翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 方位高度エフェメリスの保管時の暗号化
## 方位高度エフェメリスの主要なポリシー要件
方位標高エフェメリスデータでカスタマーマネージドキーを使用するには、キーポリシーが AWS Ground Station サービスに次のアクセス許可を付与する必要があります。許可を使用する TLE および OEM エフェメリスデータとは異なり、方位高度エフェメリスは暗号化オペレーションにダイレクトキーポリシーアクセス許可を使用します。これは、 のアクセス許可を管理し、キーを使用するためのより簡単な方法です。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) - 方位高度エフェメリスデータを暗号化するためのデータキーを生成します。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) - 方位角エフェメリスデータにアクセスするときに、暗号化されたデータキーを復号します。
### カスタマーマネージドキー AWS Ground Station へのアクセスを許可するキーポリシーの例
**注記**
方位高度エフェメリスでは、キーポリシーでこれらのアクセス許可を直接設定する必要があります。リージョン AWS Ground Station サービスプリンシパル ( など`groundstation.region.amazonaws.com`) には、キーポリシーステートメントでこれらのアクセス許可を付与する必要があります。これらのステートメントをキーポリシーに追加しないと AWS Ground Station 、カスタム方位高度エフェメリスを保存またはアクセスできなくなります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
## カスタマーマネージドキーを使用して方位高度エフェメリスを作成するための IAM ユーザーアクセス許可
は、暗号化オペレーションでカスタマーマネージドキー AWS Ground Station を使用する場合、方位角エフェメリスリソースを作成するユーザーに代わって動作します。
カスタマーマネージドキーを使用して方位角エフェメリスリソースを作成するには、ユーザーはカスタマーマネージドキーで次のオペレーションを呼び出すアクセス許可を持っている必要があります。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) - ユーザーが方位高度エフェメリスデータを暗号化するためのデータキーを生成できるようにします。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) - 方位角エフェメリスデータにアクセスするときに、ユーザーがデータキーを復号化できるようにします。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) - ユーザーがカスタマーマネージドキーの詳細を表示してキーを検証できるようにします。
これらの必要なアクセス許可は、キーポリシーか、キーポリシーで許可されている場合は IAM ポリシーで指定できます。これらのアクセス許可により、ユーザーはユーザーに代わって暗号化オペレーションにカスタマーマネージドキーを使用すること AWS Ground Station を に許可できます。
## が方位高度エフェメリスのキーポリシー AWS Ground Station を使用する方法
カスタマーマネージドキーを使用して方位角エフェメリスデータを提供すると、 はキーポリシー AWS Ground Station を使用して暗号化キーにアクセスします。アクセス許可は、TLE または OEM エフェメリスデータと同様に、グラントではなく、 AWS Ground Station キーポリシーステートメントを通じて に直接付与されます。
カスタマーマネージドキー AWS Ground Stationへのアクセスを削除した場合、そのキーによって暗号化されたデータにはアクセス AWS Ground Station できず、そのデータに依存するオペレーションに影響します。例えば、コンタクトに現在使用されている方位標高エフェメリスのキーポリシー許可を削除すると、 AWS Ground Station はコンタクト中にアンテナをコマンドするために提供された方位標高データを使用できなくなります。これにより、コンタクトは FAILED 状態で終了します。
## 方位高度エフェメリス暗号化コンテキスト
が AWS KMS キー AWS Ground Station を使用して方位高度エフェメリスデータを暗号化する場合、サービスは[暗号化コンテキスト](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html)を指定します。暗号化コンテキストは、データの整合性を確保するために が AWS KMS 使用する追加の認証データ (AAD) です。暗号化オペレーションで暗号化コンテキストを指定すると、サービスは復号オペレーションでも同じ暗号化コンテキストを指定する必要があります。そうしないと、復号は失敗します。暗号化コンテキストは CloudTrail ログにも書き込まれ、特定の AWS KMS キーが使用された理由を理解するのに役立ちます。CloudTrail ログには、 AWS KMS キーの使用を説明するエントリが多数含まれている場合がありますが、各ログエントリの暗号化コンテキストは、その特定の使用理由を判断するのに役立ちます。
AWS Ground Station は、方位角エフェメリスでカスタマーマネージドキーを使用して暗号化オペレーションを実行するときに、次の暗号化コンテキストを指定します。
```
{
"encryptionContext": {
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:groundstation:arn": "arn:aws:groundstation:us-east-2:111122223333:ephemeris/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/00a770b0-082d-45a4-80ed-SAMPLE/raw"
}
}
```
暗号化コンテキストには以下が含まれます。
`aws:groundstation:ground-station-id`
方位高度エフェメリスに関連付けられた地上局の名前。
aws:groundstation:arn
エフェメリスリソースの ARN。
aws:s3:arn
Amazon S3 に保存されているエフェメリスの ARN。
## 暗号化コンテキストを使用してカスタマーマネージドキーへのアクセスを制御する
IAM 条件ステートメントを使用して、カスタマーマネージドキー AWS Ground Station へのアクセスを制御できます。および `kms:Decrypt`アクションに条件ステートメントを追加する`kms:GenerateDataKey`と、 AWS KMS を使用できる地上局が制限されます。
以下は、特定の地上局の特定のリージョンのカスタマーマネージドキー AWS Ground Station へのアクセスを許可するためのキーポリシーステートメントの例です。このポリシーステートメントの条件では、キーポリシーの条件に一致する暗号化コンテキストを指定するキーへのすべての暗号化および復号アクセスが必要です。
### 特定の地上局のカスタマーマネージドキー AWS Ground Station へのアクセスを許可するキーポリシーの例
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:groundstation:ground-station-id": "specific-ground-station-name"
}
}
}
]
}
```
------
### 複数の地上局のカスタマーマネージドキー AWS Ground Station へのアクセスを許可するキーポリシーの例
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:groundstation:ground-station-id": [
"specific-ground-station-name-1",
"specific-ground-station-name-2"
]
}
}
}
]
}
```
------
## 方位高度エフェメリスの暗号化キーのモニタリング
方位高度エフェメリスリソースで AWS KMS カスタマーマネージドキーを使用する場合、[CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) または [ CloudWatch ログ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)を使用して が AWS Ground Station 送信するリクエストを追跡できます AWS KMS。次の例は、[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) と [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) の CloudTrail イベントで、カスタマーマネージドキーによって暗号化されたデータにアクセス AWS Ground Station するために によって呼び出されるオペレーションをモニタリング AWS KMS します。
------
#### [ GenerateDataKey ]
AWS KMS カスタマーマネージドキーを使用して方位高度エフェメリスリソースを暗号化すると、 は [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) リクエストを AWS Ground Station に送信 AWS KMS して、データを暗号化するデータキーを生成します。
次のイベント例では、方位高度エフェメリスの [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) オペレーションを記録します。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2025-08-25T14:45:48Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2025-08-25T14:52:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ef6f9a8f-8ef6-46a1-bdcb-123456SAMPLE",
"eventID": "952842d4-1389-3232-b885-123456SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "8424f6b6-2280-4d1d-b9fd-0348b1546cba",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
AWS KMS カスタマーマネージドキーを使用して方位角エフェメリスリソースを暗号化する場合、 は [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) オペレーション AWS Ground Station を使用して、同じカスタマーマネージドキーで既に暗号化されている場合に提供された方位角エフェメリスデータを復号します。
次のイベント例では、方位高度エフェメリスの [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) オペレーションを記録します。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
}
},
"attributes": {
"creationDate": "2025-08-25T14:45:48Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal",
"eventTime": "2025-08-25T14:54:01Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "a2f46066-49fb-461a-93cb-123456SAMPLE",
"eventID": "e997b426-e3ad-31c7-a308-123456SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "477b568e-7f56-4f04-905c-623ff146f30d",
"eventCategory": "Management"
}
```
------