本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 的靜態資料加密 AWS Ground Station
AWS Ground Station 預設提供加密,以使用 AWS 擁有的加密金鑰保護您的靜態敏感資料。
+ *AWS 擁有的金鑰* - 預設 AWS Ground Station 使用這些金鑰自動加密可直接識別個人身分的資料和暫時性資料。您無法檢視、管理或使用擁有 AWS的金鑰,或稽核其使用方式;不過,您不需要採取任何動作或變更程式來保護加密資料的金鑰。如需詳細資訊,請參閱《 [AWS Key Management Service 開發人員指南](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)》中的 [AWS擁有的金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)。
根據預設,加密靜態資料有助於降低保護敏感資料所涉及的操作開銷和複雜性。同時,它可以建立符合嚴格加密合規以及法規要求的安全應用程式。
AWS Ground Station 對所有敏感的靜態資料強制執行加密,不過,對於某些 AWS Ground Station 資源,例如暫時性資料,您可以選擇使用客戶受管金鑰來取代預設的 AWS 受管金鑰。
+ *客戶受管金鑰* - AWS Ground Station 支援使用您建立、擁有和管理的對稱客戶受管金鑰來取代現有的 AWS 擁有加密。您可以完全控制此層加密,因此能執行以下任務:
+ 建立和維護金鑰政策
+ 建立和維護 IAM 政策和授予操作
+ 啟用和停用金鑰政策
+ 輪換金鑰密碼編譯資料
+ 新增 標籤
+ 建立金鑰別名
+ 安排金鑰供刪除
如需詳細資訊,請參閱《 [AWS Key Management Service 開發人員指南](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)》中的[客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)。
下表摘要說明 AWS Ground Station 支援使用客戶受管金鑰的資源
| 資料類型 | AWS 擁有的金鑰加密 | 客戶自管金鑰加密 (選用) |
| --- | --- | --- |
| Ephemeris 資料用於計算衛星的軌跡 | 已啟用 | 已啟用 |
| 用來命令天線的方位海拔暫時性曲線 | 已啟用 | 已啟用 |
**注意**
AWS Ground Station 會使用 自動啟用靜態加密 AWS 擁有的金鑰 ,以免費保護個人身分識別資料。不過,使用客戶受管金鑰會產生 AWS KMS 費用。如需定價的詳細資訊,請參閱 [AWS Key Management Service 定價](https://aws.amazon.com/kms/pricing/)。
如需詳細資訊 AWS KMS,請參閱 [AWS Key Management Service 開發人員指南](https://docs.aws.amazon.com/kms/latest/developerguide/)。
如需每個資源類型的特定資訊,請參閱:
+ [TLE 和 OEM ephemeris 資料的靜態加密](security.encryption-at-rest-tle-oem.md)
+ [疊流高度暫時性的靜態加密](security.encryption-at-rest-azimuth-elevation.md)
## 建立客戶自管金鑰
您可以使用 AWS 管理主控台或 AWS KMS APIs 來建立對稱客戶受管金鑰。
### 建立對稱客戶受管金鑰
遵循《 [AWS Key Management Service 開發人員指南](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)》中建立對稱客戶受管金鑰的步驟。
### 金鑰政策概觀
金鑰政策會控制客戶受管金鑰的存取權限。每個客戶受管金鑰都必須只有一個金鑰政策,其中包含決定誰可以使用金鑰及其使用方式的陳述式。在建立客戶受管金鑰時,可以指定金鑰政策。如需詳細資訊,請參閱《 AWS Key Management Service 開發人員指南》中的[管理對客戶受管金鑰的存取](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html)。
若要將客戶受管金鑰與 AWS Ground Station 資源搭配使用,您必須設定金鑰政策以授予 AWS Ground Station 服務適當的許可。特定許可和政策組態取決於您正在加密的資源類型:
+ *如需 TLE 和 OEM ephemeris 資料* - 如需特定金鑰政策需求和範例[TLE 和 OEM ephemeris 資料的靜態加密](security.encryption-at-rest-tle-oem.md),請參閱 。
+ *如需方位提升暫時性資料* - 如需特定金鑰政策需求和範例[疊流高度暫時性的靜態加密](security.encryption-at-rest-azimuth-elevation.md),請參閱 。
**注意**
金鑰政策組態在 ephemeris 類型之間有所不同。TLE 和 OEM ephemeris 資料使用授予金鑰存取,而方位提升 ephemeris 使用直接金鑰政策許可。請確定您根據要加密的特定資源類型來設定金鑰政策。
如需在[政策中指定許可](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#overview-policy-elements)和[疑難排解金鑰存取 ](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam)的詳細資訊,請參閱 AWS Key Management Service 開發人員指南。
## 指定 的客戶受管金鑰 AWS Ground Station
您可以指定客戶受管金鑰來加密下列資源:
+ Ephemeris (TLE、OEM 和方位提升)
建立資源時,您可以提供 *kmsKeyArn* 來指定資料金鑰
+ *kmsKeyArn* - AWS KMS 客戶受管[金鑰的金鑰識別符](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id)
## AWS Ground Station 加密內容
[加密內容](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html)是一組選用的金鑰/值對,其中包含有關資料的其他內容資訊。 AWS KMS 會使用加密內容做為額外的已驗證資料,以支援已驗證的加密。當您在加密資料的請求中包含加密內容時, 會將加密內容 AWS KMS 繫結至加密的資料。若要解密資料,您必須在請求中包含相同的加密內容。
AWS Ground Station 根據加密的資源使用不同的加密內容,並為每個建立的金鑰授權指定特定的加密內容。
如需資源特定的加密內容詳細資訊,請參閱:
+ [TLE 和 OEM ephemeris 資料的靜態加密](security.encryption-at-rest-tle-oem.md)
+ [疊流高度暫時性的靜態加密](security.encryption-at-rest-azimuth-elevation.md)
# TLE 和 OEM ephemeris 資料的靜態加密
## TLE 和 OEM ephemeris 的關鍵政策需求
若要搭配 ephemeris 資料使用客戶受管金鑰,您的金鑰政策必須將下列許可授予 AWS Ground Station 服務:
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) - 在客戶受管金鑰上建立存取授權。授予在客戶受管金鑰上執行[授予操作](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations)的 AWS Ground Station 存取權,以讀取和儲存加密的資料。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) - 提供客戶受管金鑰詳細資訊, AWS Ground Station 允許 在嘗試使用提供的金鑰之前驗證金鑰。
如需[使用授權](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)的詳細資訊,請參閱 AWS Key Management Service 開發人員指南。
## 使用客戶受管金鑰建立 ephemeris 的 IAM 使用者許可
當 AWS Ground Station 在密碼編譯操作中使用客戶受管金鑰時,它會代表建立 ephemeris 資源的使用者。
若要使用客戶受管金鑰建立 ephemeris 資源,使用者必須具有在客戶受管金鑰上呼叫下列操作的許可:
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) - 允許使用者代表客戶受管金鑰建立授予 AWS Ground Station。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) - 允許使用者檢視客戶受管金鑰詳細資訊,以驗證金鑰。
您可以在金鑰政策或在 IAM 政策中指定這些必要的許可 (如果金鑰政策允許)。這些許可可確保使用者可以授權 代表他們 AWS Ground Station 使用客戶受管金鑰進行加密操作。
## 如何在 中使用 AWS Ground Station AWS KMS 授予進行暫時性差異
AWS Ground Station 需要[金鑰授權](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)才能使用您的客戶受管金鑰。
當您上傳使用客戶受管金鑰加密的 ephemeris 時, 會透過傳送 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 請求至 來代表您 AWS Ground Station 建立金鑰授權 AWS KMS。中的授予 AWS KMS 用於授予 AWS Ground Station 您帳戶中 AWS KMS 金鑰的存取權。
這可讓 AWS Ground Station 執行下列動作:
+ 呼叫 [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) 以產生加密的資料金鑰並將其存放,因為不會立即使用資料金鑰進行加密。
+ 呼叫 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 以使用儲存的加密資料金鑰來存取加密的資料。
+ 呼叫 [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) 以使用資料金鑰來加密資料。
+ 設定淘汰委託人,以允許服務轉換為 [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html)。
您可以隨時撤銷授予的存取權。如果您這麼做, AWS Ground Station 則無法存取客戶受管金鑰加密的任何資料,這會影響依賴該資料的操作。例如,如果您從目前用於聯絡的 ephemeris 移除金鑰授予, AWS Ground Station 則 將無法在聯絡期間使用提供的 ephemeris 資料來指向天線。這會導致聯絡人以 FAILED 狀態結束。
## Ephemeris 加密內容
加密 ephemeris 資源的金鑰授予會繫結至特定的衛星 ARN。
```
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
}
```
**注意**
金鑰授權會針對相同的金鑰衛星對重複使用。
## 使用加密內容進行監控
當您使用對稱客戶受管金鑰來加密暫時性資料時,您也可以使用稽核記錄和日誌中的加密內容來識別客戶受管金鑰的使用方式。加密內容也會出現在 [AWS CloudTrail 或 Amazon CloudWatch Logs 產生的日誌](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html)中。
## 使用加密內容控制對客戶受管金鑰的存取
您也可以在金鑰政策和 IAM 政策中,使用加密內容作為 `conditions` 來控制對於對稱客戶受管金鑰的存取。您也可以在授予中使用加密內容條件。
AWS Ground Station 在授予中使用加密內容限制,以控制對您帳戶或區域中客戶受管金鑰的存取。授予條件會要求授予允許的操作使用指定的加密內容。
以下是授予特定加密內容之客戶受管金鑰存取權的金鑰政策陳述式範例。此政策陳述式中的條件會要求具有指定加密內容的加密內容條件。
下列範例顯示繫結至衛星之 ephemeris 資料的金鑰政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Create Grant on key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:groundstation:arn": "arn:aws:groundstation::123456789012:satellite/satellite-id"
}
}
}
]
}
```
------
## 監控 ephemeris 的加密金鑰
當您搭配 ephemeris 資源使用 AWS Key Management Service 客戶受管金鑰時,您可以使用 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)或 [ Amazon CloudWatch logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)來追蹤 AWS Ground Station 傳送的請求 AWS KMS。下列範例是 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)、[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)、[Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 和 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 的 CloudTrail 事件,用於監控 AWS KMS 呼叫的操作 AWS Ground Station ,以存取客戶受管金鑰加密的資料。
------
#### [ CreateGrant ]
當您使用 AWS KMS 客戶受管金鑰加密 ephemeris 資源時, 會代表您 AWS Ground Station 傳送 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 請求,以存取您 AWS 帳戶中的 AWS KMS 金鑰。建立的 AWS Ground Station 授予專屬於與客戶 AWS KMS 受管金鑰相關聯的資源。此外, AWS Ground Station 當您刪除資源時, 會使用 [RetireGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_RetireGrant.html) 操作來移除授予。
下列範例事件會記錄 ephemeris 的 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 操作:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-02-22T22:22:22Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "ExampleDesktop/1.0 (V1; OS)",
"requestParameters": {
"operations": [
"GenerateDataKeyWithoutPlaintext",
"Decrypt",
"Encrypt"
],
"constraints": {
"encryptionContextSubset": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE"
}
},
"granteePrincipal": "groundstation.us-west-2.amazonaws.com",
"retiringPrincipal": "groundstation.us-west-2.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ DescribeKey ]
當您使用 AWS KMS 客戶受管金鑰加密 ephemeris 資源時, 會代表您 AWS Ground Station 傳送 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 請求,以驗證請求的金鑰是否存在於您的帳戶中。
下列範例事件會記錄 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 操作:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/User/Role",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Role",
"accountId": "111122223333",
"userName": "User"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-02-22T22:22:22Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
------
#### [ GenerateDataKey ]
當您使用 AWS KMS 客戶受管金鑰來加密 ephemeris 資源時, 會將 [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) 請求 AWS Ground Station 傳送至 ,以產生用於加密資料的資料金鑰。
下列範例事件會記錄 ephemeris 的 [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) 操作:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
當您使用 AWS KMS 客戶受管金鑰來加密 ephemeris 資源時,如果已使用相同的客戶受管金鑰加密,則 AWS Ground Station 會使用 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 操作來解密提供的 ephemeris。例如,如果 ephemeris 正在從 S3 儲存貯體上傳,並使用指定的金鑰在該儲存貯體中加密。
下列範例事件會記錄 ephemeris 的 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 操作:
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "AWS Internal"
},
"eventTime": "2022-02-22T22:22:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation::111122223333:satellite/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/0034abcd-12ab-34cd-56ef-123456SAMPLE"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management"
}
```
------
# 疊流高度暫時性的靜態加密
## 方位提升暫時性的關鍵政策要求
若要將客戶受管金鑰與方位提升暫時性資料搭配使用,您的金鑰政策必須將下列許可授予 AWS Ground Station 服務。與使用授予的 TLE 和 OEM ephemeris 資料不同,azimuth elevation ephemeris 會使用直接金鑰政策許可來進行加密操作。這是管理 許可和使用您的 金鑰的更簡單方法。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) - 產生用於加密方位提升暫時性資料的資料金鑰。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) - 存取方位提升暫時性資料時解密加密的資料金鑰。
### 授予客戶受管金鑰 AWS Ground Station 存取權的金鑰政策範例
**注意**
使用方位提升暫時性時,您必須直接在金鑰政策中設定這些許可。必須在您的金鑰政策陳述式中授予區域 AWS Ground Station 服務主體 (例如 `groundstation.region.amazonaws.com`) 這些許可。如果沒有這些新增至金鑰政策的陳述式, AWS Ground Station 將無法存放或存取您的自訂方位提升暫時性。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
## 使用客戶受管金鑰建立方位提升暫時性的 IAM 使用者許可
當 AWS Ground Station 在密碼編譯操作中使用客戶受管金鑰時,它會代表正在建立方位提升暫時性資源的使用者。
若要使用客戶受管金鑰建立方位提升暫時性資源,使用者必須具有在客戶受管金鑰上呼叫下列操作的許可:
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) - 允許使用者產生用於加密方位提升暫時性資料的資料金鑰。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) - 允許使用者在存取方位提升暫時性資料時解密資料金鑰。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) - 允許使用者檢視客戶受管金鑰詳細資訊,以驗證金鑰。
您可以在金鑰政策或在 IAM 政策中指定這些必要的許可 (如果金鑰政策允許)。這些許可可確保使用者可以授權 代表他們 AWS Ground Station 使用客戶受管金鑰進行加密操作。
## 如何 AWS Ground Station 將關鍵政策用於方位提升暫時性
當您使用客戶受管金鑰提供方位提升暫時性資料時, AWS Ground Station 會使用金鑰政策來存取您的加密金鑰。許可是透過 AWS Ground Station 金鑰政策陳述式直接授予給 ,而不是像使用 TLE 或 OEM ephemeris 資料一樣透過授予授予授予。
如果您移除對客戶受管金鑰的 AWS Ground Station存取權, AWS Ground Station 則無法存取該金鑰加密的任何資料,這會影響依賴該資料的操作。例如,如果您移除目前用於聯絡的方位角升高暫時性的金鑰政策許可, AWS Ground Station 將無法在聯絡期間使用提供的方位角升高資料來命令天線。這會導致聯絡人以 FAILED 狀態結束。
## 方位浮水印加密內容
當 AWS Ground Station 使用您的 AWS KMS 金鑰來加密方位提升暫時性資料時,服務會指定[加密內容](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html)。加密內容是額外的驗證資料 (AAD), AWS KMS 用於確保資料完整性。為加密操作指定加密內容時,此服務必須為解密操作指定相同的加密內容。否則,解密會失敗。加密內容也會寫入 CloudTrail 日誌,以協助您了解使用指定 AWS KMS 金鑰的原因。您的 CloudTrail 日誌可能包含許多描述 AWS KMS 使用金鑰的項目,但每個日誌項目中的加密內容可協助您判斷該特定使用的原因。
AWS Ground Station 指定以下加密內容,當其使用客戶受管金鑰在方位提升暫時性上執行密碼編譯操作時:
```
{
"encryptionContext": {
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:groundstation:arn": "arn:aws:groundstation:us-east-2:111122223333:ephemeris/00a770b0-082d-45a4-80ed-SAMPLE",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/00a770b0-082d-45a4-80ed-SAMPLE/raw"
}
}
```
加密內容包含:
`aws:groundstation:ground-station-id`
與方位角海拔面積相關聯的地面站名稱。
aws:groundstation:arn
ephemeris 資源的 ARN。
aws:s3:arn
存放在 Amazon S3 中 ephemeris 的 ARN。
## 使用加密內容控制對客戶受管金鑰的存取
您可以使用 IAM 條件陳述式來控制對客戶受管金鑰的 AWS Ground Station 存取。在 `kms:GenerateDataKey`和 `kms:Decrypt`動作上新增條件陳述式會限制 AWS KMS 可以使用的地面站。
以下是金鑰政策陳述式範例,可將 AWS Ground Station 存取權授予特定地面站點特定區域中的客戶受管金鑰。此政策陳述式中的 條件要求對指定符合金鑰政策中條件之加密內容的金鑰的所有加密和解密存取權。
### 授予存取特定地面站之 AWS Ground Station 客戶受管金鑰的金鑰政策範例
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:groundstation:ground-station-id": "specific-ground-station-name"
}
}
}
]
}
```
------
### 授予 AWS Ground Station 存取多個地面站點之客戶受管金鑰的金鑰政策範例
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow AWS Ground Station to Describe key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": "kms:DescribeKey",
"Resource": "*"
},
{
"Sid": "Allow AWS Ground Station to Encrypt and Decrypt with key",
"Effect": "Allow",
"Principal": {
"Service": "groundstation.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:groundstation:ground-station-id": [
"specific-ground-station-name-1",
"specific-ground-station-name-2"
]
}
}
}
]
}
```
------
## 監控您的加密金鑰是否有方位提升暫時性
當您將 AWS KMS 客戶受管金鑰與方位提升 ephemeris 資源搭配使用時,您可以使用 [ CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 或 [ CloudWatch 日誌](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)來追蹤 AWS Ground Station 傳送的請求 AWS KMS。下列範例是 [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) 和 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 的 CloudTrail 事件,用於監控 AWS KMS 呼叫的操作 AWS Ground Station ,以存取客戶受管金鑰加密的資料。
------
#### [ GenerateDataKey ]
當您使用 AWS KMS 客戶受管金鑰來加密方位提升暫時性資源時, 會將 [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) 請求 AWS Ground Station 傳送至 , AWS KMS 以產生用於加密資料的資料金鑰。
下列範例事件會記錄方位角升高暫時性的 [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) 操作:
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2025-08-25T14:45:48Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "2025-08-25T14:52:02Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"keySpec": "AES_256",
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
},
"keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
},
"responseElements": null,
"requestID": "ef6f9a8f-8ef6-46a1-bdcb-123456SAMPLE",
"eventID": "952842d4-1389-3232-b885-123456SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "8424f6b6-2280-4d1d-b9fd-0348b1546cba",
"eventCategory": "Management"
}
```
------
#### [ Decrypt ]
當您使用 AWS KMS 客戶受管金鑰來加密方位提升暫時性資源時,如果提供的方位提升暫時性資料已使用相同的客戶受管金鑰加密,則 AWS Ground Station 會使用[解密](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)操作來解密他們所提供的方位提升暫時性資料。
下列範例事件會記錄方位角升高暫時性的[解密](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)操作:
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/SampleUser01",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ASIAIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
}
},
"attributes": {
"creationDate": "2025-08-25T14:45:48Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "AWS Internal",
"eventTime": "2025-08-25T14:54:01Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": {
"encryptionContext": {
"aws:groundstation:arn": "arn:aws:groundstation:us-west-2:111122223333:ephemeris/bb650670-7a4b-4152-bd60-SAMPLE",
"aws:groundstation:ground-station-id": "Ohio 1",
"aws:s3:arn": "arn:aws:s3:::customerephemerisbucket/bb650670-7a4b-4152-bd60-SAMPLE/raw"
},
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "a2f46066-49fb-461a-93cb-123456SAMPLE",
"eventID": "e997b426-e3ad-31c7-a308-123456SAMPLE",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "477b568e-7f56-4f04-905c-623ff146f30d",
"eventCategory": "Management"
}
```
------