静态加密 - AWS 物联网 FleetWise
AWS 云端的静态数据

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

静态加密

AWS 物联网将您的数据 FleetWise 存储在 AWS 云端和网关上。

AWS 云端的静态数据

AWS 默认情况下 AWS 服务 ,物联网将数据 FleetWise 存储在对静态数据进行加密的其他设备中。静态加密与 AWS Key Management Service (AWS KMS) 集成,用于管理加密密钥,该密钥用于加密 AWS 物联网中的资产属性值和聚合值 FleetWise。您可以选择使用客户托管密钥对物 AWS 联网中的资产属性值和聚合值进行加密 FleetWise。您可以通过创建、管理和查看您的加密密钥 AWS KMS。

您可以选择 AWS 拥有的密钥 或客户管理的密钥来加密您的数据。

工作方式

静态加密与集成, AWS KMS 用于管理用于加密数据的加密密钥。

  • AWS 拥有的密钥 — 默认加密密钥。 AWS 物联网 FleetWise 拥有这把钥匙。您无法在 AWS 账户中查看、管理或使用此密钥。您也无法在 AWS CloudTrail 日志中看到对密钥的操作。使用此密钥不会产生额外的费用。

  • 客户托管密钥 - 此密钥存储在您的账户中,由您创建、拥有和管理。您对 KMS 密钥拥有完全控制权。需 AWS KMS 支付额外费用。

AWS 拥有的密钥

AWS 拥有的密钥 未存储在您的账户中。它们是 KMS 密钥集合的一部分,这些密钥 AWS 拥有并管理多个密钥 AWS 账户。 AWS 服务 可以 AWS 拥有的密钥 用来保护您的数据。

您无法查看、管理 AWS 拥有的密钥、使用或审核其使用情况。但是无需执行任何操作或更改任何计划即可保护用于加密数据的密钥。

如果您使用,则无需支付任何费用 AWS 拥有的密钥,也不会计入您账户的 AWS KMS 配额。

客户管理密钥

客户管理密钥是在您的账户中由您创建、拥有和管理的 KMS 密钥。您可以完全控制这些 KMS 密钥,例如:

  • 制定和维护密钥策略、IAM 策略和授权

  • 启用和禁用 KMS 密钥

  • 轮换 KMS 密钥的加密材料

  • 添加标签

  • 创建引用 KMS 密钥的别名

  • 安排删除 KMS 密钥

您还可以使用 CloudTrail 和 Amaz CloudWatch on Logs 来跟踪 AWS 物联网 AWS KMS 代表您 FleetWise 发送的请求。

如果您使用的是客户托管密钥,则必须向 AWS 物联网授予对存储在您账户中的 KMS 密钥的 FleetWise 访问权限。 AWS 物联网 FleetWise 使用信封加密和密钥层次结构来加密数据。您的 AWS KMS 加密密钥用于加密此密钥层次结构的根密钥。有关更多信息,请参阅 开发人员指南 中的AWS Key Management Service 信封加密

以下示例策略向 AWS 物联网 FleetWise 授予代表您创建客户托管密钥的权限。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1603902045292",
      "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:CreateGrant",
        "kms:RetireGrant",
        "kms:RevokeGrant"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
重要

在 KMS 密钥策略中添加新部分时,请勿更改策略中的任何现有部分。 AWS 如果为物联网 FleetWise 启用了加密, FleetWise 并且存在以下任一情况, AWS 物联网将无法对您的数据执行操作:

  • 所提供的 KMS 密钥已被禁用。

  • 未为该服务正确配置 KMS 密钥策略。

对视觉系统数据使用静态加密

注意

视觉系统数据目前为预览版,可能会发生变化。

如果您在 AWS 物联网 FleetWise 账户上启用了 AWS KMS 密钥的客户托管加密,并且想要使用视觉系统数据,请重置加密设置以与复杂数据类型兼容。这使 AWS 物联网 FleetWise 能够建立视觉系统数据所需的额外权限。

注意

如果尚未重置视觉系统数据的加密设置,您的解码器清单可能会停留在验证状态。

  1. 使用 GetEncryptionConfigurationAPI 操作检查是否启用了 AWS KMS 加密。如果加密类型为 FLEETWISE_DEFAULT_ENCRYPTION,则无需采取进一步操作。

  2. 如果加密类型为KMS_BASED_ENCRYPTION,则使用 PutEncryptionConfigurationAPI 操作将加密类型重置为FLEETWISE_DEFAULT_ENCRYPTION

    {
    aws iotfleetwise put-encryption-configuration --encryption-type 
      FLEETWISE_DEFAULT_ENCRYPTION 
 }

  3. 使用 PutEncryptionConfigurationAPI 操作将加密类型重新启用。KMS_BASED_ENCRYPTION

    {
    aws iotfleetwise put-encryption-configuration \
        --encryption-type "KMS_BASED_ENCRYPTION" 
        --kms-key-id kms_key_id
 }

有关启用加密的更多信息,请参阅密钥管理