Verschlüsselung im Ruhezustand - AWS IoT FleetWise

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung im Ruhezustand

AWS IoT FleetWise speichert Ihre Daten im AWS In der Cloud und auf Gateways.

Daten im Ruhezustand im AWS Cloud

AWS IoT FleetWise speichert Daten in anderen AWS-Services die Daten im Ruhezustand standardmäßig verschlüsseln. Verschlüsselung im Ruhezustand ist integriert mit AWS Key Management Service (AWS KMS) zur Verwaltung des Verschlüsselungsschlüssels, der zur Verschlüsselung Ihrer Immobilienwerte und aggregierten Werte in verwendet wird AWS IoT FleetWise. Sie können sich dafür entscheiden, einen vom Kunden verwalteten Schlüssel zur Verschlüsselung von Vermögenswerten und Aggregatwerten in AWS IoT FleetWise. Sie können Ihren Verschlüsselungsschlüssel erstellen, verwalten und einsehen über AWS KMS.

Sie können eine wählen AWS-eigener Schlüssel oder einen vom Kunden verwalteten Schlüssel zur Verschlüsselung Ihrer Daten.

Funktionsweise

Encryption at Rest integriert sich in AWS KMS zur Verwaltung des Verschlüsselungsschlüssels, der zur Verschlüsselung Ihrer Daten verwendet wird.

  • AWS-eigener Schlüssel — Standard-Verschlüsselungsschlüssel. AWS IoT FleetWise besitzt diesen Schlüssel. Sie können diesen Schlüssel nicht in Ihrem anzeigen, verwalten oder verwenden AWS-Konto. Sie können auch keine Operationen auf der Tastatur sehen AWS CloudTrail Logs. Sie können diesen Schlüssel ohne zusätzliche Kosten verwenden.

  • Vom Kunden verwalteter Schlüssel — Der Schlüssel wird in Ihrem Konto gespeichert, das Sie erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über den KMS Schlüssel. Zusätzlich AWS KMS Es fallen Gebühren an.

AWS-eigene Schlüssel

AWS-eigene Schlüssel sind nicht in Ihrem Konto gespeichert. Sie sind Teil einer Sammlung von KMS Schlüsseln AWS besitzt und verwaltet zur Verwendung in mehreren AWS-Konten. AWS-Services kann verwenden AWS-eigene Schlüssel um Ihre Daten zu schützen.

Sie können es nicht ansehen, verwalten oder verwenden AWS-eigene Schlüssel, oder ihre Verwendung überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme ändern, um Schlüssel zu schützen, die Ihre Daten verschlüsseln.

Ihnen wird keine Gebühr berechnet, wenn Sie AWS-eigene Schlüssel, und sie zählen nicht dagegen AWS KMS Kontingente für Ihr Konto.

Kundenverwaltete Schlüssel

Von Kunden verwaltete KMS Schlüssel sind Schlüssel in Ihrem Konto, die Sie erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über diese KMS Schlüssel, z. B. über die folgenden:

  • Festlegung und Aufrechterhaltung ihrer wichtigsten Richtlinien, IAM Richtlinien und Zuschüsse

  • Sie aktivieren und deaktivieren

  • Rotation ihres kryptographischen Materials

  • Hinzufügen von Tags

  • Aliase erstellen, die auf sie verweisen

  • Sie für das Löschen planen

Sie können auch Amazon CloudTrail CloudWatch Logs verwenden, um die Anfragen zu verfolgen AWS IoT FleetWise sendet an AWS KMS in Ihrem Namen.

Wenn Sie vom Kunden verwaltete Schlüssel verwenden, müssen Sie Folgendes gewähren AWS FleetWise IoT-Zugriff auf den in Ihrem Konto gespeicherten KMS Schlüssel. AWS IoT FleetWise verwendet Envelope-Verschlüsselung und Schlüsselhierarchie, um Daten zu verschlüsseln. Ihre AWS KMS Der Verschlüsselungsschlüssel wird verwendet, um den Stammschlüssel dieser Schlüsselhierarchie zu verschlüsseln. Weitere Informationen finden Sie unter Envelope-Verschlüsselung im AWS Key Management Service Entwicklerhandbuch.

Das folgende Beispiel für Policy-Grants AWS FleetWise IoT-Berechtigungen zur Erstellung eines vom Kunden verwalteten Schlüssels in Ihrem Namen.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1603902045292", "Action": [ "kms:GenerateDataKey*", "kms:Decrypt", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant", "kms:RevokeGrant" ], "Effect": "Allow", "Resource": "*" } ] }
Wichtig

Wenn Sie die neuen Abschnitte zu Ihrer KMS wichtigsten Richtlinie hinzufügen, ändern Sie keine vorhandenen Abschnitte in der Richtlinie. AWS IoT FleetWise kann keine Operationen mit Ihren Daten ausführen, wenn die Verschlüsselung aktiviert ist für AWS IoT FleetWise und alle der folgenden Punkte sind wahr:

  • Der KMS Schlüssel ist deaktiviert oder gelöscht.

  • Die KMS Schlüsselrichtlinie ist für den Dienst nicht richtig konfiguriert.

Verwendung von Bildverarbeitungssystemdaten mit Verschlüsselung im Ruhezustand

Anmerkung

Die Daten des Bildverarbeitungssystems befinden sich in der Vorschauversion und können sich ändern.

Wenn Sie die vom Kunden verwaltete Verschlüsselung mit AWS KMS Schlüssel sind auf Ihrem aktiviert AWS Wenn Sie FleetWise ein IoT-Konto haben und Bildverarbeitungssystemdaten verwenden möchten, setzen Sie Ihre Verschlüsselungseinstellungen zurück, damit sie mit komplexen Datentypen kompatibel sind. Das ermöglicht AWS IoT FleetWise zur Einrichtung zusätzlicher Genehmigungen, die für Bildverarbeitungssystemdaten erforderlich sind.

Anmerkung

Ihr Decoder-Manifest befindet sich möglicherweise in einem Validierungsstatus, wenn Sie Ihre Verschlüsselungseinstellungen für Bildverarbeitungssystemdaten nicht zurückgesetzt haben.

  1. Verwenden Sie den GetEncryptionConfigurationAPIVorgang, um zu überprüfen, ob AWS KMS Verschlüsselung ist aktiviert. Wenn der Verschlüsselungstyp ist, sind keine weiteren Maßnahmen erforderlichFLEETWISE_DEFAULT_ENCRYPTION.

  2. Wenn der Verschlüsselungstyp istKMS_BASED_ENCRYPTION, verwenden Sie den PutEncryptionConfigurationAPIVorgang, um den Verschlüsselungstyp auf zurückzusetzenFLEETWISE_DEFAULT_ENCRYPTION.

    { aws iotfleetwise put-encryption-configuration --encryption-type FLEETWISE_DEFAULT_ENCRYPTION }
  3. Verwenden Sie den PutEncryptionConfigurationAPIVorgang, um den Verschlüsselungstyp wieder zu KMS_BASED_ENCRYPTION aktivieren.

    { aws iotfleetwise put-encryption-configuration \ --encryption-type "KMS_BASED_ENCRYPTION" --kms-key-id kms_key_id }

Weitere Informationen zum Aktivieren der Verschlüsselung finden Sie unterSchlüsselverwaltung.