Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Enkripsi data saat istirahat untuk AWS Ground Station
AWS Ground Station menyediakan enkripsi secara default untuk melindungi data sensitif Anda saat istirahat menggunakan kunci enkripsi yang AWS dimiliki.
+ *AWS kunci yang dimiliki* - AWS Ground Station menggunakan kunci ini secara default untuk secara otomatis mengenkripsi data pribadi yang dapat diidentifikasi secara langsung dan ephemerides. Anda tidak dapat melihat, mengelola, atau menggunakan kunci AWS milik, atau mengaudit penggunaannya; Namun, tidak perlu mengambil tindakan apa pun atau mengubah program untuk melindungi kunci yang mengenkripsi data. Untuk informasi selengkapnya, lihat [kunci AWS yang dimiliki](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) di [Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
Enkripsi data saat istirahat secara default membantu dengan mengurangi overhead operasional dan kompleksitas yang terlibat dalam melindungi data sensitif. Pada saat yang sama, ini memungkinkan membangun aplikasi aman yang memenuhi kepatuhan enkripsi yang ketat, serta persyaratan peraturan.
AWS Ground Station memberlakukan enkripsi pada semua data sensitif, saat istirahat, namun, untuk beberapa AWS Ground Station sumber daya, seperti ephemerides, Anda dapat memilih untuk menggunakan kunci yang dikelola pelanggan sebagai pengganti kunci terkelola default. AWS
+ *Kunci terkelola pelanggan* - AWS Ground Station mendukung penggunaan kunci terkelola pelanggan simetris yang Anda buat, miliki, dan kelola menggantikan enkripsi yang AWS dimiliki yang ada. Karena Anda memiliki kontrol penuh atas lapisan enkripsi ini, Anda dapat melakukan tugas-tugas seperti:
+ Menetapkan dan memelihara kebijakan utama
+ Menetapkan dan memelihara kebijakan dan hibah IAM
+ Mengaktifkan dan menonaktifkan kebijakan utama
+ Memutar bahan kriptografi kunci
+ Menambahkan tanda
+ Membuat alias kunci
+ Kunci penjadwalan untuk penghapusan
Untuk informasi selengkapnya, lihat [kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di [Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
Tabel berikut merangkum sumber daya yang AWS Ground Station mendukung penggunaan Customer Managed Keys
| Jenis data | AWS enkripsi kunci yang dimiliki | Enkripsi kunci yang dikelola pelanggan (Opsional) |
| --- | --- | --- |
| Data Ephemeris digunakan untuk menghitung lintasan Satelit | Diaktifkan | Diaktifkan |
| Ephemeris elevasi Azimuth digunakan untuk memerintahkan antena | Diaktifkan | Diaktifkan |
**catatan**
AWS Ground Station secara otomatis mengaktifkan enkripsi saat istirahat menggunakan Kunci milik AWS untuk melindungi data yang dapat diidentifikasi secara pribadi tanpa biaya. Namun, AWS KMS biaya berlaku untuk menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, lihat [AWS Key Management Service harga](https://aws.amazon.com/kms/pricing/).
Untuk informasi selengkapnya AWS KMS, lihat [Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/).
Untuk informasi spesifik untuk setiap jenis sumber daya, lihat:
+ [Enkripsi saat istirahat untuk data ephemeris TLE dan OEM](security.encryption-at-rest-tle-oem.md)
+ [Enkripsi saat istirahat untuk ephemeris elevasi azimuth](security.encryption-at-rest-azimuth-elevation.md)
## Buat kunci terkelola pelanggan
Anda dapat membuat kunci terkelola pelanggan simetris dengan menggunakan Konsol Manajemen AWS, atau. AWS KMS APIs
### Untuk membuat kunci terkelola pelanggan simetris
Ikuti langkah-langkah untuk membuat kunci terkelola pelanggan simetris di [Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html).
### Ikhtisar kebijakan utama
Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat [Mengelola akses ke kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) di Panduan AWS Key Management Service Pengembang.
Untuk menggunakan kunci terkelola pelanggan dengan AWS Ground Station sumber daya, Anda harus mengonfigurasi kebijakan kunci untuk memberikan izin yang sesuai ke AWS Ground Station layanan. Izin spesifik dan konfigurasi kebijakan bergantung pada jenis sumber daya yang Anda enkripsi:
+ *Untuk data ephemeris TLE dan OEM* - Lihat persyaratan dan [Enkripsi saat istirahat untuk data ephemeris TLE dan OEM](security.encryption-at-rest-tle-oem.md) contoh kebijakan utama yang spesifik.
+ *Untuk data ephemeris elevasi azimuth - Lihat [Enkripsi saat istirahat untuk ephemeris elevasi azimuth](security.encryption-at-rest-azimuth-elevation.md) untuk persyaratan* dan contoh kebijakan utama yang spesifik.
**catatan**
Konfigurasi kebijakan kunci berbeda antara tipe ephemeris. Data ephemeris TLE dan OEM menggunakan hibah untuk akses kunci, sedangkan ephemeris elevasi azimuth menggunakan izin kebijakan kunci langsung. Pastikan Anda mengonfigurasi kebijakan kunci sesuai dengan jenis sumber daya tertentu yang Anda enkripsi.
Untuk informasi selengkapnya tentang [menentukan izin dalam kebijakan](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#overview-policy-elements) dan [akses kunci pemecahan masalah](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam), lihat Panduan Pengembang. AWS Key Management Service
## Menentukan kunci yang dikelola pelanggan untuk AWS Ground Station
Anda dapat menentukan kunci yang dikelola pelanggan untuk mengenkripsi sumber daya berikut:
+ Ephemeris (TLE, OEM, dan elevasi azimuth)
Saat Anda membuat sumber daya, Anda dapat menentukan kunci data dengan menyediakan *kmsKeyArn*
+ *kmsKeyArn*- [Pengidentifikasi kunci](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) untuk kunci yang dikelola AWS KMS pelanggan
## AWS Ground Station konteks enkripsi
[Konteks enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tambahan tentang data. AWS KMS menggunakan konteks enkripsi sebagai data otentikasi tambahan untuk mendukung enkripsi yang diautentikasi. Bila Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda menyertakan konteks enkripsi yang sama dalam permintaan.
AWS Ground Station menggunakan konteks enkripsi yang berbeda tergantung pada sumber daya yang dienkripsi dan menentukan konteks enkripsi khusus untuk setiap hibah kunci yang dibuat.
Untuk detail konteks enkripsi khusus sumber daya, lihat:
+ [Enkripsi saat istirahat untuk data ephemeris TLE dan OEM](security.encryption-at-rest-tle-oem.md)
+ [Enkripsi saat istirahat untuk ephemeris elevasi azimuth](security.encryption-at-rest-azimuth-elevation.md)
# Enkripsi saat istirahat untuk data ephemeris TLE dan OEM
## Persyaratan kebijakan utama untuk ephemeris TLE dan OEM
Untuk menggunakan kunci yang dikelola pelanggan dengan data ephemeris, kebijakan kunci Anda harus memberikan izin berikut ke layanan: AWS Ground Station
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)- Membuat hibah akses pada kunci yang dikelola pelanggan. Memberikan AWS Ground Station akses untuk melakukan [operasi hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) pada kunci yang dikelola pelanggan untuk membaca dan menyimpan data terenkripsi.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)- Memberikan rincian kunci yang dikelola pelanggan AWS Ground Station untuk memungkinkan memvalidasi kunci sebelum mencoba menggunakan kunci yang disediakan.
Untuk informasi selengkapnya tentang [Menggunakan Hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), lihat Panduan AWS Key Management Service Pengembang.
## Izin pengguna IAM untuk membuat ephemeris dengan kunci yang dikelola pelanggan
Saat AWS Ground Station menggunakan kunci yang dikelola pelanggan dalam operasi kriptografi, ia bertindak atas nama pengguna yang membuat sumber daya ephemeris.
Untuk membuat sumber daya ephemeris menggunakan kunci yang dikelola pelanggan, pengguna harus memiliki izin untuk memanggil operasi berikut pada kunci yang dikelola pelanggan:
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)- Memungkinkan pengguna untuk membuat hibah pada kunci yang dikelola pelanggan atas nama. AWS Ground Station
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)- Memungkinkan pengguna untuk melihat detail kunci yang dikelola pelanggan untuk memvalidasi kunci.
Anda dapat menentukan izin yang diperlukan ini dalam kebijakan kunci, atau dalam kebijakan IAM jika kebijakan kunci memungkinkan hal tersebut. Izin ini memastikan bahwa pengguna dapat mengotorisasi AWS Ground Station untuk menggunakan kunci yang dikelola pelanggan untuk operasi enkripsi atas nama mereka.
## Bagaimana AWS Ground Station menggunakan hibah AWS KMS untuk ephemeris
AWS Ground Station memerlukan [hibah kunci](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) untuk menggunakan kunci yang dikelola pelanggan Anda.
Saat Anda mengunggah ephemeris yang dienkripsi dengan kunci yang dikelola pelanggan, AWS Ground Station buat hibah kunci atas nama Anda dengan mengirimkan permintaan ke. [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) AWS KMS Hibah AWS KMS digunakan untuk memberikan AWS Ground Station akses ke AWS KMS kunci di akun Anda.
Hal ini memungkinkan AWS Ground Station untuk melakukan hal berikut:
+ Panggilan [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)untuk menghasilkan kunci data terenkripsi dan menyimpannya, karena kunci data tidak segera digunakan untuk mengenkripsi.
+ Panggil [Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) untuk menggunakan kunci data terenkripsi yang disimpan untuk mengakses data terenkripsi.
+ Panggil [Enkripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) untuk menggunakan kunci data untuk mengenkripsi data.
+ Siapkan kepala sekolah yang pensiun untuk memungkinkan layanan. [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)
Anda dapat mencabut akses ke hibah kapan saja. Jika Anda melakukannya, AWS Ground Station tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci yang dikelola pelanggan, yang memengaruhi operasi yang bergantung pada data tersebut. Misalnya, jika Anda menghapus hibah kunci dari ephemeris yang saat ini digunakan untuk kontak maka tidak AWS Ground Station akan dapat menggunakan data ephemeris yang disediakan untuk mengarahkan antena selama kontak. Ini akan menyebabkan kontak berakhir dalam keadaan GAGAL.
## Konteks enkripsi Ephemeris
Hibah kunci untuk mengenkripsi sumber daya ephemeris terikat pada ARN satelit tertentu.
```
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
}
```
**catatan**
Hibah kunci digunakan kembali untuk pasangan kunci-satelit yang sama.
## Menggunakan konteks enkripsi untuk pemantauan
Saat Anda menggunakan kunci terkelola pelanggan simetris untuk mengenkripsi ephemerides Anda, Anda juga dapat menggunakan konteks enkripsi dalam catatan audit dan log untuk mengidentifikasi bagaimana kunci yang dikelola pelanggan digunakan. Konteks enkripsi juga muncul di [log yang dihasilkan oleh AWS CloudTrail atau Amazon CloudWatch Logs](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html).
## Menggunakan konteks enkripsi untuk mengontrol akses ke kunci terkelola pelanggan Anda
Anda dapat menggunakan konteks enkripsi dalam kebijakan utama dan kebijakan IAM `conditions` untuk mengontrol akses ke kunci terkelola pelanggan simetris Anda. Anda juga dapat menggunakan kendala konteks enkripsi dalam hibah.
AWS Ground Station menggunakan batasan konteks enkripsi dalam hibah untuk mengontrol akses ke kunci yang dikelola pelanggan di akun atau wilayah Anda. Batasan hibah mengharuskan operasi yang diizinkan oleh hibah menggunakan konteks enkripsi yang ditentukan.
Berikut ini adalah contoh pernyataan kebijakan kunci untuk memberikan akses ke kunci yang dikelola pelanggan untuk konteks enkripsi tertentu. Kondisi dalam pernyataan kebijakan ini mengharuskan hibah memiliki batasan konteks enkripsi yang menentukan konteks enkripsi.
Contoh berikut menunjukkan kebijakan kunci untuk data ephemeris yang terikat ke satelit:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Create Grant on key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:groundstation:arn": "arn:aws:groundstation::123456789012:satellite/satellite-id"
}
}
}
]
}
```
------
## Memantau kunci enkripsi Anda untuk ephemeris
Saat Anda menggunakan kunci yang dikelola AWS Key Management Service pelanggan dengan sumber daya ephemeris, Anda dapat menggunakan atau [ CloudWatch log [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) untuk melacak permintaan yang AWS Ground Station dikirim. AWS KMS Contoh berikut adalah CloudTrail peristiwa untuk [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html),, [Dekripsi [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html), dan [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)untuk memantau AWS KMS operasi yang dipanggil oleh AWS Ground Station untuk mengakses data yang dienkripsi oleh kunci yang dikelola pelanggan Anda.
------
#### [ CreateGrant ]
Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya ephemeris Anda, AWS Ground Station kirimkan [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)permintaan atas nama Anda untuk mengakses AWS KMS kunci di akun Anda. AWS Hibah AWS Ground Station yang dibuat khusus untuk sumber daya yang terkait dengan kunci yang dikelola AWS KMS pelanggan. Selain itu, AWS Ground Station gunakan [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)operasi untuk menghapus hibah saat Anda menghapus sumber daya.
Contoh peristiwa berikut mencatat [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)operasi untuk ephemeris:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-02-22T22:22:22Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"operations": [
"GenerateDataKeyWithoutPlaintext",
"Decrypt",
"Encrypt"
],
"constraints": {
"encryptionContextSubset": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE"
}
},
"granteePrincipal": "groundstation.us-west-2.amazonaws.com",
"retiringPrincipal": "groundstation.us-west-2.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ DescribeKey ]
Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya ephemeris Anda, AWS Ground Station kirimkan [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)permintaan atas nama Anda untuk memvalidasi bahwa kunci yang diminta ada di akun Anda.
Contoh peristiwa berikut mencatat [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operasi:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/User/Role",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Role",
"accountId": "111122223333",
"userName": "User"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-02-22T22:22:22Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKey ]
Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya ephemeris Anda, AWS Ground Station kirimkan [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)permintaan untuk menghasilkan kunci data yang dapat digunakan untuk mengenkripsi data Anda.
Contoh peristiwa berikut mencatat [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operasi untuk ephemeris:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya ephemeris Anda, AWS Ground Station gunakan operasi Dekripsi untuk [mendekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) ephemeris yang disediakan jika sudah dienkripsi dengan kunci terkelola pelanggan yang sama. Misalnya jika ephemeris sedang diunggah dari bucket S3 dan dienkripsi dalam ember itu dengan kunci yang diberikan.
Contoh peristiwa berikut mencatat operasi [Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) untuk ephemeris:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
```
------
# Enkripsi saat istirahat untuk ephemeris elevasi azimuth
## Persyaratan kebijakan utama untuk ephemeris elevasi azimuth
Untuk menggunakan kunci terkelola pelanggan dengan data ephemeris elevasi azimuth, kebijakan kunci Anda harus memberikan izin berikut ke layanan. AWS Ground Station Tidak seperti data ephemeris TLE dan OEM yang menggunakan hibah, ephemeris elevasi azimuth menggunakan izin kebijakan kunci langsung untuk operasi enkripsi. Ini adalah metode yang lebih sederhana untuk mengelola izin, dan menggunakan kunci Anda.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)- Menghasilkan kunci data untuk mengenkripsi data ephemeris elevasi azimuth Anda.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)- Mendekripsi kunci data terenkripsi saat mengakses data ephemeris elevasi azimuth Anda.
### Contoh kebijakan kunci yang memberikan AWS Ground Station akses ke kunci yang dikelola pelanggan
**catatan**
Dengan azimuth elevation ephemeris, Anda harus mengonfigurasi izin ini secara langsung di kebijakan utama. Prinsipal AWS Ground Station layanan regional (misalnya,`groundstation.region.amazonaws.com`) harus diberikan izin ini dalam pernyataan kebijakan utama Anda. Tanpa pernyataan ini ditambahkan ke kebijakan utama tidak AWS Ground Station akan dapat menyimpan atau mengakses ephemeris elevasi azimuth kustom Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
## Izin pengguna IAM untuk membuat ephemeris elevasi azimuth dengan kunci yang dikelola pelanggan
Saat AWS Ground Station menggunakan kunci yang dikelola pelanggan dalam operasi kriptografi, ia bertindak atas nama pengguna yang membuat sumber daya ephemeris elevasi azimuth.
Untuk membuat sumber daya ephemeris elevasi azimuth menggunakan kunci terkelola pelanggan, pengguna harus memiliki izin untuk memanggil operasi berikut pada kunci yang dikelola pelanggan:
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)- Memungkinkan pengguna untuk menghasilkan kunci data untuk mengenkripsi data ephemeris elevasi azimuth.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)- Memungkinkan pengguna untuk mendekripsi kunci data saat mengakses data ephemeris elevasi azimuth.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)- Memungkinkan pengguna untuk melihat detail kunci yang dikelola pelanggan untuk memvalidasi kunci.
Anda dapat menentukan izin yang diperlukan ini dalam kebijakan kunci, atau dalam kebijakan IAM jika kebijakan kunci memungkinkan hal tersebut. Izin ini memastikan bahwa pengguna dapat mengotorisasi AWS Ground Station untuk menggunakan kunci yang dikelola pelanggan untuk operasi enkripsi atas nama mereka.
## Cara AWS Ground Station menggunakan kebijakan utama untuk ephemeris elevasi azimuth
Saat Anda memberikan data ephemeris elevasi azimuth dengan kunci yang dikelola pelanggan, AWS Ground Station gunakan kebijakan utama untuk mengakses kunci enkripsi Anda. Izin diberikan langsung melalui pernyataan kebijakan utama daripada AWS Ground Station melalui hibah seperti dengan data ephemeris TLE atau OEM.
Jika Anda menghapus AWS Ground Station akses ke kunci yang dikelola pelanggan, AWS Ground Station tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci tersebut, yang memengaruhi operasi yang bergantung pada data tersebut. Misalnya, jika Anda menghapus izin kebijakan kunci untuk ephemeris elevasi azimuth yang saat ini digunakan untuk kontak, tidak AWS Ground Station akan dapat menggunakan data elevasi azimuth yang disediakan untuk memerintahkan antena selama kontak. Ini akan menyebabkan kontak berakhir dalam keadaan GAGAL.
## Konteks enkripsi ephemeris elevasi Azimuth
[Saat AWS Ground Station menggunakan AWS KMS kunci Anda untuk mengenkripsi data ephemeris elevasi azimuth, layanan menentukan konteks enkripsi.](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) Konteks enkripsi adalah data otentikasi tambahan (AAD) yang AWS KMS digunakan untuk memastikan integritas data. Ketika konteks enkripsi ditentukan untuk operasi enkripsi, layanan harus menentukan konteks enkripsi yang sama untuk operasi dekripsi. Jika tidak, dekripsi akan gagal. Konteks enkripsi juga ditulis ke CloudTrail log Anda untuk membantu Anda memahami mengapa AWS KMS kunci yang diberikan digunakan. CloudTrail Log Anda mungkin berisi banyak entri yang menjelaskan penggunaan AWS KMS kunci, tetapi konteks enkripsi di setiap entri log dapat membantu Anda menentukan alasan penggunaan tertentu tersebut.
AWS Ground Station menentukan konteks enkripsi berikut saat melakukan operasi kriptografi dengan kunci yang dikelola pelanggan Anda pada ephemeris elevasi azimuth:
```
{
"encryptionContext": {
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:groundstation:arn": "arn:aws:groundstation:us-east-2:111122223333:ephemeris/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/00a770b0-082d-45a4-80ed-SAMPLE/raw"
}
}
```
Konteks enkripsi berisi:
`aws:groundstation:ground-station-id`
Nama stasiun bumi yang terkait dengan ephemeris elevasi azimuth.
aws:groundstation: arn
ARN dari sumber daya ephemeris.
aws:s3: arn
ARN dari ephemeris disimpan di Amazon S3.
## Menggunakan konteks enkripsi untuk mengontrol akses ke kunci terkelola pelanggan Anda
Anda dapat menggunakan pernyataan kondisi IAM untuk mengontrol AWS Ground Station akses ke kunci yang dikelola pelanggan Anda. Menambahkan pernyataan kondisi pada `kms:GenerateDataKey` dan `kms:Decrypt` tindakan membatasi stasiun bumi mana yang AWS KMS dapat digunakan.
Berikut ini adalah contoh pernyataan kebijakan utama untuk memberikan AWS Ground Station akses ke kunci yang dikelola pelanggan Anda di wilayah tertentu untuk stasiun bumi tertentu. Kondisi dalam pernyataan kebijakan ini mengharuskan semua mengenkripsi dan mendekripsi akses ke kunci yang menentukan konteks enkripsi yang cocok dengan kondisi dalam kebijakan kunci.
### Contoh kebijakan kunci yang memberikan AWS Ground Station akses ke kunci yang dikelola pelanggan untuk stasiun bumi tertentu
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:groundstation:ground-station-id": "specific-ground-station-name"
}
}
}
]
}
```
------
### Contoh kebijakan kunci yang memberikan AWS Ground Station akses ke kunci yang dikelola pelanggan untuk beberapa stasiun bumi
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:groundstation:ground-station-id": [
"specific-ground-station-name-1",
"specific-ground-station-name-2"
]
}
}
}
]
}
```
------
## Memantau kunci enkripsi Anda untuk ephemeris elevasi azimuth
Saat Anda menggunakan kunci terkelola AWS KMS pelanggan dengan sumber daya ephemeris elevasi azimuth, Anda dapat menggunakan [ CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)atau [ CloudWatch mencatat](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) untuk melacak permintaan yang dikirim ke. AWS Ground Station AWS KMS Contoh berikut adalah CloudTrail peristiwa untuk [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)dan [Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) untuk memantau AWS KMS operasi yang dipanggil oleh AWS Ground Station untuk mengakses data yang dienkripsi oleh kunci yang dikelola pelanggan Anda.
------
#### [ GenerateDataKey ]
Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya ephemeris elevasi azimuth Anda, AWS Ground Station kirimkan [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)permintaan ke untuk AWS KMS menghasilkan kunci data yang dapat digunakan untuk mengenkripsi data Anda.
Contoh peristiwa berikut mencatat [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operasi untuk ephemeris elevasi azimuth:
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2025-08-25T14:45:48Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2025-08-25T14:52:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ef6f9a8f-8ef6-46a1-bdcb-123456SAMPLE",
"eventID": "952842d4-1389-3232-b885-123456SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "8424f6b6-2280-4d1d-b9fd-0348b1546cba",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya ephemeris elevasi azimuth Anda, AWS Ground Station gunakan operasi Dekripsi untuk [mendekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) data ephemeris elevasi azimuth yang disediakan jika sudah dienkripsi dengan kunci terkelola pelanggan yang sama.
Contoh peristiwa berikut mencatat operasi [Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) untuk ephemeris elevasi azimuth:
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
}
},
"attributes": {
"creationDate": "2025-08-25T14:45:48Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal",
"eventTime": "2025-08-25T14:54:01Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "a2f46066-49fb-461a-93cb-123456SAMPLE",
"eventID": "e997b426-e3ad-31c7-a308-123456SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "477b568e-7f56-4f04-905c-623ff146f30d",
"eventCategory": "Management"
}
```
------