保管中の暗号化 - AWS IoT SiteWise

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

保管中の暗号化

AWS IoT SiteWise AWS データをクラウドと AWS IoT SiteWise Edge ゲートウェイに保存します。

データはクラウドに保存されています。 AWS

AWS IoT SiteWise AWS 保存中のデータをデフォルトで暗号化する他のサービスにデータを格納します。保管時の暗号化は AWS Key Management Service (AWS KMS) と統合され、資産プロパティ値の暗号化と値の集計に使用される暗号化キーを管理します。 AWS IoT SiteWise AWS IoT SiteWiseのアセットプロパティ値と集計値の暗号化には、カスタマーマネージドキーの使用を選択することができます。 AWS KMSを通じて、暗号化キーの作成、管理、閲覧が可能です。

AWS 所有のキー データを暗号化するにはを選択し、資産資産値と集計値を暗号化する顧客管理鍵を選択できます。

仕組み

保存時の暗号化は、 AWS KMS データの暗号化に使用される暗号化キーの管理と統合されています。

  • AWS 所有のキー — デフォルトの暗号化キー。 AWS IoT SiteWise このキーを所有しています。 AWS このキーはアカウントでは確認できません。また、 AWS CloudTrail のログでキーに対する操作を確認することもできません。このキーは追加料金なしで使用することができます。

  • カスタマーマネージドキー - キーは、お客様が作成、所有、管理するアカウントに保存されます。ユーザーは、KMS キーに関する完全なコントロール権を持ちます。 AWS KMS 追加料金がかかります。

AWS 所有のキー

AWS 所有のキー アカウントには保存されません。これらは、 AWS AWS 複数のアカウントで使用できるように所有、管理する KMS キーのコレクションの一部です。 AWS AWS 所有のキー サービスはデータを保護するために使用できます。

サービスの使用状況を表示、管理、使用 AWS 所有のキー、または監査することはできません。ただし、データを暗号化するキーを保護するための作業やプログラムを操作したり変更したりする必要はありません。

使用しても月額料金や使用料は請求されず AWS 所有のキー、 AWS KMS アカウントのクォータにはカウントされません。

カスタマーマネージドキー

カスタマーマネージドキーは、お客様が作成、所有、管理するアカウント内の KMS キーです。これらの KMS キーはお客様が完全に制御でき、次のような操作が可能です。

  • キーポリシー、IAM ポリシー、グラントの確立と維持

  • 有効化と無効化

  • 暗号化マテリアルのローテーション

  • タグの追加

  • それらを参照するエイリアスの作成

  • 削除のスケジュール設定

Amazon CloudWatch Logs を使用して CloudTrail 、 AWS IoT SiteWise AWS KMS ユーザーに代わってに送信されたリクエストを追跡することもできます。

カスタマーマネージドキーを使用している場合は、アカウントに保存されている KMS AWS IoT SiteWise キーへのアクセスを許可する必要があります。 AWS IoT SiteWise エンベロープ暗号化とキー階層を使用してデータを暗号化します。 AWS KMS 暗号化キーは、このキー階層のルートキーを暗号化するために使用されます。詳細については、「AWS Key Management Service デベロッパーガイド」の「エンベロープ暗号化」を参照してください。

以下のポリシー例では、 AWS IoT SiteWise ユーザーに代わってカスタマー管理キーを作成する権限を付与します。キーを作成する際に、kms:CreateGrant および kms:DescribeKey アクションを許可する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1603902045292", "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" } ] }

作成したグラントの暗号化コンテキストは、aws:iotsitewise:subscriberId とアカウント ID を使用します。

SiteWise Edge ゲートウェイに保存されているデータ

AWS IoT SiteWise ゲートウェイは以下のデータをローカルファイルシステムに保存します。

  • OPC-UA ソースの設定情報

  • 接続した OPC-UA ソースからの OPC-UA データストリームパスのセット

  • SiteWise Edge ゲートウェイがインターネットに接続できなくなると、産業用データがキャッシュされます。

SiteWise Edge ゲートウェイは稼働します。 AWS IoT Greengrass AWS IoT Greengrass UNIX のファイル権限とフルディスク暗号化 (有効な場合) を利用して、コアに保存されているデータを保護します。ファイルシステムとデバイスを保護するのはお客様の責任となります。

AWS IoT Greengrass ただし、Secrets Manager から取得した OPC-UA サーバーシークレットのローカルコピーは暗号化されます。詳細については、[AWS IoT Greengrass Version 1 Developer Guide] (デベロッパーガイド) の[Secrets encryption] (秘密暗号化) を参照してください。

AWS IoT Greengrass コア上の保存時の暗号化について詳しくは、『開発者ガイド』の「保管時の暗号化」を参照してください。AWS IoT Greengrass Version 1