保管中の暗号化 - AWS IoT SiteWise
AWS クラウドに保管中のデータ SiteWise Edge ゲートウェイの保管中のデータ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

保管中の暗号化

AWS IoT SiteWise は、データを AWS クラウドと AWS IoT SiteWise Edge ゲートウェイに保存します。

AWS クラウドに保管中のデータ

AWS IoT SiteWise は、デフォルトで保管中のデータを暗号化 AWS する他のサービスにデータを保存します。保管時の暗号化は AWS Key Management Service (AWS KMS) と統合され、 のアセットプロパティ値と集計値を暗号化するために使用される暗号化キーを管理します AWS IoT SiteWise。 AWS IoT SiteWiseのアセットプロパティ値と集計値の暗号化には、カスタマーマネージドキーの使用を選択することができます。 AWS KMSを通じて、暗号化キーの作成、管理、閲覧が可能です。

AWS 所有のキー を選択してデータを暗号化するか、カスタマーマネージドキーを選択してアセットプロパティ値と集計値を暗号化できます。

仕組み

保管時の暗号化は、データの暗号化に使用される暗号化キー AWS KMS を管理するために と統合されます。

  • AWS 所有のキー – デフォルトの暗号化キー。このキー AWS IoT SiteWise を所有します。 AWS アカウントではこのキーを表示できません。また、 AWS CloudTrail のログでキーに対する操作を確認することもできません。このキーは追加料金なしで使用することができます。

  • カスタマーマネージドキー - キーは、お客様が作成、所有、管理するアカウントに保存されます。KMS キーを完全に制御できます。 AWS KMS 追加料金が適用されます。

AWS 所有のキー

AWS 所有のキー は アカウントに保存されません。これらは、 が AWS 所有および管理するKMSキーのコレクションの一部であり、複数の AWS accounts. AWS services がデータを保護するために を使用できます AWS 所有のキー 。

を表示、管理、使用 AWS 所有のキーしたり、その使用を監査したりすることはできません。ただし、データを暗号化するキーを保護するための作業やプログラムを操作したり変更したりする必要はありません。

を使用する場合、月額料金や使用料金は請求されず AWS 所有のキー、アカウントの AWS KMS クォータにもカウントされません。

カスタマーマネージドキー

カスタマーマネージドキーは、ユーザーが作成、所有、管理するアカウントのKMSキーです。次のようなKMSキーを完全に制御できます。

  • キーポリシー、IAMポリシー、権限の確立と維持

  • 有効化と無効化

  • 暗号化マテリアルのローテーション

  • タグの追加

  • それらを参照するエイリアスの作成

  • 削除のスケジュール設定

CloudTrail および Amazon CloudWatch Logs を使用して、 が AWS KMS ユーザーに代わって AWS IoT SiteWise に送信するリクエストを追跡することもできます。

カスタマーマネージドキーを使用している場合は、 アカウントに保存されているKMSキー AWS IoT SiteWise へのアクセスを許可する必要があります。 AWS IoT SiteWise は、エンベロープ暗号化とキー階層を使用してデータを暗号化します。 AWS KMS 暗号化キーは、このキー階層のルートキーを暗号化するために使用されます。詳細については、「AWS Key Management Service デベロッパーガイド」の「エンベロープ暗号化」を参照してください。

次のポリシー例では、ユーザーに代わってカスタマーマネージドキーの作成にアクセス AWS IoT SiteWise 許可を付与します。キーを作成する際に、kms:CreateGrant および kms:DescribeKey アクションを許可する必要があります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1603902045292",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

作成したグラントの暗号化コンテキストは、aws:iotsitewise:subscriberId とアカウント ID を使用します。

SiteWise Edge ゲートウェイの保管中のデータ

AWS IoT SiteWise ゲートウェイは、ローカルファイルシステムに次のデータを保存します。

  • OPC UA ソース設定情報

  • 接続された OPC UA ソースからの OPC UA データストリームパスのセット

  • SiteWise Edge ゲートウェイがインターネットへの接続を失ったときにキャッシュされる産業用データ

SiteWise エッジゲートウェイは . AWS IoT Greengrass AWS IoT Greengrass relies で実行され、Unix ファイルアクセス許可とフルディスク暗号化 (有効になっている場合) を使用して、コア上の保管中のデータを保護します。ファイルシステムとデバイスを保護するのはお客様の責任となります。

ただし、 AWS IoT Greengrass Secrets Manager から取得した OPC UA サーバーシークレットのローカルコピーは暗号化されます。詳細については、[AWS IoT Greengrass Version 1 Developer Guide] (デベロッパーガイド) の[Secrets encryption] (秘密暗号化) を参照してください。

AWS IoT Greengrass コアでの保管時の暗号化の詳細については、「 AWS IoT Greengrass Version 1 デベロッパーガイド」の「保管時の暗号化」を参照してください。