Enkripsi diam - AWS IoT FleetWise
Data saat istirahat di AWS Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi diam

AWS IoT FleetWise menyimpan data Anda di AWS Cloud dan di gateway.

Data saat istirahat di AWS Cloud

AWS IoT FleetWise menyimpan data di tempat lain AWS services yang mengenkripsi data saat istirahat secara default. Enkripsi saat istirahat terintegrasi dengan AWS Key Management Service (AWS KMS) untuk mengelola kunci enkripsi yang digunakan untuk mengenkripsi nilai properti aset Anda dan nilai agregat di IoT. AWS FleetWise Anda dapat memilih untuk menggunakan kunci yang dikelola pelanggan untuk mengenkripsi nilai properti aset dan nilai agregat di IoT AWS . FleetWise Anda dapat membuat, mengelola, dan melihat kunci enkripsi Anda melalui AWS KMS.

Anda dapat memilih Kunci milik AWS atau kunci yang dikelola pelanggan untuk mengenkripsi data Anda.

Cara kerjanya

Enkripsi saat istirahat terintegrasi dengan AWS KMS untuk mengelola kunci enkripsi yang digunakan untuk mengenkripsi data Anda.

  • Kunci milik AWS — Kunci enkripsi default. AWS IoT FleetWise memiliki kunci ini. Anda tidak dapat melihat, mengelola, atau menggunakan kunci ini di Akun AWS. Anda juga tidak dapat melihat operasi pada kunci di AWS CloudTrail log. Anda dapat menggunakan kunci ini tanpa biaya tambahan.

  • Kunci yang dikelola pelanggan — Kunci disimpan di akun Anda, yang Anda buat, miliki, dan kelola. Anda memiliki kontrol penuh atas tombol KMS. AWS KMS Biaya tambahan berlaku.

Kunci milik AWS

Kunci milik AWS tidak disimpan di akun Anda. Mereka adalah bagian dari kumpulan kunci KMS yang AWS memiliki dan mengelola untuk digunakan dalam beberapa. Akun AWS AWS services dapat digunakan Kunci milik AWS untuk melindungi data Anda.

Anda tidak dapat melihat, mengelola, atau menggunakan Kunci milik AWS, atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda.

Anda tidak akan dikenakan biaya jika Anda menggunakan Kunci milik AWS, dan mereka tidak dihitung terhadap AWS KMS kuota untuk akun Anda.

Kunci yang dikelola pelanggan

Kunci yang dikelola pelanggan adalah kunci KMS di akun Anda yang Anda buat, miliki, dan kelola. Anda memiliki kontrol penuh atas kunci KMS ini, seperti berikut ini:

  • Menetapkan dan memelihara kebijakan utama mereka, kebijakan IAM, dan hibah

  • Mengaktifkan dan menonaktifkannya

  • Memutar materi kriptografi mereka

  • Menambahkan tanda

  • Membuat alias yang merujuk pada mereka

  • Menjadwalkan mereka untuk dihapus

Anda juga dapat menggunakan CloudTrail dan Amazon CloudWatch Logs untuk melacak permintaan yang FleetWise dikirimkan AWS IoT AWS KMS atas nama Anda.

Jika Anda menggunakan kunci yang dikelola pelanggan, Anda harus memberikan FleetWise akses AWS IoT ke kunci KMS yang disimpan di akun Anda. AWS IoT FleetWise menggunakan enkripsi amplop dan hierarki kunci untuk mengenkripsi data. Kunci enkripsi AWS KMS Anda digunakan untuk mengenkripsi kunci root dari hierarki kunci ini. Untuk informasi lebih lanjut, lihat Enkripsi amplop di Panduan Developer AWS Key Management Service .

Contoh kebijakan berikut memberikan izin AWS FleetWise IoT untuk membuat kunci terkelola pelanggan atas nama Anda.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1603902045292",
      "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:CreateGrant",
        "kms:RetireGrant",
        "kms:RevokeGrant"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
penting

Saat Anda menambahkan bagian baru ke kebijakan kunci KMS Anda, jangan ubah bagian yang ada dalam kebijakan. AWS IoT tidak FleetWise dapat melakukan operasi ke data Anda jika enkripsi diaktifkan untuk AWS IoT FleetWise dan salah satu dari berikut ini benar:

  • Kunci KMS dinonaktifkan atau dihapus.

  • Kebijakan kunci KMS tidak dikonfigurasi dengan benar untuk layanan.

Menggunakan data sistem visi dengan enkripsi saat istirahat

catatan

Data sistem visi dalam rilis pratinjau dan dapat berubah sewaktu-waktu.

Jika Anda memiliki enkripsi terkelola pelanggan dengan AWS KMS kunci yang diaktifkan di FleetWise akun AWS IoT Anda, dan Anda ingin menggunakan data sistem visi, setel ulang pengaturan enkripsi Anda agar kompatibel dengan tipe data yang kompleks. Ini memungkinkan AWS IoT FleetWise untuk menetapkan izin tambahan yang diperlukan untuk data sistem visi.

catatan

Manifes dekoder Anda dapat terjebak dalam status validasi jika Anda belum mengatur ulang pengaturan enkripsi untuk data sistem visi.

  1. Gunakan operasi GetEncryptionConfigurationAPI untuk memeriksa apakah AWS KMS enkripsi diaktifkan. Tidak ada tindakan lebih lanjut yang diperlukan jika jenis enkripsiFLEETWISE_DEFAULT_ENCRYPTION.

  2. Jika jenis enkripsiKMS_BASED_ENCRYPTION, gunakan operasi PutEncryptionConfigurationAPI untuk mengatur ulang jenis enkripsi keFLEETWISE_DEFAULT_ENCRYPTION. 

    {
    aws iotfleetwise put-encryption-configuration --encryption-type 
      FLEETWISE_DEFAULT_ENCRYPTION 
 }

  3. Gunakan operasi PutEncryptionConfigurationAPI untuk mengaktifkan kembali jenis enkripsi. KMS_BASED_ENCRYPTION 

    {
    aws iotfleetwise put-encryption-configuration \
        --encryption-type "KMS_BASED_ENCRYPTION" 
        --kms-key-id kms_key_id
 }

Untuk informasi selengkapnya tentang mengaktifkan enkripsi, lihatManajemen kunci.