criptografar seus recursos de efemérides, AWS Ground Station envia uma DescribeKey solicitação em seu nome para validar se a chave solicitada existe em sua conta.

O evento de exemplo a seguir registra a operação DescribeKey: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AAAAAAAAAAAAAAAAAAAAA:SampleUser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/User/Role",
        "accountId": "111122223333",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AAAAAAAAAAAAAAAAAAAAA",
                "arn": "arn:aws:iam::111122223333:role/Role",
                "accountId": "111122223333",
                "userName": "User"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-02-22T22:22:22Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

GenerateDataKey (Cloudtrail)

Quando você usa uma chave gerenciada pelo AWS KMS cliente para criptografar seus recursos de efemérides, AWS Ground Station envia uma GenerateDataKey solicitação para KMS gerar uma chave de dados com a qual criptografar seus dados.

O evento de exemplo a seguir registra a operação GenerateDataKey: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
            "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
        },
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}

Decrypt (Cloudtrail)

Quando você usa uma chave gerenciada pelo AWS KMS cliente para criptografar seus recursos de efemérides, AWS Ground Station usa a Decrypt operação para descriptografar as efemérides fornecidas se já estiverem criptografadas com a mesma chave gerenciada pelo cliente. Por exemplo, se uma efeméride estiver sendo carregada de um bucket do S3 e for criptografada nesse bucket com uma determinada chave.

O evento de exemplo a seguir registra a operação Decrypt: 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2022-02-22T22:22:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "encryptionContext": {
            "aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
            "aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management"
}