As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criptografia de dados em repouso para AWS Ground Station
AWS Ground Station fornece criptografia por padrão para proteger seus dados confidenciais em repouso usando chaves AWS de criptografia próprias.
+ *AWS chaves próprias* - AWS Ground Station usa essas chaves por padrão para criptografar automaticamente dados pessoais e efemérides diretamente identificáveis. Você não pode visualizar, gerenciar ou usar chaves AWS próprias nem auditar seu uso; no entanto, não é necessário realizar nenhuma ação ou alterar programas para proteger as chaves que criptografam os dados. Para obter mais informações, consulte [AWS-owned keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) no [Guia do AWS Key Management Service desenvolvedor](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
A criptografia de dados em repouso por padrão reduz a sobrecarga operacional e a complexidade envolvidas na proteção de dados confidenciais. Ao mesmo tempo, permite que você crie aplicativos seguros que atendam aos rigorosos requisitos regulatórios e de conformidade de criptografia.
AWS Ground Station impõe criptografia em todos os dados confidenciais em repouso. No entanto, para alguns AWS Ground Station recursos, como efemérides, você pode optar por usar uma chave gerenciada pelo cliente no lugar das chaves gerenciadas padrão. AWS
+ *Chaves gerenciadas pelo cliente* -- AWS Ground Station suporta o uso de uma chave simétrica gerenciada pelo cliente que você cria, possui e gerencia no lugar da criptografia existente AWS . Como você tem controle total dessa camada de criptografia, você pode realizar tarefas como:
+ Estabelecer e manter as políticas de chave
+ Estabelecer e manter subsídios e IAM policies
+ Habilitar e desabilitar políticas de chaves
+ Alternar os materiais de criptografia de chave
+ Adicionar etiquetas
+ Criar réplicas de chaves
+ Programar chaves para exclusão
Para obter mais informações, consulte [chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) no [Guia do desenvolvedor do AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
A tabela a seguir resume os recursos que oferecem AWS Ground Station suporte ao uso de chaves gerenciadas pelo cliente.
| Tipo de dados | AWS criptografia de chave própria | Criptografia de chave gerenciada pelo cliente (opcional) |
| --- | --- | --- |
| Dados de efemérides usados para calcular a trajetória de um satélite | Habilitado | Habilitado |
| Efemérides de elevação de azimute usadas para comandar antenas | Habilitado | Habilitado |
**nota**
AWS Ground Station ativa automaticamente a criptografia em repouso usando Chaves pertencentes à AWS para proteger dados de identificação pessoal sem nenhum custo. No entanto, AWS KMS cobranças são cobradas pelo uso de uma chave gerenciada pelo cliente. Para obter mais informações sobre preços, consulte [definição de preços da AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
Para obter mais informações sobre AWS KMS, consulte o [Guia do AWS Key Management Service desenvolvedor](https://docs.aws.amazon.com/kms/latest/developerguide/).
Para obter informações específicas para cada tipo de recurso, consulte:
+ [Criptografia em repouso para dados de efemérides TLE e OEM](security.encryption-at-rest-tle-oem.md)
+ [Criptografia em repouso para efemérides de elevação de azimute](security.encryption-at-rest-azimuth-elevation.md)
## Criar uma chave gerenciada pelo cliente
Você pode criar uma chave simétrica gerenciada pelo cliente usando o Console de gerenciamento da AWS, ou o. AWS KMS APIs
### Para criar uma chave simétrica gerenciada pelo cliente
Siga as etapas para criar uma chave simétrica gerenciada pelo cliente no [Guia do AWS Key Management Service desenvolvedor](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html).
### Visão geral das principais políticas
As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, é possível especificar uma política de chave. Para obter mais informações, consulte [Gerenciamento do acesso às chaves gerenciadas pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html) no Guia do AWS Key Management Service desenvolvedor.
Para usar sua chave gerenciada pelo cliente com AWS Ground Station recursos, você deve configurar a política de chaves para conceder as permissões apropriadas ao AWS Ground Station serviço. As permissões específicas e a configuração da política dependem do tipo de recurso que você está criptografando:
+ *Para dados de efemérides de TLE e OEM*, consulte os principais requisitos e [Criptografia em repouso para dados de efemérides TLE e OEM](security.encryption-at-rest-tle-oem.md) exemplos de políticas específicas.
+ *Para dados de efemérides de elevação de azimute*, consulte os principais requisitos e exemplos [Criptografia em repouso para efemérides de elevação de azimute](security.encryption-at-rest-azimuth-elevation.md) de políticas específicas.
**nota**
A configuração da política principal difere entre os tipos de efemérides. Os dados de efemérides TLE e OEM usam concessões para acesso à chave, enquanto as efemérides de elevação de azimute usam permissões diretas de política de chave. Certifique-se de configurar sua política de chaves de acordo com o tipo de recurso específico que você está criptografando.
Para obter mais informações sobre como [especificar permissões em uma política](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#overview-policy-elements) e [solucionar problemas de acesso por chave](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam), consulte o Guia do AWS Key Management Service desenvolvedor.
## Especificando uma chave gerenciada pelo cliente para AWS Ground Station
Você pode especificar uma chave gerenciada pelo cliente para fornecer criptografia para os seguintes recursos:
+ Efemérides (TLE, OEM e elevação de azimute)
Ao criar um recurso, você pode especificar a chave de dados fornecendo um *kmsKeyArn*
+ *kmsKeyArn*- Um [identificador de chave](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) para uma chave gerenciada pelo AWS KMS cliente
## AWS Ground Station contexto de criptografia
Um [contexto de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) é um conjunto opcional de pares de valores-chave que contêm informações contextuais adicionais sobre os dados. AWS KMS usa o contexto de criptografia como dados autenticados adicionais para oferecer suporte à criptografia autenticada. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, AWS KMS vincula o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você inclui o mesmo contexto de criptografia na solicitação.
AWS Ground Station usa um contexto de criptografia diferente dependendo do recurso que está sendo criptografado e especifica um contexto de criptografia específico para cada concessão de chave criada.
Para obter detalhes do contexto de criptografia específico do recurso, consulte:
+ [Criptografia em repouso para dados de efemérides TLE e OEM](security.encryption-at-rest-tle-oem.md)
+ [Criptografia em repouso para efemérides de elevação de azimute](security.encryption-at-rest-azimuth-elevation.md)
# Criptografia em repouso para dados de efemérides TLE e OEM
## Principais requisitos de política para efemérides de TLE e OEM
Para usar uma chave gerenciada pelo cliente com dados efemérides, sua política de chaves deve conceder as seguintes permissões ao serviço: AWS Ground Station
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)- Cria uma concessão de acesso em uma chave gerenciada pelo cliente. Concede AWS Ground Station acesso para realizar [operações de concessão](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations) na chave gerenciada pelo cliente para leitura e armazenamento de dados criptografados.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)- Fornece os detalhes da chave gerenciada pelo cliente AWS Ground Station para permitir a validação da chave antes de tentar usar a chave fornecida.
Para obter mais informações sobre [o uso de subsídios](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html), consulte o Guia do AWS Key Management Service desenvolvedor.
## Permissões de usuário do IAM para criar efemérides com chaves gerenciadas pelo cliente
Quando AWS Ground Station usa uma chave gerenciada pelo cliente em operações criptográficas, ela age em nome do usuário que está criando o recurso de efemérides.
Para criar um recurso de efemérides usando uma chave gerenciada pelo cliente, o usuário deve ter permissões para chamar as seguintes operações na chave gerenciada pelo cliente:
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)- Permite que o usuário crie concessões na chave gerenciada pelo cliente em nome de AWS Ground Station.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)- Permite que o usuário visualize os detalhes da chave gerenciada pelo cliente para validar a chave.
Você pode especificar essas permissões em uma política de chaves ou em uma política do IAM, se a política de chaves permitir. Essas permissões garantem que os usuários possam AWS Ground Station autorizar o uso da chave gerenciada pelo cliente para operações de criptografia em seu nome.
## Como AWS Ground Station usa subsídios AWS KMS para efemérides
AWS Ground Station exige uma [concessão de chave](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para usar sua chave gerenciada pelo cliente.
Quando você carrega uma efeméride criptografada com uma chave gerenciada pelo cliente, AWS Ground Station cria uma concessão de chave em seu nome enviando uma [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitação para. AWS KMS As concessões AWS KMS são usadas para dar AWS Ground Station acesso a uma AWS KMS chave em sua conta.
Isso permite AWS Ground Station fazer o seguinte:
+ Ligar para [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) para gerar uma chave de dados criptografada e armazená-la, porque a chave de dados não é usada imediatamente para criptografar.
+ Chame o [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) para usar a chave de dados criptografada armazenada para acessar os dados criptografados.
+ Chame [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) para usar a chave de dados para criptografar dados.
+ Configure uma entidade principal aposentada para permitir que o serviço para [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html).
Você pode revogar o acesso à concessão a qualquer momento. Se você fizer isso, AWS Ground Station não conseguirá acessar nenhum dos dados criptografados pela chave gerenciada pelo cliente, o que afeta as operações que dependem desses dados. Por exemplo, se você remover uma concessão de chave de uma efeméride atualmente em uso para um contato, não AWS Ground Station poderá usar os dados de efemérides fornecidos para apontar a antena durante o contato. Isso fará com que o contato termine em um estado de FALHA.
## Contexto de criptografia de efemérides
Os principais subsídios para criptografar recursos de efemérides estão vinculados a um ARN de satélite específico.
```
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
}
```
**nota**
As doações de chaves são reutilizadas para o mesmo par chave-satélite.
## Usar o contexto de criptografia para monitoramento
Quando você usa uma chave simétrica gerenciada pelo cliente para criptografar suas efemérides, também pode utilizar o contexto de criptografia em registros de auditoria e logs para identificar como a chave gerenciada pelo cliente está sendo utilizada. O contexto de criptografia também aparece nos [registros gerados pelo AWS CloudTrail ou Amazon CloudWatch Logs](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html).
## Uso do contexto de criptografia para controlar o acesso à chave gerenciada pelo cliente
Você pode usar o contexto de criptografia nas políticas de chaves e políticas do IAM como `conditions` e controlar o acesso à sua chave simétrica gerenciada pelo cliente. Você também pode usar restrições no contexto de criptografia em uma concessão.
AWS Ground Station usa uma restrição de contexto de criptografia nas concessões para controlar o acesso à chave gerenciada pelo cliente em sua conta ou região. A restrição da concessão exige que as operações permitidas pela concessão usem o contexto de criptografia especificado.
Veja a seguir exemplos de declarações de políticas de chave para conceder acesso a uma chave gerenciada pelo cliente para um contexto de criptografia específico. A condição nesta declaração de política exige que as concessões tenham uma restrição de contexto de criptografia que especifique o contexto de criptografia.
O exemplo a seguir mostra uma política fundamental para dados de efemérides vinculados a um satélite:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Create Grant on key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:groundstation:arn": "arn:aws:groundstation::123456789012:satellite/satellite-id"
}
}
}
]
}
```
------
## Monitorando suas chaves de criptografia para efemérides
Ao usar uma chave gerenciada pelo AWS Key Management Service cliente com seus recursos de efemérides, você pode usar nossos [ CloudWatch registros [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) para rastrear solicitações enviadas para. AWS Ground Station AWS KMS Os exemplos a seguir são CloudTrail eventos para [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html), [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html), [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) e [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)para monitorar AWS KMS operações chamadas por AWS Ground Station para acessar dados criptografados pela chave gerenciada pelo cliente.
------
#### [ CreateGrant ]
Quando você usa uma chave gerenciada pelo AWS KMS cliente para criptografar seus recursos de efemérides, AWS Ground Station envia uma [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitação em seu nome para acessar a AWS KMS chave em sua conta. AWS A concessão AWS Ground Station criada é específica para o recurso associado à chave gerenciada pelo AWS KMS cliente. Além disso, AWS Ground Station usa a [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)operação para remover uma concessão quando você exclui um recurso.
O evento de exemplo a seguir registra a [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)operação de uma efeméride:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-02-22T22:22:22Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"operations": [
"GenerateDataKeyWithoutPlaintext",
"Decrypt",
"Encrypt"
],
"constraints": {
"encryptionContextSubset": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE"
}
},
"granteePrincipal": "groundstation.us-west-2.amazonaws.com",
"retiringPrincipal": "groundstation.us-west-2.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ DescribeKey ]
Quando você usa uma chave gerenciada pelo AWS KMS cliente para criptografar seus recursos de efemérides, AWS Ground Station envia uma [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)solicitação em seu nome para validar se a chave solicitada existe em sua conta.
O evento de exemplo a seguir registra a operação [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html):
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/User/Role",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Role",
"accountId": "111122223333",
"userName": "User"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-02-22T22:22:22Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKey ]
Quando você usa uma chave gerenciada pelo AWS KMS cliente para criptografar seus recursos de efemérides, AWS Ground Station envia uma [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)solicitação para gerar uma chave de dados com a qual criptografar seus dados.
O evento de exemplo a seguir registra a [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operação de uma efeméride:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
Quando você usa uma chave gerenciada pelo AWS KMS cliente para criptografar seus recursos de efemérides, AWS Ground Station usa a operação [Decrypt para descriptografar](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) as efemérides fornecidas se já estiverem criptografadas com a mesma chave gerenciada pelo cliente. Por exemplo, se uma efeméride estiver sendo carregada de um bucket do S3 e for criptografada nesse bucket com uma determinada chave.
O evento de exemplo a seguir registra a operação [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) para uma efeméride:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
```
------
# Criptografia em repouso para efemérides de elevação de azimute
## Principais requisitos de política para efemérides de elevação de azimute
Para usar uma chave gerenciada pelo cliente com dados de efemérides de elevação de azimute, sua política de chaves deve conceder as seguintes permissões ao serviço. AWS Ground Station Ao contrário dos dados de efemérides TLE e OEM, que usam concessões, as efemérides de elevação de azimute usam permissões diretas de política de chave para operações de criptografia. Esse é um método mais simples de gerenciar as permissões e usar suas chaves.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)- Gera chaves de dados para criptografar seus dados de efemérides de elevação de azimute.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)- Descriptografa as chaves de dados criptografadas ao acessar seus dados de efemérides de elevação de azimute.
### Exemplo de política de chaves que concede AWS Ground Station acesso a uma chave gerenciada pelo cliente
**nota**
Com efemérides de elevação de azimute, você deve configurar essas permissões diretamente na política de chaves. O diretor do AWS Ground Station serviço regional (por exemplo,`groundstation.region.amazonaws.com`) deve receber essas permissões em suas principais declarações de política. Sem essas declarações adicionadas à política de chaves, não AWS Ground Station será possível armazenar ou acessar suas efemérides personalizadas de elevação de azimute.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
## Permissões de usuário do IAM para criar efemérides de elevação de azimute com chaves gerenciadas pelo cliente
Quando AWS Ground Station usa uma chave gerenciada pelo cliente em operações criptográficas, ela age em nome do usuário que está criando o recurso de efemérides de elevação de azimute.
Para criar um recurso de efemérides de elevação de azimute usando uma chave gerenciada pelo cliente, o usuário deve ter permissões para chamar as seguintes operações na chave gerenciada pelo cliente:
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)- Permite que o usuário gere chaves de dados para criptografar os dados de efemérides de elevação de azimute.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)- Permite que o usuário decifre as chaves de dados ao acessar os dados de efemérides de elevação de azimute.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)- Permite que o usuário visualize os detalhes da chave gerenciada pelo cliente para validar a chave.
Você pode especificar essas permissões em uma política de chaves ou em uma política do IAM, se a política de chaves permitir. Essas permissões garantem que os usuários possam AWS Ground Station autorizar o uso da chave gerenciada pelo cliente para operações de criptografia em seu nome.
## Como AWS Ground Station usa as principais políticas para efemérides de elevação de azimute
Quando você fornece dados de efemérides de elevação de azimute com uma chave gerenciada pelo cliente, AWS Ground Station usa políticas de chaves para acessar sua chave de criptografia. As permissões são concedidas diretamente AWS Ground Station por meio de declarações políticas importantes, e não por meio de doações, como acontece com dados de efemérides de TLE ou OEM.
Se você remover AWS Ground Station o acesso à chave gerenciada pelo cliente, AWS Ground Station não conseguirá acessar nenhum dos dados criptografados por essa chave, o que afeta as operações que dependem desses dados. Por exemplo, se você remover as principais permissões de política para efemérides de elevação de azimute atualmente em uso para um contato, não AWS Ground Station poderá usar os dados de elevação de azimute fornecidos para comandar a antena durante o contato. Isso fará com que o contato termine em um estado de FALHA.
## Contexto de criptografia de efemérides de elevação de azimute
[Quando AWS Ground Station usa sua AWS KMS chave para criptografar dados de efemérides de elevação de azimute, o serviço especifica um contexto de criptografia.](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) O contexto de criptografia são dados autenticados adicionais (AAD) AWS KMS usados para garantir a integridade dos dados. Quando um contexto de criptografia é especificado para uma operação de criptografia, o serviço deve especificar esse mesmo contexto para a operação de descriptografia. Caso contrário, ocorrerá uma falha na descriptografia. O contexto de criptografia também é gravado em seus CloudTrail registros para ajudar você a entender por que uma determinada AWS KMS chave foi usada. Seus CloudTrail registros podem conter várias entradas descrevendo o uso de uma AWS KMS chave, mas o contexto de criptografia em cada entrada de registro pode ajudá-lo a determinar o motivo desse uso específico.
AWS Ground Station especifica o seguinte contexto de criptografia ao realizar operações criptográficas com sua chave gerenciada pelo cliente em uma efeméride de elevação de azimute:
```
{
"encryptionContext": {
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:groundstation:arn": "arn:aws:groundstation:us-east-2:111122223333:ephemeris/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/00a770b0-082d-45a4-80ed-SAMPLE/raw"
}
}
```
O contexto de criptografia contém:
`aws:groundstation:ground-station-id`
O nome da estação terrestre associada às efemérides de elevação do azimute.
aws: estação terrestre: arn
O ARN do recurso de efemérides.
aws: s3: arn
O ARN das efemérides armazenadas no Amazon S3.
## Usar o contexto de criptografia para controlar o acesso à chave gerenciada pelo cliente
Você pode usar declarações de condição do IAM para controlar o AWS Ground Station acesso à sua chave gerenciada pelo cliente. Adicionar uma declaração de condição `kms:Decrypt` às ações `kms:GenerateDataKey` e restringe para quais estações terrestres a AWS KMS podem ser usadas.
A seguir estão exemplos de declarações de políticas importantes para conceder AWS Ground Station acesso à sua chave gerenciada pelo cliente em uma região específica para uma estação terrestre específica. A condição nesta declaração de política exige que todos criptografem e descriptografem o acesso à chave que especifiquem um contexto de criptografia que corresponda à condição na política de chaves.
### Exemplo de política de chaves que concede AWS Ground Station acesso a uma chave gerenciada pelo cliente para uma estação terrestre específica
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:groundstation:ground-station-id": "specific-ground-station-name"
}
}
}
]
}
```
------
### Exemplo de política de chaves que concede AWS Ground Station acesso a uma chave gerenciada pelo cliente para várias estações terrestres
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:groundstation:ground-station-id": [
"specific-ground-station-name-1",
"specific-ground-station-name-2"
]
}
}
}
]
}
```
------
## Monitorando suas chaves de criptografia para efemérides de elevação de azimute
Ao usar uma chave gerenciada pelo AWS KMS cliente com seus recursos de efemérides de elevação de azimute, você pode usar [ CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)ou [ CloudWatch registrar para rastrear as solicitações](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) enviadas para. AWS Ground Station AWS KMS Os exemplos a seguir são CloudTrail eventos para [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)e [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) para monitorar AWS KMS operações chamadas por AWS Ground Station para acessar dados criptografados pela chave gerenciada pelo cliente.
------
#### [ GenerateDataKey ]
Quando você usa uma chave gerenciada pelo AWS KMS cliente para criptografar seus recursos de efemérides de elevação de azimute, AWS Ground Station envia uma [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)solicitação para AWS KMS gerar uma chave de dados com a qual criptografar seus dados.
O exemplo de evento a seguir registra a [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)operação para efemérides de elevação de azimute:
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2025-08-25T14:45:48Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2025-08-25T14:52:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ef6f9a8f-8ef6-46a1-bdcb-123456SAMPLE",
"eventID": "952842d4-1389-3232-b885-123456SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "8424f6b6-2280-4d1d-b9fd-0348b1546cba",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
Quando você usa uma chave gerenciada pelo AWS KMS cliente para criptografar seus recursos de efemérides de elevação de azimute, AWS Ground Station usa a operação [Descriptografar para descriptografar](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) os dados de efemérides de elevação de azimute fornecidos se eles já estiverem criptografados com a mesma chave gerenciada pelo cliente.
O evento de exemplo a seguir registra a operação [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) para efemérides de elevação de azimute:
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
}
},
"attributes": {
"creationDate": "2025-08-25T14:45:48Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal",
"eventTime": "2025-08-25T14:54:01Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "a2f46066-49fb-461a-93cb-123456SAMPLE",
"eventID": "e997b426-e3ad-31c7-a308-123456SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "477b568e-7f56-4f04-905c-623ff146f30d",
"eventCategory": "Management"
}
```
------