Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Cifrado de datos en reposo para AWS Ground Station
AWS Ground Station proporciona cifrado de forma predeterminada para proteger sus datos confidenciales en reposo mediante claves AWS de cifrado propias.
+ *AWS claves propias*: AWS Ground Station utiliza estas claves de forma predeterminada para cifrar automáticamente los datos personales y directamente identificables y las efemérides. No puede ver, administrar ni usar claves AWS propias, ni auditar su uso; sin embargo, no es necesario realizar ninguna acción o cambiar los programas para proteger las claves que cifran los datos. [Para obtener más información, consulte [las claves AWS propias](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) en la AWS Key Management Service Guía para desarrolladores.](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
El cifrado de datos en reposo de forma predeterminada ayuda a reducir la sobrecarga operativa y la complejidad que conlleva la protección de datos confidenciales. Al mismo tiempo, permite crear aplicaciones seguras que cumplen estrictos requisitos de encriptación, así como requisitos normativos.
AWS Ground Station aplica el cifrado de todos los datos confidenciales inactivos; sin embargo, en el caso de algunos AWS Ground Station recursos, como las efemérides, puede optar por utilizar una clave gestionada por el cliente en lugar de las claves gestionadas por defecto. AWS
+ *Claves administradas por el cliente*: AWS Ground Station admite el uso de una clave simétrica administrada por el cliente que usted crea, posee y administra en lugar del cifrado que ya posee. AWS Como usted tiene el control total de este cifrado, puede realizar dichas tareas como:
+ Establecer y mantener políticas de claves
+ Establecer y mantener concesiones y políticas de IAM
+ Habilitar y deshabilitar políticas de claves
+ Rotar el material criptográfico
+ Adición de etiquetas de
+ Crear alias de clave
+ Programar la eliminación de claves
Para obtener más información, consulte las [claves administradas por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) en la [ Guía para desarrolladores de AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
En la siguiente tabla se resumen los recursos para los que se AWS Ground Station admite el uso de claves administradas por el cliente
| Tipo de datos: | AWS cifrado de clave propia | Cifrado de claves administradas por el cliente (opcional) |
| --- | --- | --- |
| Datos de efemérides utilizados para calcular la trayectoria de un satélite | Habilitado | Habilitado |
| Efemérides de elevación azimutal utilizadas para controlar las antenas | Habilitado | Habilitado |
**nota**
AWS Ground Station habilita automáticamente el cifrado en reposo y se utiliza Claves propiedad de AWS para proteger los datos de identificación personal sin coste alguno. Sin embargo, se aplican AWS KMS cargos por el uso de una clave gestionada por el cliente. Para obtener más información acerca de los precios, consulte [Precios de AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
Para obtener más información AWS KMS, consulte la [Guía para AWS Key Management Service desarrolladores](https://docs.aws.amazon.com/kms/latest/developerguide/).
Para obtener información específica sobre cada tipo de recurso, consulte:
+ [Cifrado en reposo para datos de efemérides TLE y OEM](security.encryption-at-rest-tle-oem.md)
+ [Cifrado en reposo para efemérides de elevación de acimut](security.encryption-at-rest-azimuth-elevation.md)
## Creación de una clave administrada por el cliente
Puede crear una clave simétrica gestionada por el cliente mediante el Consola de administración de AWS, o el AWS KMS APIs.
### Para crear una clave simétrica administrada por el cliente
Siga los pasos para crear una clave simétrica gestionada por el cliente que se indican en la Guía para [AWS Key Management Service desarrolladores](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html).
### Descripción general de las políticas clave
Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte [Administrar el acceso a las claves administradas por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) en la Guía para AWS Key Management Service desarrolladores.
Para utilizar la clave gestionada por el cliente con AWS Ground Station los recursos, debe configurar la política de claves para conceder los permisos adecuados al AWS Ground Station servicio. Los permisos específicos y la configuración de la política dependen del tipo de recurso que se esté cifrando:
+ *Para obtener información sobre las efemérides de TLE y OEM*, consulte los requisitos y [Cifrado en reposo para datos de efemérides TLE y OEM](security.encryption-at-rest-tle-oem.md) ejemplos específicos de las políticas clave.
+ *Para obtener datos sobre las efemérides de elevación del acimut, consulte [Cifrado en reposo para efemérides de elevación de acimut](security.encryption-at-rest-azimuth-elevation.md) los requisitos* y ejemplos específicos de las políticas clave.
**nota**
La configuración de políticas clave difiere según los tipos de efemérides. Los datos de efemérides TLE y OEM utilizan concesiones para el acceso a las claves, mientras que las efemérides de elevación acimutal utilizan permisos de política de clave directa. Asegúrese de configurar su política de claves de acuerdo con el tipo de recurso específico que esté cifrando.
Para obtener más información sobre la [especificación de los permisos en una política y la](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#overview-policy-elements) [solución de problemas de acceso a las claves](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam), consulta la Guía para AWS Key Management Service desarrolladores.
## Especificar una clave gestionada por el cliente para AWS Ground Station
Puede especificar una clave administrada por el cliente para cifrar los siguientes recursos:
+ Efemérides (TLE, OEM y elevación de acimut)
Al crear un recurso, puede especificar la clave de datos proporcionando una *kmsKeyArn*
+ *kmsKeyArn*- Un [identificador clave](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) para una clave gestionada por el AWS KMS cliente
## AWS Ground Station contexto de cifrado
Un [contexto de cifrado](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) es un conjunto opcional de pares clave-valor que contienen información contextual adicional sobre los datos. AWS KMS utiliza el contexto de cifrado como datos autenticados adicionales para respaldar el cifrado autenticado. Al incluir un contexto de cifrado en una solicitud de cifrado de datos, AWS KMS vincula el contexto de cifrado a los datos cifrados. Para descifrar los datos, debe incluir el mismo contexto de cifrado en la solicitud.
AWS Ground Station utiliza un contexto de cifrado diferente en función del recurso que se esté cifrando y especifica un contexto de cifrado específico para cada concesión de clave creada.
Para obtener información sobre el contexto de cifrado específico del recurso, consulte:
+ [Cifrado en reposo para datos de efemérides TLE y OEM](security.encryption-at-rest-tle-oem.md)
+ [Cifrado en reposo para efemérides de elevación de acimut](security.encryption-at-rest-azimuth-elevation.md)
# Cifrado en reposo para datos de efemérides TLE y OEM
## Requisitos políticos clave para las efemérides de TLE y OEM
Para utilizar una clave gestionada por el cliente con datos de efemérides, tu política de claves debe conceder los siguientes permisos al servicio: AWS Ground Station
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)- Crea una concesión de acceso a una clave gestionada por el cliente. Concede AWS Ground Station acceso para realizar [operaciones de concesión](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) con la clave gestionada por el cliente para leer y almacenar datos cifrados.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)- Proporciona los detalles de la clave gestionada por el cliente AWS Ground Station para poder validarla antes de intentar utilizar la clave proporcionada.
Para obtener más información sobre el [uso de las subvenciones](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), consulta la Guía para AWS Key Management Service desarrolladores.
## Permisos de usuario de IAM para crear efemérides con claves administradas por el cliente
Cuando AWS Ground Station utiliza una clave gestionada por el cliente en las operaciones criptográficas, actúa en nombre del usuario que está creando el recurso de efemérides.
Para crear un recurso de efemérides con una clave administrada por el cliente, el usuario debe tener permisos para realizar las siguientes operaciones en la clave administrada por el cliente:
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)- Permite al usuario crear subvenciones en la clave gestionada por el cliente en nombre de. AWS Ground Station
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)- Permite al usuario ver los detalles de la clave gestionada por el cliente para validarla.
Puede especificar estos permisos necesarios en una política de claves o en una política de IAM si lo permite la política de claves. Estos permisos garantizan que los usuarios puedan autorizar AWS Ground Station el uso de la clave gestionada por el cliente para las operaciones de cifrado en su nombre.
## ¿Cómo se AWS Ground Station utilizan las subvenciones AWS KMS para las efemérides
AWS Ground Station requiere una [concesión de clave](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para utilizar la clave gestionada por el cliente.
Cuando subes una efeméride cifrada con una clave gestionada por el cliente, AWS Ground Station crea una concesión de claves en tu nombre enviando una solicitud a. [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) AWS KMS Las subvenciones AWS KMS se utilizan para dar AWS Ground Station acceso a una AWS KMS clave de tu cuenta.
Esto permite AWS Ground Station hacer lo siguiente:
+ Llamar a [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) para generar una clave de datos cifrada y almacenarla, ya que la clave de datos no se utiliza inmediatamente para cifrar.
+ Llame a [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) para utilizar la clave de datos cifrados almacenada para acceder a los datos cifrados.
+ Llame a [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) para usar la clave de datos para cifrar los datos.
+ Configurar una entidad principal que se retire para permitir que el servicio [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html).
Puedes revocar el acceso a la subvención en cualquier momento. Si lo haces, AWS Ground Station no podrás acceder a ninguno de los datos cifrados por la clave gestionada por el cliente, lo que afectará a las operaciones que dependen de esos datos. Por ejemplo, si eliminas la concesión de una clave de una efeméride actualmente en uso para un contacto, no AWS Ground Station podrás utilizar los datos de efemérides proporcionados para apuntar la antena durante el contacto. Esto provocará que el contacto finalice con un estado de FALLIDO.
## Contexto de cifrado de efemérides
Las concesiones clave para cifrar los recursos de efemérides están vinculadas a un ARN de satélite específico.
```
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
}
```
**nota**
Las concesiones de claves se reutilizan para el mismo par clave-satélite.
## Uso del contexto de cifrado para la supervisión
Si utiliza una clave simétrica administrada por el cliente para cifrar sus efemérides, también puede utilizar el contexto de cifrado en los registros y registros de auditoría para identificar cómo se está utilizando la clave administrada por el cliente. El contexto de cifrado también aparece en [los registros generados por AWS CloudTrail Amazon CloudWatch Logs](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html).
## Utilizar el contexto de cifrado para controlar el acceso a la clave administrada por el cliente
Puede utilizar el contexto de cifrado en las políticas de claves y las políticas de IAM como `conditions` para controlar el acceso a la clave simétrica administrada por el cliente. Puede usar también una restricción de contexto de cifrado en una concesión.
AWS Ground Station utiliza una restricción de contexto de cifrado en las concesiones para controlar el acceso a la clave gestionada por el cliente en su cuenta o región. La restricción de concesión requiere que las operaciones que permite la concesión utilicen el contexto de cifrado especificado.
Los siguientes son ejemplos de declaraciones de política de claves para conceder acceso a una clave administrada por el cliente para un contexto de cifrado específico. La condición de esta declaración de política exige que las concesiones tengan una restricción de contexto de cifrado que especifique el contexto de cifrado.
El siguiente ejemplo muestra una política clave para los datos de efemérides enlazados a un satélite:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Create Grant on key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:groundstation:arn": "arn:aws:groundstation::123456789012:satellite/satellite-id"
}
}
}
]
}
```
------
## Supervisión de las claves de cifrado para detectar efemérides
Cuando utilizas una clave gestionada por el AWS Key Management Service cliente con tus recursos de efemérides, puedes utilizar los [ CloudWatch registros de [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) para realizar un seguimiento de las solicitudes que se AWS Ground Station envían a. AWS KMS Los siguientes ejemplos son CloudTrail eventos para [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)[descifrar](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) y monitorear AWS KMS las operaciones solicitadas para acceder [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) AWS Ground Station a los datos cifrados por su clave administrada por el cliente. [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
------
#### [ CreateGrant ]
Cuando utilizas una clave gestionada por el AWS KMS cliente para cifrar tus recursos efemérides, AWS Ground Station envía una [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitud en tu nombre para acceder a la AWS KMS clave de tu cuenta. AWS La concesión que se AWS Ground Station crea es específica del recurso asociado a la clave gestionada por el AWS KMS cliente. Además, AWS Ground Station utiliza la [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)operación para eliminar una concesión al eliminar un recurso.
El siguiente evento de ejemplo registra la [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)operación de una efeméride:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-02-22T22:22:22Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"operations": [
"GenerateDataKeyWithoutPlaintext",
"Decrypt",
"Encrypt"
],
"constraints": {
"encryptionContextSubset": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE"
}
},
"granteePrincipal": "groundstation.us-west-2.amazonaws.com",
"retiringPrincipal": "groundstation.us-west-2.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ DescribeKey ]
Cuando utilizas una clave gestionada por el AWS KMS cliente para cifrar tus recursos de efemérides, AWS Ground Station envía una [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)solicitud en tu nombre para validar que la clave solicitada existe en tu cuenta.
El siguiente evento de ejemplo registra la operación [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html):
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/User/Role",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Role",
"accountId": "111122223333",
"userName": "User"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-02-22T22:22:22Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKey ]
Cuando utilizas una clave gestionada por el AWS KMS cliente para cifrar tus recursos de efemérides, AWS Ground Station envía una [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)solicitud a para generar una clave de datos con la que cifrar tus datos.
El siguiente evento de ejemplo registra la [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operación de una efeméride:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
Cuando utiliza una clave gestionada por el AWS KMS cliente para cifrar los recursos de efemérides, AWS Ground Station utiliza la operación de descifrado para [descifrar](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) las efemérides proporcionadas si ya están cifradas con la misma clave gestionada por el cliente. Por ejemplo si se está cargando una efeméride desde un bucket de S3 y se cifra en ese bucket con una clave determinada.
[El siguiente evento de ejemplo registra la operación de descifrado de una efeméride:](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
```
------
# Cifrado en reposo para efemérides de elevación de acimut
## Requisitos normativos clave para las efemérides de elevación del acimut
Para usar una clave administrada por el cliente con datos de efemérides de elevación del acimut, tu política de claves debe conceder los siguientes permisos al servicio. AWS Ground Station A diferencia de los datos de efemérides TLE y OEM, que utilizan concesiones, las efemérides de elevación azimutal utilizan permisos de política de clave directa para las operaciones de cifrado. Se trata de un método más sencillo para administrar los permisos y utilizar las claves.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)- Genera claves de datos para cifrar los datos de efemérides de elevación del acimut.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)- Descifra las claves de datos cifradas al acceder a sus datos de efemérides de elevación azimutal.
### Ejemplo de política de claves que concede AWS Ground Station acceso a una clave gestionada por el cliente
**nota**
Con las efemérides de elevación de acimut, debe configurar estos permisos directamente en la política clave. Al director del AWS Ground Station servicio regional (por ejemplo,`groundstation.region.amazonaws.com`) se le deben conceder estos permisos en sus declaraciones de política clave. Si no se añaden estas declaraciones a la política clave, no AWS Ground Station podrá almacenar ni acceder a sus efemérides de elevación de acimut personalizadas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
## Permisos de usuario de IAM para crear efemérides de elevación de acimut con claves administradas por el cliente
Cuando se AWS Ground Station utiliza una clave gestionada por el cliente en las operaciones criptográficas, actúa en nombre del usuario que está creando el recurso de efemérides de elevación de acimut.
Para crear un recurso de efemérides de elevación azimutal con una clave administrada por el cliente, el usuario debe tener permisos para realizar las siguientes operaciones en la clave administrada por el cliente:
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)- Permite al usuario generar claves de datos para cifrar los datos de las efemérides de elevación azimutal.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)- Permite al usuario descifrar las claves de datos al acceder a los datos de las efemérides de elevación azimutal.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)- Permite al usuario ver los detalles de las claves gestionadas por el cliente para validar la clave.
Puede especificar estos permisos necesarios en una política de claves o en una política de IAM si lo permite la política de claves. Estos permisos garantizan que los usuarios puedan autorizar AWS Ground Station el uso de la clave gestionada por el cliente para las operaciones de cifrado en su nombre.
## ¿Cómo AWS Ground Station utiliza las políticas clave para las efemérides de elevación del acimut
Cuando proporciona datos de efemérides de elevación del acimut con una clave administrada por el cliente, utiliza políticas de claves para acceder a su clave de cifrado. AWS Ground Station Los permisos se otorgan directamente mediante declaraciones de políticas clave y no AWS Ground Station mediante subvenciones, como ocurre con los datos de efemérides de TLE o OEM.
Si AWS Ground Station eliminas el acceso a la clave gestionada por el cliente, AWS Ground Station no podrás acceder a ninguno de los datos cifrados por esa clave, lo que afectará a las operaciones que dependen de esos datos. Por ejemplo, si eliminas los permisos de política clave para las efemérides de elevación de acimut que actualmente se utilizan para un contacto, no AWS Ground Station podrá utilizar los datos de elevación de acimut proporcionados para controlar la antena durante el contacto. Esto provocará que el contacto finalice con un estado de FALLIDO.
## Contexto de cifrado de efemérides de elevación azimutal
[Cuando AWS Ground Station utiliza su AWS KMS clave para cifrar los datos de efemérides de elevación del acimut, el servicio especifica un contexto de cifrado.](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) El contexto de cifrado son datos autenticados adicionales (AAD) que se utilizan para garantizar la integridad de los datos. AWS KMS Cuando se especifica un contexto de cifrado para una operación de cifrado, el servicio debe especificar el mismo contexto de cifrado para la operación de descifrado. De lo contrario, el descifrado produce un error. El contexto de cifrado también se escribe en sus CloudTrail registros para ayudarle a entender por qué se utilizó una AWS KMS clave determinada. Sus CloudTrail registros pueden contener muchas entradas que describen el uso de una AWS KMS clave, pero el contexto de cifrado de cada entrada de registro puede ayudarle a determinar el motivo de ese uso concreto.
AWS Ground Station especifica el siguiente contexto de cifrado cuando realiza operaciones criptográficas con la clave administrada por el cliente en una efeméride de elevación de acimut:
```
{
"encryptionContext": {
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:groundstation:arn": "arn:aws:groundstation:us-east-2:111122223333:ephemeris/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/00a770b0-082d-45a4-80ed-SAMPLE/raw"
}
}
```
El contexto de cifrado contiene:
`aws:groundstation:ground-station-id`
El nombre de la estación terrestre asociada a las efemérides de elevación del acimut.
aws: estación terrestre: arn
El ARN del recurso de efemérides.
aws:s3:arn
El ARN de las efemérides almacenadas en Amazon S3.
## Utilizar el contexto de cifrado para controlar el acceso a la clave administrada por el cliente
Puede utilizar las declaraciones de condición de IAM para controlar el AWS Ground Station acceso a la clave gestionada por el cliente. Añadir una declaración de condición a `kms:Decrypt` las acciones `kms:GenerateDataKey` y restringe las estaciones terrestres para las que se AWS KMS puede utilizar a.
Los siguientes son ejemplos de declaraciones de políticas clave para conceder AWS Ground Station acceso a su clave gestionada por el cliente en una región específica para una estación terrestre específica. La condición de esta declaración de política exige que todos los accesos cifren y descifren a la clave que especifique un contexto de cifrado que coincida con la condición de la política de claves.
### Ejemplo de política de claves que permite el AWS Ground Station acceso a una clave gestionada por el cliente para una estación terrestre específica
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:groundstation:ground-station-id": "specific-ground-station-name"
}
}
}
]
}
```
------
### Ejemplo de política clave que otorga AWS Ground Station acceso a una clave administrada por el cliente para varias estaciones terrestres
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:groundstation:ground-station-id": [
"specific-ground-station-name-1",
"specific-ground-station-name-2"
]
}
}
}
]
}
```
------
## Supervisión de las claves de cifrado para detectar efemérides de elevación del acimut
[Cuando utilizas una clave gestionada por el AWS KMS cliente con tus recursos de efemérides de elevación del acimut, puedes utilizarla o registrarla para hacer un seguimiento de las solicitudes que se envían a. [ CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) AWS Ground Station AWS KMS Los siguientes ejemplos son CloudTrail eventos de [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) para [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)supervisar AWS KMS las operaciones solicitadas para acceder AWS Ground Station a los datos cifrados por la clave gestionada por el cliente.
------
#### [ GenerateDataKey ]
Cuando utiliza una clave gestionada por el AWS KMS cliente para cifrar sus recursos de efemérides de elevación del acimut, AWS Ground Station envía una [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)solicitud a para AWS KMS generar una clave de datos con la que cifrar los datos.
El siguiente evento de ejemplo registra la operación de las efemérides de elevación acimutal: [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2025-08-25T14:45:48Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2025-08-25T14:52:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ef6f9a8f-8ef6-46a1-bdcb-123456SAMPLE",
"eventID": "952842d4-1389-3232-b885-123456SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "8424f6b6-2280-4d1d-b9fd-0348b1546cba",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
Cuando utiliza una clave administrada por el AWS KMS cliente para cifrar sus recursos de efemérides de elevación de acimut, AWS Ground Station utiliza la operación de descifrado para [descifrar](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) los datos de efemérides de elevación de acimut proporcionados si ya están cifrados con la misma clave administrada por el cliente.
[El siguiente evento de ejemplo registra la operación de descifrado para las efemérides de elevación azimutal:](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
}
},
"attributes": {
"creationDate": "2025-08-25T14:45:48Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal",
"eventTime": "2025-08-25T14:54:01Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "a2f46066-49fb-461a-93cb-123456SAMPLE",
"eventID": "e997b426-e3ad-31c7-a308-123456SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "477b568e-7f56-4f04-905c-623ff146f30d",
"eventCategory": "Management"
}
```
------