Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verschlüsselung im Ruhezustand für TLE- und OEM-Ephemeridendaten
## Wichtige politische Anforderungen für TLE- und OEM-Ephemeriden
Um einen vom Kunden verwalteten Schlüssel mit Ephemeridendaten zu verwenden, muss Ihre Schlüsselrichtlinie dem Service die folgenden Berechtigungen gewähren: AWS Ground Station
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)- Erzeugt eine Zugriffsgewährung für einen vom Kunden verwalteten Schlüssel. [Gewährt AWS Ground Station Zugriff auf den vom Kunden verwalteten Schlüssel zum Lesen und Speichern verschlüsselter Daten zur Ausführung von Zugriffsberechtigungen.](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations)
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)- Stellt dem Kunden die vom Kunden verwalteten Schlüssel zur Verfügung, damit AWS Ground Station der Schlüssel validiert werden kann, bevor versucht wird, den bereitgestellten Schlüssel zu verwenden.
Weitere Informationen zur [Verwendung von Zuschüssen](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) finden Sie im AWS Key Management Service Entwicklerhandbuch.
## IAM-Benutzerberechtigungen für die Erstellung von Ephemeriden mit vom Kunden verwalteten Schlüsseln
Wenn ein vom Kunden verwalteter Schlüssel für kryptografische Operationen AWS Ground Station verwendet wird, handelt er im Namen des Benutzers, der die Ephemeridenressource erstellt.
Um eine Ephemeridenressource mithilfe eines vom Kunden verwalteten Schlüssels zu erstellen, muss ein Benutzer über die erforderlichen Berechtigungen verfügen, um die folgenden Operationen mit dem vom Kunden verwalteten Schlüssel aufzurufen:
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)- Ermöglicht dem Benutzer, im Namen von Grants für den vom Kunden verwalteten Schlüssel zu erstellen. AWS Ground Station
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)- Ermöglicht dem Benutzer, die vom Kunden verwalteten Schlüsseldetails einzusehen, um den Schlüssel zu validieren.
Sie können diese erforderlichen Berechtigungen in einer Schlüsselrichtlinie oder in einer IAM-Richtlinie angeben, wenn die Schlüsselrichtlinie dies zulässt. Diese Berechtigungen stellen sicher, dass Benutzer autorisieren können AWS Ground Station , den vom Kunden verwalteten Schlüssel für Verschlüsselungsvorgänge in ihrem Namen zu verwenden.
## Wie werden AWS Ground Station Zuschüsse AWS KMS für Ephemeriden verwendet
AWS Ground Station erfordert einen [Schlüsselzuschuss](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), um Ihren vom Kunden verwalteten Schlüssel verwenden zu können.
Wenn Sie eine Ephemeride hochladen, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, AWS Ground Station erstellt in Ihrem Namen eine Schlüsselzuweisung, indem es eine [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Anfrage an sendet. AWS KMS Grants in AWS KMS werden verwendet, um AWS Ground Station Zugriff auf einen AWS KMS Schlüssel in Ihrem Konto zu gewähren.
Auf diese Weise können AWS Ground Station Sie Folgendes tun:
+ [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) aufrufen, um einen verschlüsselten Datenschlüssel zu generieren und zu speichern, da der Datenschlüssel nicht sofort zum Verschlüsseln verwendet wird.
+ Rufen Sie [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) auf, um den gespeicherten verschlüsselten Datenschlüssel für den Zugriff auf verschlüsselte Daten zu verwenden.
+ Rufen Sie [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) auf, um den Datenschlüssel zum Verschlüsseln von Daten zu verwenden.
+ Einen Prinzipal für die Außerbetriebnahme einrichten, damit der Service in den Status [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) wechseln kann.
Sie können den Zugriff auf den Zuschuss jederzeit widerrufen. Wenn Sie dies tun, können Sie auf AWS Ground Station keine der mit dem vom Kunden verwalteten Schlüssel verschlüsselten Daten zugreifen, was sich auf Vorgänge auswirkt, die von diesen Daten abhängig sind. Wenn Sie beispielsweise einer Ephemeride, die derzeit für einen Kontakt verwendet wird, eine Schlüsselzuweisung entziehen, können Sie AWS Ground Station die bereitgestellten Ephemeridendaten nicht verwenden, um die Antenne während des Kontakts auszurichten. Dies führt dazu, dass der Kontakt im Status FAILED endet.
## Ephemeriden-Verschlüsselungskontext
Wichtige Zuschüsse für die Verschlüsselung von Ephemeridenressourcen sind an einen bestimmten Satelliten-ARN gebunden.
```
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
}
```
**Anmerkung**
Schlüsselzuschüsse werden für dasselbe Schlüssel-Satellitenpaar wiederverwendet.
## Verwenden des Verschlüsselungskontexts für die Überwachung
Wenn Sie einen symmetrischen, vom Kunden verwalteten Schlüssel zur Verschlüsselung Ihrer Ephemeriden verwenden, können Sie den Verschlüsselungskontext auch in Prüfaufzeichnungen und Protokollen verwenden, um festzustellen, wie der vom Kunden verwaltete Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint auch in [Protokollen, die von Amazon CloudWatch Logs generiert wurden AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html).
## Verwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf den vom Kunden verwalteten Schlüssel
Sie können den Verschlüsselungskontext in Schlüsselrichtlinien und IAM-Richtlinien als `conditions` verwenden, um den Zugriff auf Ihren symmetrischen, kundenverwalteten Schlüssel zu kontrollieren. Sie können Verschlüsselungskontext-Einschränkungen auch in einer Genehmigung verwenden.
AWS Ground Station verwendet bei Zuschüssen eine Einschränkung des Verschlüsselungskontextes, um den Zugriff auf den vom Kunden verwalteten Schlüssel in Ihrem Konto oder Ihrer Region zu kontrollieren. Eine Genehmigungseinschränkung erfordert, dass durch die Genehmigung ermöglichte Vorgänge den angegebenen Verschlüsselungskontext verwenden.
Im Folgenden finden Sie Beispiele für Schlüsselrichtlinienanweisungen zur Gewährung des Zugriffs auf einen kundenseitig verwalteten Schlüssel für einen bestimmten Verschlüsselungskontext. Die Bedingung in dieser Richtlinienanweisung setzt voraus, dass die Genehmigungen eine Einschränkung des Verschlüsselungskontextes haben, die den Verschlüsselungskontext spezifiziert.
Das folgende Beispiel zeigt eine wichtige Richtlinie für Ephemeridendaten, die an einen Satelliten gebunden sind:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Create Grant on key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:groundstation:arn": "arn:aws:groundstation::123456789012:satellite/satellite-id"
}
}
}
]
}
```
------
## Überwachen Sie Ihre Verschlüsselungsschlüssel auf Ephemeriden
Wenn Sie einen vom AWS Key Management Service Kunden verwalteten Schlüssel mit Ihren Ephemeridenressourcen verwenden, können Sie [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)oder [ CloudWatch Amazon-Protokolle](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) verwenden, um Anfragen zu verfolgen, die AWS Ground Station an gesendet werden. AWS KMS Die folgenden Beispiele sind CloudTrail Ereignisse für [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html), [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html), [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) und zur Überwachung von AWS KMS Vorgängen, die aufgerufen werden, [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) AWS Ground Station um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden.
------
#### [ CreateGrant ]
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel verwenden, um Ihre Ephemeridenressourcen zu verschlüsseln, AWS Ground Station sendet er in Ihrem Namen eine [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Anfrage, um auf den AWS KMS Schlüssel in Ihrem Konto zuzugreifen. AWS Der gewährte Zuschuss AWS Ground Station ist spezifisch für die Ressource, die dem vom AWS KMS Kunden verwalteten Schlüssel zugeordnet ist. AWS Ground Station Verwendet außerdem den [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)Vorgang, um einen Zuschuss zu entfernen, wenn Sie eine Ressource löschen.
Das folgende Beispielereignis zeichnet den [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)Vorgang für eine Ephemeride auf:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-02-22T22:22:22Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"operations": [
"GenerateDataKeyWithoutPlaintext",
"Decrypt",
"Encrypt"
],
"constraints": {
"encryptionContextSubset": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE"
}
},
"granteePrincipal": "groundstation.us-west-2.amazonaws.com",
"retiringPrincipal": "groundstation.us-west-2.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ DescribeKey ]
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel zur Verschlüsselung Ihrer Ephemeridenressourcen verwenden, AWS Ground Station sendet er in Ihrem Namen eine [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Anfrage, um zu überprüfen, ob der angeforderte Schlüssel in Ihrem Konto vorhanden ist.
Das folgende Beispielereignis zeichnet den Vorgang [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) auf:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/User/Role",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Role",
"accountId": "111122223333",
"userName": "User"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-02-22T22:22:22Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKey ]
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel zur Verschlüsselung Ihrer Ephemeridenressourcen verwenden, AWS Ground Station sendet er eine [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)Anfrage an, um einen Datenschlüssel zu generieren, mit dem Sie Ihre Daten verschlüsseln können.
Das folgende Beispielereignis zeichnet den [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)Vorgang für eine Ephemeride auf:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
Wenn Sie einen vom AWS KMS Kunden verwalteten Schlüssel zum Verschlüsseln Ihrer Ephemeridenressourcen verwenden, AWS Ground Station verwendet es den Vorgang [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html), um die bereitgestellte Ephemeride zu entschlüsseln, sofern sie bereits mit demselben vom Kunden verwalteten Schlüssel verschlüsselt wurde. Zum Beispiel, wenn eine Ephemeride aus einem S3-Bucket hochgeladen und in diesem Bucket mit einem bestimmten Schlüssel verschlüsselt wird.
Das folgende Beispielereignis zeichnet den [Decrypt-Vorgang](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) für eine Ephemeride auf:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
```
------