저장 중 암호화 - AWS IoT FleetWise
클라우드에 AWS 저장된 데이터

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

저장 중 암호화

AWS IoT는 데이터를 AWS 클라우드와 게이트웨이에 FleetWise 저장합니다.

클라우드에 AWS 저장된 데이터

AWS IoT는 기본적으로 저장된 데이터를 AWS 서비스 암호화하는 다른 곳에 데이터를 FleetWise 저장합니다. 저장 중 암호화는 IoT에서 자산 자산 자산 및 집계 값을 암호화하는 데 사용되는 암호화 키를 관리하기 위해 AWS Key Management Service (AWS KMS) 와 통합됩니다. AWS FleetWise 고객 관리 키를 사용하여 AWS IoT에서 자산 자산 자산 값 및 집계 값을 암호화하도록 선택할 수 있습니다. FleetWise 를 통해 암호화 키를 만들고, 관리하고, 볼 수 있습니다. AWS KMS

데이터를 암호화할 키 AWS 소유 키 또는 고객 관리 키를 선택할 수 있습니다.

작동 방식

저장 중 암호화는 데이터 AWS KMS 암호화에 사용되는 암호화 키 관리 기능과 통합됩니다.

  • AWS 소유 키 — 기본 암호화 키. AWS FleetWise IoT가 이 키를 소유합니다. AWS 계정의 키를 확인, 관리 또는 사용할 수 없습니다. 또한 AWS CloudTrail 로그에서 키에 대한 작업을 볼 수 없습니다. 추가 비용 없이 이 키를 사용할 수 있습니다.

  • 고객 관리형 키 - 사용자의 계정에 키가 저장되며 사용자가 생성, 소유, 관리하는 유형입니다. KMS 키에 대해 사용자가 모든 것을 제어합니다. 추가 AWS KMS 요금이 적용됩니다.

AWS 소유 키

AWS 소유 키 계정에 저장되지 않습니다. 여러 키에서 사용할 수 있도록 AWS 소유하고 관리하는 KMS 키 컬렉션의 일부입니다. AWS 계정 AWS 서비스 데이터를 보호하는 AWS 소유 키 데 사용할 수 있습니다.

데이터 사용을 AWS 소유 키보거나, 관리하거나, 사용하거나 감사할 수 없습니다. 하지만 데이터를 암호화하는 키를 보호하기 위해 어떤 작업을 수행하거나 어떤 프로그램을 변경할 필요가 없습니다.

사용하면 AWS 소유 키수수료가 부과되지 않으며 계정 AWS KMS 할당량에도 포함되지 않습니다.

고객 관리형 키

고객 관리형 키는 사용자가 생성, 소유 및 관리하는 계정의 KMS 키입니다. 다음과 같이 이러한 KMS 키를 완전히 제어할 수 있습니다.

  • 키 정책, IAM 정책 및 권한 부여의 수립 및 유지

  • 활성화 및 비활성화

  • 암호화 자료 교체

  • 태그 추가

  • 이를 참조하는 별칭 생성

  • KMS 키 삭제 예약

또한 Amazon CloudWatch Logs를 사용하여 CloudTrail AWS IoT가 사용자를 대신하여 FleetWise 보내는 요청을 추적할 AWS KMS 수 있습니다.

고객 관리 키를 사용하는 경우 계정에 저장된 KMS 키에 AWS IoT FleetWise 액세스 권한을 부여해야 합니다. AWS IoT는 봉투 암호화와 키 계층 구조를 FleetWise 사용하여 데이터를 암호화합니다. AWS KMS 암호화 키는 이 키 계층 구조의 루트 키를 암호화하는 데 사용됩니다. 자세한 내용은 AWS Key Management Service 개발자 가이드봉투 암호화를 참조하세요.

다음 예제 정책은 사용자를 대신하여 고객 관리 키를 생성할 수 있는 AWS IoT FleetWise 권한을 부여합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1603902045292",
      "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:CreateGrant",
        "kms:RetireGrant",
        "kms:RevokeGrant"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
중요

KMS 키 정책에 새 섹션을 추가할 때 정책의 기존 섹션을 변경하지 마세요. AWS IoT에 암호화가 활성화되어 FleetWise 있고 다음 중 하나에 해당하는 경우 AWS IoT는 데이터에 대한 작업을 수행할 FleetWise 수 없습니다.

  • KMS 키가 비활성화되었거나 삭제되었습니다.

  • KMS 키 정책이 서비스에 제대로 구성되어 있지 않습니다.

비전 시스템 데이터에 저장 시 암호화 사용

참고

비전 시스템 데이터는 평가판 릴리스이며 변경될 수 있습니다.

AWS IoT FleetWise 계정에서 AWS KMS 키가 활성화된 고객 관리형 암호화가 있고 비전 시스템 데이터를 사용하려는 경우 복잡한 데이터 유형과 호환되도록 암호화 설정을 재설정하십시오. 이를 통해 AWS IoT는 FleetWise 비전 시스템 데이터에 필요한 추가 권한을 설정할 수 있습니다.

참고

비전 시스템 데이터에 대한 암호화 설정을 재설정하지 않은 경우 디코더 매니페스트가 검증 중 상태로 멈출 수 있습니다.

  1. GetEncryptionConfigurationAPI 작업을 사용하여 AWS KMS 암호화가 활성화되었는지 확인하십시오. 암호화 유형이 FLEETWISE_DEFAULT_ENCRYPTION이면 추가 작업이 필요하지 않습니다.

  2. 암호화 유형이 KMS_BASED_ENCRYPTION 인 경우 PutEncryptionConfigurationAPI 작업을 사용하여 암호화 유형을 로 재설정합니다FLEETWISE_DEFAULT_ENCRYPTION.

    {
    aws iotfleetwise put-encryption-configuration --encryption-type 
      FLEETWISE_DEFAULT_ENCRYPTION 
 }

  3. PutEncryptionConfigurationAPI 작업을 사용하여 암호화 유형을 로 KMS_BASED_ENCRYPTION 다시 활성화합니다.

    {
    aws iotfleetwise put-encryption-configuration \
        --encryption-type "KMS_BASED_ENCRYPTION" 
        --kms-key-id kms_key_id
 }

암호화 활성화에 대한 자세한 내용은 키 관리 섹션을 참조하세요.