翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# の保管中のデータ暗号化 AWS Ground Station
AWS Ground Station はデフォルトで暗号化を提供し、 AWS 所有の暗号化キーを使用して保管中の機密データを保護します。
+ *AWS 所有キー* - デフォルトでは、これらのキー AWS Ground Station を使用して、個人が直接識別可能なデータとエフェメリスを自動的に暗号化します。 AWS所有キーを表示、管理、または使用したり、その使用を監査したりすることはできません。ただし、データを暗号化するキーを保護するためにアクションを実行したりプログラムを変更したりする必要はありません。詳細については、「 [AWS Key Management Service デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)」の[AWS「 所有キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)」を参照してください。
保管中のデータをデフォルトで暗号化することで、機密データの保護におけるオーバーヘッドと複雑な作業を減らすのに役立ちます。同時に、セキュリティを重視したアプリケーションを構築して、暗号化のコンプライアンスと規制の厳格な要件を満たすことができます。
AWS Ground Station は、すべての機密性の高い保管時のデータに対して暗号化を適用しますが、エフェメリスなどの一部の AWS Ground Station リソースでは、デフォルトのマネージドキーの代わりにカスタマー AWS マネージドキーを使用することを選択できます。
+ *カスタマーマネージドキー* -- 既存の AWS 所有暗号化の代わりに作成、所有、管理する対称カスタマーマネージドキーの使用 AWS Ground Station をサポートします。この暗号化層はユーザーが完全に制御できるため、次のようなタスクを実行できます。
+ キーポリシーの策定と維持
+ IAM ポリシーとグラントの策定と維持
+ キーポリシーの有効化と無効化
+ キー暗号化マテリアルのローテーション
+ タグを追加する
+ キーエイリアスの作成
+ キー削除のスケジュール設定
詳細については、「[AWS Key Management Service デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)」の「[カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)」を参照してください。
次の表は、 がカスタマーマネージドキーの使用 AWS Ground Station をサポートしているリソースをまとめたものです。
| データ型 | AWS 所有キーの暗号化 | カスタマーマネージドキーの暗号化 (オプション) |
| --- | --- | --- |
| 衛星の軌跡の計算に使用されるエフェメリスデータ | 有効 | 有効 |
| アンテナのコマンドに使用される方位高度エフェメリス | 有効 | 有効 |
**注記**
AWS Ground Station は、 を使用して保管時の暗号化を自動的に有効に AWS 所有のキー し、個人を特定できるデータを無償で保護します。ただし、カスタマーマネージドキーの使用には AWS KMS 料金が適用されます。料金の詳細については、「[AWS Key Management Service 料金](https://aws.amazon.com/kms/pricing/)」を参照してください。
詳細については AWS KMS、「 [AWS Key Management Service デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/)」を参照してください。
各リソースタイプに固有の情報については、以下を参照してください。
+ [TLE および OEM エフェメリスデータの保管時の暗号化](security.encryption-at-rest-tle-oem.md)
+ [方位高度エフェメリスの保管時の暗号化](security.encryption-at-rest-azimuth-elevation.md)
## カスタマーマネージドキーを作成する
対称カスタマーマネージドキーは AWS マネジメントコンソール、、または AWS KMS APIs を使用して作成できます。
### 対称カスタマーマネージドキーを作成するには
「 [AWS Key Management Service デベロッパーガイド](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)」の「対称カスタマーマネージドキーの作成」の手順に従います。
### キーポリシーの概要
キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。キーポリシーは、カスタマーマネージドキーの作成時に指定できます。詳細については、「 AWS Key Management Service デベロッパーガイド」の[「カスタマーマネージドキーへのアクセスの管理](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)」を参照してください。
AWS Ground Station リソースでカスタマーマネージドキーを使用するには、 AWS Ground Station サービスに適切なアクセス許可を付与するようにキーポリシーを設定する必要があります。特定のアクセス許可とポリシー設定は、暗号化するリソースのタイプによって異なります。
+ *TLE および OEM エフェメリスデータ* - 特定のキーポリシーの要件と例[TLE および OEM エフェメリスデータの保管時の暗号化](security.encryption-at-rest-tle-oem.md)については、「」を参照してください。
+ *方位標高エフェメリスデータ* - 特定のキーポリシーの要件と例[方位高度エフェメリスの保管時の暗号化](security.encryption-at-rest-azimuth-elevation.md)については、「」を参照してください。
**注記**
キーポリシーの設定はエフェメリスタイプによって異なります。TLE および OEM エフェメリスデータはキーアクセスに許可を使用し、アジマス昇格エフェメリスは直接キーポリシー許可を使用します。暗号化する特定のリソースタイプに従ってキーポリシーを設定してください。
[ ポリシーでのアクセス許可の指定とキーアクセスのトラブルシューティングの詳細については、](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#overview-policy-elements)「 AWS Key Management Service デベロッパーガイド」を参照してください。 [https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam)
## のカスタマーマネージドキーの指定 AWS Ground Station
カスタマーマネージドキーを指定して、次のリソースを暗号化できます。
+ エフェメリス (TLE、OEM、方位高度)
リソースを作成するときに *kmsKeyArn* を提供することでデータキーを指定できます。
+ *kmsKeyArn* - AWS KMS カスタマーマネージド[キーのキー識別子](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id)
## AWS Ground Station 暗号化コンテキスト
[暗号化コンテキスト](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html)とは、データに関する追加のコンテキスト情報を含むために、使用する (オプションの) キーと値のペアのセットです。 AWS KMS は、暗号化コンテキストを追加の認証済みデータとして使用し、暗号化の認証をサポートします。データを暗号化するリクエストに暗号化コンテキストを含めると、 は暗号化コンテキストを暗号化されたデータに AWS KMS バインドします。データを復号化するには、そのリクエストに (暗号化時と) 同じ暗号化コンテキストを含めます。
AWS Ground Station は、暗号化されるリソースに応じて異なる暗号化コンテキストを使用し、作成されたキー許可ごとに特定の暗号化コンテキストを指定します。
リソース固有の暗号化コンテキストの詳細については、以下を参照してください。
+ [TLE および OEM エフェメリスデータの保管時の暗号化](security.encryption-at-rest-tle-oem.md)
+ [方位高度エフェメリスの保管時の暗号化](security.encryption-at-rest-azimuth-elevation.md)
# TLE および OEM エフェメリスデータの保管時の暗号化
## TLE および OEM エフェメリスの主要なポリシー要件
エフェメリスデータでカスタマーマネージドキーを使用するには、キーポリシーが AWS Ground Station サービスに次のアクセス許可を付与する必要があります。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) - カスタマーマネージドキーにアクセス許可を作成します。暗号化されたデータを読み取って保存するための、カスタマーマネージドキーに対する[許可オペレーション](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations)を実行する AWS Ground Station アクセス許可を付与します。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) - カスタマーマネージドキーの詳細を提供し、提供されたキーを使用する前に AWS Ground Station がキーを検証できるようにします。
Grants [の使用](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)の詳細については、「 AWS Key Management Service デベロッパーガイド」を参照してください。
## カスタマーマネージドキーを使用してエフェメリスを作成するための IAM ユーザーアクセス許可
が暗号化オペレーションでカスタマーマネージドキー AWS Ground Station を使用する場合、エフェメリスリソースを作成するユーザーに代わって動作します。
カスタマーマネージドキーを使用してエフェメリスリソースを作成するには、ユーザーはカスタマーマネージドキーで次のオペレーションを呼び出すアクセス許可を持っている必要があります。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) - ユーザーが に代わってカスタマーマネージドキーに許可を作成できるようにします AWS Ground Station。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) - ユーザーがカスタマーマネージドキーの詳細を表示してキーを検証できるようにします。
これらの必要なアクセス許可は、キーポリシーか、キーポリシーで許可されている場合は IAM ポリシーで指定できます。これらのアクセス許可により、ユーザーはユーザーに代わって暗号化オペレーションにカスタマーマネージドキーを使用すること AWS Ground Station を に許可できます。
## がエフェメリス AWS KMS の で許可 AWS Ground Station を使用する方法
AWS Ground Station には、カスタマーマネージド[キーを使用するためのキー許可](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)が必要です。
カスタマーマネージドキーで暗号化されたエフェメリスをアップロードすると、 は [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) リクエストを送信して、ユーザーに代わってキー許可 AWS Ground Station を作成します AWS KMS。の権限 AWS KMS は、アカウントの AWS KMS キーへのアクセスを許可する AWS Ground Station ために使用されます。
これにより、 AWS Ground Station は以下を実行できます。
+ [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) を呼び出して暗号化されたデータキーを生成して保存します。
+ [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) を呼び出して、保存された暗号化されたデータキーを使用して暗号化されたデータにアクセスします。
+ [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) を呼び出して、データキーを使用してデータを暗号化します。
+ サービスに [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) を許可するには、リタイアプリンシパルを設定します。
許可へのアクセスはいつでも取り消すことができます。その場合、カスタマーマネージドキーによって暗号化されたデータにはアクセス AWS Ground Station できず、そのデータに依存するオペレーションに影響します。たとえば、コンタクトに現在使用されているエフェメリスからキー許可を削除すると、 AWS Ground Station はコンタクト中にアンテナをポイントするために提供されたエフェメリスデータを使用できなくなります。これにより、コンタクトは FAILED 状態で終了します。
## Ephemeris 暗号化コンテキスト
エフェメリスリソースを暗号化するためのキー許可は、特定の衛星 ARN にバインドされます。
```
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
}
```
**注記**
キーグ許可は同じキーと衛星のペアに再利用されます。
## 暗号化コンテキストによるモニタリングに暗号化コンテキストを使用する
対称カスタマーマネージドキーを使用してエメリフィスを暗号化する場合は、監査レコードとログで暗号化コンテキストを使用して、カスタマーマネージドキーがどのように使用されているかを特定することもできます。暗号化コンテキストは、 [AWS CloudTrail または Amazon CloudWatch Logs によって生成されたログ](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html)にも表示されます。
## 暗号化コンテキストを使用してカスタマーマネージドキーへのアクセスを制御する
対称カスタマーマネージドキー (CMK) へのアクセスを制御するための `conditions` として、キーポリシーと IAM ポリシー内の暗号化コンテキストを使用することができます。グラントに暗号化コンテキストの制約を使用することもできます。
AWS Ground Station は、権限の暗号化コンテキスト制約を使用して、アカウントまたはリージョンのカスタマーマネージドキーへのアクセスを制御します。グラントの制約では、指定された暗号化コンテキストの使用をグラントが許可するオペレーションが必要です。
次に、特定の暗号化コンテキストのカスタマーマネージドキーへのアクセスを付与するキーポリシーステートメントの例を示します。このポリシーステートメントの条件では、暗号化コンテキストを指定する暗号化コンテキスト制約がグラントに必要です。
次の例は、衛星にバインドされたエフェメリスデータのキーポリシーを示しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Create Grant on key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:groundstation:arn": "arn:aws:groundstation::123456789012:satellite/satellite-id"
}
}
}
]
}
```
------
## エフェメリスの暗号化キーのモニタリング
エフェメリスリソースで AWS Key Management Service カスタマーマネージドキーを使用する場合、 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)または [ Amazon CloudWatch logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)を使用して、 が AWS Ground Station に送信するリクエストを追跡できます AWS KMS。次の例は、[CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)、[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)、[Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)、[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) の CloudTrail イベントで、カスタマーマネージドキーによって暗号化されたデータにアクセス AWS Ground Station するために によって呼び出されるオペレーションをモニタリング AWS KMS します。
------
#### [ CreateGrant ]
AWS KMS カスタマーマネージドキーを使用してエフェメリスリソースを暗号化すると、 はユーザーに代わって [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) リクエスト AWS Ground Station を送信して AWS 、アカウントの AWS KMS キーにアクセスします。が AWS Ground Station 作成する権限は、 AWS KMS カスタマーマネージドキーに関連付けられたリソースに固有です。さらに、 AWS Ground Station リソースを削除すると、 は [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) オペレーションを使用して許可を削除します。
次のイベント例では、エフェメリスの [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) オペレーションを記録します。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-02-22T22:22:22Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"operations": [
"GenerateDataKeyWithoutPlaintext",
"Decrypt",
"Encrypt"
],
"constraints": {
"encryptionContextSubset": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE"
}
},
"granteePrincipal": "groundstation.us-west-2.amazonaws.com",
"retiringPrincipal": "groundstation.us-west-2.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ DescribeKey ]
AWS KMS カスタマーマネージドキーを使用してエフェメリスリソースを暗号化すると、 はユーザーに代わって [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) リクエスト AWS Ground Station を送信し、リクエストされたキーがアカウントに存在することを確認します。
次のイベント例では、[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) オペレーションを記録します。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/User/Role",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Role",
"accountId": "111122223333",
"userName": "User"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-02-22T22:22:22Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKey ]
AWS KMS カスタマーマネージドキーを使用してエフェメリスリソースを暗号化すると、 は [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) リクエストを AWS Ground Station に送信して、データを暗号化するデータキーを生成します。
次のイベント例では、エフェメリスの [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) オペレーションを記録します。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
AWS KMS カスタマーマネージドキーを使用してエフェメリスリソースを暗号化する場合、 は [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) オペレーション AWS Ground Station を使用して、提供されたエフェメリスが既に同じカスタマーマネージドキーで暗号化されている場合に復号します。例えば、エフェメリスが S3 バケットからアップロードされ、そのバケット内で特定のキーで暗号化されているとします。
次のイベント例では、エフェメリスの [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) オペレーションを記録します。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
```
------
# 方位高度エフェメリスの保管時の暗号化
## 方位高度エフェメリスの主要なポリシー要件
方位標高エフェメリスデータでカスタマーマネージドキーを使用するには、キーポリシーが AWS Ground Station サービスに次のアクセス許可を付与する必要があります。許可を使用する TLE および OEM エフェメリスデータとは異なり、方位高度エフェメリスは暗号化オペレーションにダイレクトキーポリシーアクセス許可を使用します。これは、 のアクセス許可を管理し、キーを使用するためのより簡単な方法です。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) - 方位高度エフェメリスデータを暗号化するためのデータキーを生成します。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) - 方位角エフェメリスデータにアクセスするときに、暗号化されたデータキーを復号します。
### カスタマーマネージドキー AWS Ground Station へのアクセスを許可するキーポリシーの例
**注記**
方位高度エフェメリスでは、キーポリシーでこれらのアクセス許可を直接設定する必要があります。リージョン AWS Ground Station サービスプリンシパル ( など`groundstation.region.amazonaws.com`) には、キーポリシーステートメントでこれらのアクセス許可を付与する必要があります。これらのステートメントをキーポリシーに追加しないと AWS Ground Station 、カスタム方位高度エフェメリスを保存またはアクセスできなくなります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
## カスタマーマネージドキーを使用して方位高度エフェメリスを作成するための IAM ユーザーアクセス許可
は、暗号化オペレーションでカスタマーマネージドキー AWS Ground Station を使用する場合、方位角エフェメリスリソースを作成するユーザーに代わって動作します。
カスタマーマネージドキーを使用して方位角エフェメリスリソースを作成するには、ユーザーはカスタマーマネージドキーで次のオペレーションを呼び出すアクセス許可を持っている必要があります。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) - ユーザーが方位高度エフェメリスデータを暗号化するためのデータキーを生成できるようにします。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) - 方位角エフェメリスデータにアクセスするときに、ユーザーがデータキーを復号化できるようにします。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) - ユーザーがカスタマーマネージドキーの詳細を表示してキーを検証できるようにします。
これらの必要なアクセス許可は、キーポリシーか、キーポリシーで許可されている場合は IAM ポリシーで指定できます。これらのアクセス許可により、ユーザーはユーザーに代わって暗号化オペレーションにカスタマーマネージドキーを使用すること AWS Ground Station を に許可できます。
## が方位高度エフェメリスのキーポリシー AWS Ground Station を使用する方法
カスタマーマネージドキーを使用して方位角エフェメリスデータを提供すると、 はキーポリシー AWS Ground Station を使用して暗号化キーにアクセスします。アクセス許可は、TLE または OEM エフェメリスデータと同様に、グラントではなく、 AWS Ground Station キーポリシーステートメントを通じて に直接付与されます。
カスタマーマネージドキー AWS Ground Stationへのアクセスを削除した場合、そのキーによって暗号化されたデータにはアクセス AWS Ground Station できず、そのデータに依存するオペレーションに影響します。例えば、コンタクトに現在使用されている方位標高エフェメリスのキーポリシー許可を削除すると、 AWS Ground Station はコンタクト中にアンテナをコマンドするために提供された方位標高データを使用できなくなります。これにより、コンタクトは FAILED 状態で終了します。
## 方位高度エフェメリス暗号化コンテキスト
が AWS KMS キー AWS Ground Station を使用して方位高度エフェメリスデータを暗号化する場合、サービスは[暗号化コンテキスト](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html)を指定します。暗号化コンテキストは、データの整合性を確保するために が AWS KMS 使用する追加の認証データ (AAD) です。暗号化オペレーションで暗号化コンテキストを指定すると、サービスは復号オペレーションでも同じ暗号化コンテキストを指定する必要があります。そうしないと、復号は失敗します。暗号化コンテキストは CloudTrail ログにも書き込まれ、特定の AWS KMS キーが使用された理由を理解するのに役立ちます。CloudTrail ログには、 AWS KMS キーの使用を説明するエントリが多数含まれている場合がありますが、各ログエントリの暗号化コンテキストは、その特定の使用理由を判断するのに役立ちます。
AWS Ground Station は、方位角エフェメリスでカスタマーマネージドキーを使用して暗号化オペレーションを実行するときに、次の暗号化コンテキストを指定します。
```
{
"encryptionContext": {
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:groundstation:arn": "arn:aws:groundstation:us-east-2:111122223333:ephemeris/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/00a770b0-082d-45a4-80ed-SAMPLE/raw"
}
}
```
暗号化コンテキストには以下が含まれます。
`aws:groundstation:ground-station-id`
方位高度エフェメリスに関連付けられた地上局の名前。
aws:groundstation:arn
エフェメリスリソースの ARN。
aws:s3:arn
Amazon S3 に保存されているエフェメリスの ARN。
## 暗号化コンテキストを使用してカスタマーマネージドキーへのアクセスを制御する
IAM 条件ステートメントを使用して、カスタマーマネージドキー AWS Ground Station へのアクセスを制御できます。および `kms:Decrypt`アクションに条件ステートメントを追加する`kms:GenerateDataKey`と、 AWS KMS を使用できる地上局が制限されます。
以下は、特定の地上局の特定のリージョンのカスタマーマネージドキー AWS Ground Station へのアクセスを許可するためのキーポリシーステートメントの例です。このポリシーステートメントの条件では、キーポリシーの条件に一致する暗号化コンテキストを指定するキーへのすべての暗号化および復号アクセスが必要です。
### 特定の地上局のカスタマーマネージドキー AWS Ground Station へのアクセスを許可するキーポリシーの例
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:groundstation:ground-station-id": "specific-ground-station-name"
}
}
}
]
}
```
------
### 複数の地上局のカスタマーマネージドキー AWS Ground Station へのアクセスを許可するキーポリシーの例
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:groundstation:ground-station-id": [
"specific-ground-station-name-1",
"specific-ground-station-name-2"
]
}
}
}
]
}
```
------
## 方位高度エフェメリスの暗号化キーのモニタリング
方位高度エフェメリスリソースで AWS KMS カスタマーマネージドキーを使用する場合、[CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) または [ CloudWatch ログ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)を使用して が AWS Ground Station 送信するリクエストを追跡できます AWS KMS。次の例は、[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) と [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) の CloudTrail イベントで、カスタマーマネージドキーによって暗号化されたデータにアクセス AWS Ground Station するために によって呼び出されるオペレーションをモニタリング AWS KMS します。
------
#### [ GenerateDataKey ]
AWS KMS カスタマーマネージドキーを使用して方位高度エフェメリスリソースを暗号化すると、 は [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) リクエストを AWS Ground Station に送信 AWS KMS して、データを暗号化するデータキーを生成します。
次のイベント例では、方位高度エフェメリスの [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) オペレーションを記録します。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2025-08-25T14:45:48Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2025-08-25T14:52:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ef6f9a8f-8ef6-46a1-bdcb-123456SAMPLE",
"eventID": "952842d4-1389-3232-b885-123456SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "8424f6b6-2280-4d1d-b9fd-0348b1546cba",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
AWS KMS カスタマーマネージドキーを使用して方位角エフェメリスリソースを暗号化する場合、 は [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) オペレーション AWS Ground Station を使用して、同じカスタマーマネージドキーで既に暗号化されている場合に提供された方位角エフェメリスデータを復号します。
次のイベント例では、方位高度エフェメリスの [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) オペレーションを記録します。
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
}
},
"attributes": {
"creationDate": "2025-08-25T14:45:48Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal",
"eventTime": "2025-08-25T14:54:01Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "a2f46066-49fb-461a-93cb-123456SAMPLE",
"eventID": "e997b426-e3ad-31c7-a308-123456SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "477b568e-7f56-4f04-905c-623ff146f30d",
"eventCategory": "Management"
}
```
------