Chiffrement des données - AWS HealthImaging
Création d'une clé gérée par le clientAutorisations IAM requises pour utiliser une clé KMS gérée par le client

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrement des données

Avec AWS HealthImaging, vous pouvez ajouter une couche de sécurité à vos données inactives dans le cloud, en fournissant des fonctionnalités de chiffrement évolutives et efficaces. Il s'agit des licences suivantes :

  • Fonctionnalités de chiffrement des données au repos disponibles dans la plupart des AWS services

  • Des options flexibles de gestion des clésAWS Key Management Service, notamment, avec lesquelles vous pouvez choisir de AWS gérer les clés de chiffrement ou de garder le contrôle total de vos propres clés.

  • AWSclés AWS KMS de chiffrement détenues

  • Files d'attente de messages chiffrées pour la transmission de données sensibles à l'aide du chiffrement côté serveur (SSE) pour Amazon SQS

En outre, AWS fournit des API vous permettant d'intégrer le chiffrement et la protection des données à tous les services que vous développez ou déployez dans un environnement AWS.

Création d'une clé gérée par le client

Vous pouvez créer une clé symétrique gérée par le client à l'aide des API AWS Management Console ou des AWS KMS API. Pour plus d'informations, consultez la section Création de clés KMS de chiffrement symétriques dans le manuel du AWS Key Management Service développeur.

Les politiques de clés contrôlent l'accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une politique de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l'utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une politique de clé. Pour plus d'informations, consultez la section Gestion de l'accès aux clés gérées par le client dans le Guide du AWS Key Management Service développeur.

Pour utiliser votre clé gérée par le client avec vos HealthImaging ressources, les CreateGrant opérations kms : doivent être autorisées dans la politique des clés. Cela ajoute une subvention à une clé gérée par le client qui contrôle l'accès à une clé KMS spécifiée, ce qui donne à un utilisateur l'accès aux opérations de subvention HealthImaging requises. Pour plus d'informations, consultez la section Subventions AWS KMS dans le guide du AWS Key Management Service développeur.

Pour utiliser votre clé KMS gérée par le client avec vos HealthImaging ressources, les opérations d'API suivantes doivent être autorisées dans la politique des clés :

  • kms:DescribeKeyfournit les informations clés gérées par le client nécessaires à la validation de la clé. Cela est obligatoire pour toutes les opérations.

  • kms:GenerateDataKeyfournit un accès aux ressources de chiffrement au repos pour toutes les opérations d'écriture.

  • kms:Decryptpermet d'accéder aux opérations de lecture ou de recherche de ressources chiffrées.

  • kms:ReEncrypt*permet d'accéder à des ressources de rechiffrement.

Voici un exemple de déclaration de politique qui permet à un utilisateur de créer et d'interagir avec un magasin de HealthImaging données chiffré par cette clé :

{
    "Sid": "Allow access to create data stores and perform CRUD and search in HealthImaging",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "medical-imaging.amazonaws.com"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:EncryptionContext:kms-arn": "arn:aws:kms:us-east-1:123456789012:key/bec71d48-3462-4cdd-9514-77a7226e001f",
            "kms:EncryptionContext:aws:medical-imaging:datastoreId": "datastoreId"
        }
    }
}

Autorisations IAM requises pour utiliser une clé KMS gérée par le client

Lors de la création d'un magasin de données dont le AWS KMS chiffrement est activé à l'aide d'une clé KMS gérée par le client, des autorisations sont requises pour la politique de clé et la politique IAM pour l'utilisateur ou le rôle qui crée le magasin de HealthImaging données.

Pour plus d'informations sur les politiques clés, consultez la section Activation des politiques IAM dans le Guide du AWS Key Management Service développeur.

L'utilisateur IAM, le rôle IAM ou le AWS compte qui crée vos référentiels doit disposer des autorisations pourkms:CreateGrant,,kms:GenerateDataKey, et kms:RetireGrant kms:Decryptkms:ReEncrypt*, ainsi que des autorisations nécessaires pour AWS. HealthImaging

Comment HealthImaging utilise les subventions dans AWS KMS

HealthImaging nécessite une autorisation pour utiliser votre clé KMS gérée par le client. Lorsque vous créez un magasin de données chiffré à l'aide d'une clé KMS gérée par le client, vous HealthImaging créez une subvention en votre nom en envoyant une CreateGrantdemande àAWS KMS. Les subventions AWS KMS sont utilisées pour donner HealthImaging accès à une clé KMS dans un compte client.

Les subventions HealthImaging créées en votre nom ne doivent pas être révoquées ou retirées. Si vous révoquez ou retirez l' HealthImaging autorisation d'utiliser les AWS KMS clés de votre compte, vous HealthImaging ne pouvez pas accéder à ces données, chiffrer les nouvelles ressources d'imagerie envoyées au magasin de données ou les déchiffrer lorsqu'elles sont extraites. Lorsque vous révoquez ou retirez une subvention pour HealthImaging, le changement intervient immédiatement. Pour révoquer les droits d'accès, vous devez supprimer le magasin de données plutôt que de révoquer l'autorisation. Lorsqu'un magasin de données est supprimé, les HealthImaging subventions sont annulées en votre nom.

Surveillance de vos clés de chiffrement pour HealthImaging

Vous pouvez l'utiliser CloudTrail pour suivre les demandes HealthImaging envoyées en votre AWS KMS nom lorsque vous utilisez une clé KMS gérée par le client. Les entrées du CloudTrail journal apparaissent medical-imaging.amazonaws.com dans le userAgent champ pour distinguer clairement les demandes effectuées par HealthImaging.

Les exemples suivants sont CloudTrail des événements pourCreateGrant, GenerateDataKeyDecrypt, et DescribeKey pour surveiller les AWS KMS opérations appelées HealthImaging pour accéder aux données chiffrées par votre clé gérée par le client.

Ce qui suit montre comment utiliser CreateGrant pour autoriser l'accès HealthImaging à une clé KMS fournie par le client, ce qui HealthImaging permet d'utiliser cette clé KMS pour chiffrer toutes les données client au repos.

Les utilisateurs ne sont pas tenus de créer leurs propres subventions. HealthImaging crée une subvention en votre nom en envoyant une CreateGrant demande àAWS KMS. Les subventions AWS KMS sont utilisées pour donner HealthImaging accès à une AWS KMS clé dans un compte client.

{
    "Grants": [
        {
            "Operations": [
                "Decrypt", 
                "Encrypt", 
                "GenerateDataKey", 
                "GenerateDataKeyWithoutPlaintext", 
                "DescribeKey"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1", 
            "Name": "0a74e6ad2aa84b74a22fcd3efac1eaa8", 
            "RetiringPrincipal": "AWS Internal", 
            "GranteePrincipal": "AWS Internal", 
            "GrantId": "0da169eb18ffd3da8c0eebc9e74b3839573eb87e1e0dce893bb544a34e8fbaaf", 
            "IssuingAccount": "AWS Internal", 
            "CreationDate": 1685050229.0, 
            "Constraints": {
                "EncryptionContextSubset": {
                    "kms-arn": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1"
                }
            }
        }, 
        {
            "Operations": [
                "GenerateDataKey", 
                "CreateGrant", 
                "RetireGrant", 
                "DescribeKey"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1", 
            "Name": "2023-05-25T21:30:17", 
            "RetiringPrincipal": "AWS Internal", 
            "GranteePrincipal": "AWS Internal", 
            "GrantId": "8229757abbb2019555ba64d200278cedac08e5a7147426536fcd1f4270040a31", 
            "IssuingAccount": "AWS Internal", 
            "CreationDate": 1685050217.0, 
        }
    ]
}

Les exemples suivants montrent comment s'GenerateDataKeyassurer que l'utilisateur dispose des autorisations nécessaires pour chiffrer les données avant de les stocker.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-06-30T21:17:06Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-06-30T21:17:37Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

L'exemple suivant montre comment l'opération HealthImaging appelle l'Decryptopération pour utiliser la clé de données cryptée stockée afin d'accéder aux données cryptées.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-06-30T21:17:06Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-06-30T21:21:59Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

L'exemple suivant montre comment HealthImaging utiliser l'DescribeKeyopération pour vérifier si la AWS KMS clé détenue par le AWS KMS client est dans un état utilisable et pour aider l'utilisateur à résoudre les problèmes si elle n'est pas fonctionnelle.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "EXAMPLEUSER",
        "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLEKEYID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "EXAMPLEROLE",
                "arn": "arn:aws:iam::111122223333:role/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Sampleuser01"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-07-01T18:36:14Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "medical-imaging.amazonaws.com"
    },
    "eventTime": "2021-07-01T18:36:36Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "medical-imaging.amazonaws.com",
    "userAgent": "medical-imaging.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
    },
    "responseElements": null,
    "requestID": "EXAMPLE_ID_01",
    "eventID": "EXAMPLE_ID_02",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

En savoir plus

Les ressources suivantes fournissent des informations supplémentaires sur le chiffrement des données au repos et se trouvent dans le manuel du AWS Key Management Service développeur.