翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
データ暗号化
を使用するとAWS HealthImaging、クラウドに保管中のデータにセキュリティレイヤーを追加し、スケーラブルで効率的な暗号化機能を提供できます。具体的には次のとおりです。
-
ほとんどの で利用可能な保管中のデータの暗号化機能 AWS サービス
-
を含む柔軟なキー管理オプション AWS Key Management Service、 を使用するかどうかを選択できます。 AWS 暗号化キーまたは を管理し、独自のキーを完全に制御します。
-
AWS 所有 AWS KMS 暗号化キー
-
Amazon のサーバー側の暗号化 (SSE) を使用して機密データを送信するための暗号化されたメッセージキュー SQS
さらに、 AWS では、暗号化とデータ保護を、 APIs で開発またはデプロイする サービスと統合できます。 AWS 環境。
カスタマーマネージドキーの作成
を使用して、対称カスタマーマネージドキーを作成できます。 AWS Management Console または AWS KMS APIs。詳細については、 の「対称暗号化KMSキーの作成」を参照してください。 AWS Key Management Service デベロッパーガイド
キーポリシーは、カスタマーマネージドキーへのアクセスを制御します。すべてのカスタマーマネージドキーには、キーポリシーが 1 つだけ必要です。このポリシーには、そのキーを使用できるユーザーとその使用方法を決定するステートメントが含まれています。カスタマーマネージドキーを作成する際に、キーポリシーを指定することができます。詳細については、「」の「カスタマーマネージドキーへのアクセスの管理」を参照してください。 AWS Key Management Service デベロッパーガイド
HealthImaging リソースでカスタマーマネージドキーを使用するには、kms:CreateGrant キーポリシーでオペレーションを許可する必要があります。これにより、指定されたキーへのアクセスを制御するカスタマーマネージドKMSキーに許可が追加され、ユーザーはグラントオペレーション HealthImaging に必要なアクセスが可能になります。詳細については、「 のグラント」を参照してください。 AWS KMS ()AWS Key Management Service デベロッパーガイド
HealthImaging リソースでカスタマーマネージドKMSキーを使用するには、キーポリシーで次のAPIオペレーションを許可する必要があります。
-
kms:DescribeKeyは、キーの検証に必要なカスタマーマネージドキーの詳細を提供します。これはすべてのオペレーションに必要です。 -
kms:GenerateDataKeyは、すべての書き込み操作で保存中の暗号化リソースにアクセスできるようにします。 -
kms:Decryptは暗号化されたリソースの読み取りまたは検索操作へのアクセスを提供します。 -
kms:ReEncrypt*はリソースを再暗号化するためのアクセスを提供します。
以下は、ユーザーがそのキーによって HealthImaging 暗号化されたデータストアを作成して操作できるようにするポリシーステートメントの例です。
{ "Sid": "Allow access to create data stores and perform CRUD and search in HealthImaging", "Effect": "Allow", "Principal": { "Service": [ "medical-imaging.amazonaws.com" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:kms-arn": "arn:aws:kms:us-east-1:123456789012:key/bec71d48-3462-4cdd-9514-77a7226e001f", "kms:EncryptionContext:aws:medical-imaging:datastoreId": "datastoreId" } } }
カスタマーマネージドKMSキーを使用するために必要なIAMアクセス許可
でデータストアを作成する場合 AWS KMS カスタマーマネージドKMSキーを使用して有効化された暗号化には、キーポリシーと HealthImaging データストアを作成するユーザーまたはロールのIAMポリシーの両方に必要なアクセス許可があります。
キーポリシーの詳細については、「」のIAM「ポリシーの有効化」を参照してください。 AWS Key Management Service デベロッパーガイド
IAM ユーザー、IAMロール、または AWS リポジトリを作成する アカウントには、kms:CreateGrant、、kms:GenerateDataKey、kms:Decrypt、および kms:RetireGrantのアクセス許可に加えてkms:ReEncrypt*、 に必要なアクセス許可が必要ですAWS HealthImaging。
で 許可 HealthImaging を使用する方法 AWS KMS
HealthImaging には、カスタマーマネージドKMSキーを使用するための許可が必要です。カスタマーマネージドKMSキーで暗号化されたデータストアを作成すると、 HealthImaging は にCreateGrantリクエストを送信してユーザーに代わってグラントを作成します。 AWS KMS。 での許可 AWS KMS は、顧客アカウントのKMSキー HealthImaging へのアクセスを許可するために使用されます。
がユーザーに代わって HealthImaging 作成する許可は、取り消したり廃止したりしないでください。を使用するアクセス HealthImaging 許可を付与するグラントを取り消しまたは廃止する場合 AWS KMS アカウントの キー HealthImaging は、このデータにアクセスしたり、データストアにプッシュされた新しい画像リソースを暗号化したり、プル時に復号したりすることはできません。の許可を取り消すか廃止すると HealthImaging、変更はすぐに行われます。アクセス権限を取り消すには、許可を取り消すのではなく、データストアを削除します。データストアが削除されると、 はユーザーに代わって許可を HealthImaging 廃止します。
HealthImaging の暗号化キーのモニタリング
を使用して CloudTrail 、 が HealthImaging に送信するリクエストを追跡できます。 AWS KMS カスタマーマネージドKMSキーを使用する場合、 がユーザーに代わって を使用します。ログの CloudTrail ログエントリは userAgentフィールドmedical-imaging.amazonaws.comに表示され、 によって行われたリクエストを明確に区別します HealthImaging。
次の例は、モニタリングDescribeKeyする CreateGrant、GenerateDataKey、Decrypt、および の CloudTrail イベントです。 AWS KMS カスタマーマネージドキーによって暗号化されたデータにアクセス HealthImaging するために によって呼び出される オペレーション。
以下は、 CreateGrantを使用して HealthImaging が顧客提供のKMSキーにアクセスできるようにする方法を示しています。これにより、 はそのKMSキー HealthImaging を使用して保管中のすべての顧客データを暗号化できます。
ユーザーは、独自の grants を作成する必要はありません。 は、 にCreateGrantリクエストを送信することで、ユーザーに代わって grants HealthImaging を作成します。 AWS KMS。 でのグラント AWS KMS は、 HealthImaging へのアクセスを許可するために使用されます。 AWS KMS カスタマーアカウントの キー。
{ "Grants": [ { "Operations": [ "Decrypt", "Encrypt", "GenerateDataKey", "GenerateDataKeyWithoutPlaintext", "DescribeKey" ], "KeyId": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1", "Name": "0a74e6ad2aa84b74a22fcd3efac1eaa8", "RetiringPrincipal": "AWS Internal", "GranteePrincipal": "AWS Internal", "GrantId": "0da169eb18ffd3da8c0eebc9e74b3839573eb87e1e0dce893bb544a34e8fbaaf", "IssuingAccount": "AWS Internal", "CreationDate": 1685050229.0, "Constraints": { "EncryptionContextSubset": { "kms-arn": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1" } } }, { "Operations": [ "GenerateDataKey", "CreateGrant", "RetireGrant", "DescribeKey" ], "KeyId": "arn:aws:kms:us-west-2:824333766656:key/2fe3c119-792d-4b99-822f-b5841e1181d1", "Name": "2023-05-25T21:30:17", "RetiringPrincipal": "AWS Internal", "GranteePrincipal": "AWS Internal", "GrantId": "8229757abbb2019555ba64d200278cedac08e5a7147426536fcd1f4270040a31", "IssuingAccount": "AWS Internal", "CreationDate": 1685050217.0, } ] }
以下の例は、GenerateDataKey を使用して、ユーザーがデータを暗号化するのに必要な許可を持っているか、データを保存する前に確認する方法を示しています。
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "EXAMPLEUSER", "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01", "accountId": "111122223333", "accessKeyId": "EXAMPLEKEYID", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "EXAMPLEROLE", "arn": "arn:aws:iam::111122223333:role/Sampleuser01", "accountId": "111122223333", "userName": "Sampleuser01" }, "webIdFederationData": {}, "attributes": { "creationDate": "2021-06-30T21:17:06Z", "mfaAuthenticated": "false" } }, "invokedBy": "medical-imaging.amazonaws.com" }, "eventTime": "2021-06-30T21:17:37Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-east-1", "sourceIPAddress": "medical-imaging.amazonaws.com", "userAgent": "medical-imaging.amazonaws.com", "requestParameters": { "keySpec": "AES_256", "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN" }, "responseElements": null, "requestID": "EXAMPLE_ID_01", "eventID": "EXAMPLE_ID_02", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
次の例は、 が Decryptオペレーションを HealthImaging 呼び出して、保存された暗号化されたデータキーを使用して暗号化されたデータにアクセスする方法を示しています。
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "EXAMPLEUSER", "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01", "accountId": "111122223333", "accessKeyId": "EXAMPLEKEYID", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "EXAMPLEROLE", "arn": "arn:aws:iam::111122223333:role/Sampleuser01", "accountId": "111122223333", "userName": "Sampleuser01" }, "webIdFederationData": {}, "attributes": { "creationDate": "2021-06-30T21:17:06Z", "mfaAuthenticated": "false" } }, "invokedBy": "medical-imaging.amazonaws.com" }, "eventTime": "2021-06-30T21:21:59Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-east-1", "sourceIPAddress": "medical-imaging.amazonaws.com", "userAgent": "medical-imaging.amazonaws.com", "requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN" }, "responseElements": null, "requestID": "EXAMPLE_ID_01", "eventID": "EXAMPLE_ID_02", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
次の例は、 が DescribeKeyオペレーション HealthImaging を使用して、 が AWS KMS カスタマー所有 AWS KMS キーは使用可能な状態であり、機能していない場合のユーザーのトラブルシューティングに役立ちます。
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "EXAMPLEUSER", "arn": "arn:aws:sts::111122223333:assumed-role/Sampleuser01", "accountId": "111122223333", "accessKeyId": "EXAMPLEKEYID", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "EXAMPLEROLE", "arn": "arn:aws:iam::111122223333:role/Sampleuser01", "accountId": "111122223333", "userName": "Sampleuser01" }, "webIdFederationData": {}, "attributes": { "creationDate": "2021-07-01T18:36:14Z", "mfaAuthenticated": "false" } }, "invokedBy": "medical-imaging.amazonaws.com" }, "eventTime": "2021-07-01T18:36:36Z", "eventSource": "kms.amazonaws.com", "eventName": "DescribeKey", "awsRegion": "us-east-1", "sourceIPAddress": "medical-imaging.amazonaws.com", "userAgent": "medical-imaging.amazonaws.com", "requestParameters": { "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN" }, "responseElements": null, "requestID": "EXAMPLE_ID_01", "eventID": "EXAMPLE_ID_02", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
詳細
以下のリソースは、保管中のデータの暗号化に関する詳細情報を提供し、 の にあります。 AWS Key Management Service デベロッパーガイド 。
