靜態加密 - AWS IoT FleetWise
AWS 雲端中的靜態資料

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

靜態加密

AWS IoT 會將您的資料 FleetWise 儲存在 AWS 雲端和閘道上。

AWS 雲端中的靜態資料

AWS IoT AWS services 會將資料 FleetWise 儲存在預設情況下加密靜態資料的其他資料。靜態加密與 AWS Key Management Service (AWS KMS) 整合,用於管理用於加密 AWS IoT 中的資產屬性值和彙總值的加密金鑰 FleetWise。您可以選擇使用客戶受管金鑰來加密 AWS IoT 中的資產屬性值和彙總值 FleetWise。您可以透過建立、管理和檢視您的加密金鑰 AWS KMS。

您可以選擇 AWS 擁有的金鑰 或客戶管理的金鑰來加密資料。

運作方式

靜態加密與 AWS KMS 整合,用於管理用於加密資料的加密金鑰。

  • AWS 擁有的金鑰 — 預設加密金鑰。 AWS IoT FleetWise 擁有這個密鑰。您無法在. 中檢視、管理或使用此金鑰 AWS 帳戶。您也無法在 AWS CloudTrail 記錄檔中看到金鑰的作業。您可以使用此鑰匙,無需額外付費。

  • 客戶管理金鑰 — 金鑰會儲存在您建立、擁有及管理的帳戶中。您可以完全控制 KMS 金鑰。需 AWS KMS 支付額外費用。

AWS 擁有的金鑰

AWS 擁有的金鑰 不會儲存在您的帳戶中。它們是 AWS 擁有和管理以供多個使用的 KMS 金鑰集合的一部分 AWS 帳戶。 AWS services 可用 AWS 擁有的金鑰 來保護您的資料。

您無法檢視、管理或使用 AWS 擁有的金鑰,或稽核其使用情況。不過,您不需要採取任何動作或變更任何程式來保護資料加密的金鑰。

如果您使用,則不會向您收取費用 AWS 擁有的金鑰,且不會計入您帳戶的 AWS KMS 配額。

客戶受管金鑰

客戶受管金鑰為您在 帳戶中建立、擁有和管理的 KMS 金鑰。您可以完全控制這些 KMS 金鑰,例如:

  • 建立和維護其關鍵政策、IAM 政策和撥款

  • 啟用和禁用它們

  • 旋轉他們的密碼材料

  • 新增標籤

  • 創建引用它們的別名

  • 排定要刪除的程式

您也可以使用 CloudTrail 和 Amazon CloudWatch 日誌來追蹤 AWS IoT 代表您 FleetWise 傳送 AWS KMS 的請求。

如果您使用客戶受管金鑰,則必須授與 AWS IoT FleetWise 存取存放在帳戶中的 KMS 金鑰。 AWS IoT FleetWise 使用信封加密和金鑰階層來加密資料。您的 AWS KMS 加密金鑰是用來加密此金鑰階層的根金鑰。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的封套加密

下列範例原則授與 AWS IoT FleetWise 權限,以代表您建立客戶管理的金鑰。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1603902045292",
      "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:DescribeKey",
        "kms:CreateGrant",
        "kms:RetireGrant",
        "kms:RevokeGrant"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
重要

當您將新區段新增至 KMS 金鑰原則時,請勿變更原則中的任何現有區段。 AWS 如果 IoT FleetWise 已啟用加密, FleetWise 且下列任一條件成立, AWS IoT 就無法對您的資料執行作業:

  • KMS 金鑰已停用或刪除。

  • KMS 金鑰原則未正確設定服務。

使用具有靜態加密功能的視覺系統資料

注意

視覺系統資料正在預覽版中,可能會有所變更。

如果您的 AWS IoT FleetWise 帳戶已啟用 AWS KMS 金鑰的客戶管理加密,並且想要使用視覺系統資料,請重設您的加密設定,使其與複雜的資料類型相容。這可讓 AWS IoT 建 FleetWise 立視覺系統資料所需的其他權限。

注意

如果您尚未重設視覺系統資料的加密設定,您的解碼器資訊清單可能會卡在驗證狀態。

  1. 使用 GetEncryptionConfigurationAPI 作業檢查是否已啟用 AWS KMS 加密。如果加密類型為,則不需要進一步處理行動FLEETWISE_DEFAULT_ENCRYPTION

  2. 如果加密類型為KMS_BASED_ENCRYPTION,請使用 PutEncryptionConfigurationAPI 作業將加密類型重設為FLEETWISE_DEFAULT_ENCRYPTION

    {
    aws iotfleetwise put-encryption-configuration --encryption-type 
      FLEETWISE_DEFAULT_ENCRYPTION 
 }

  3. 使用 PutEncryptionConfigurationAPI 作業重新啟用的加密類型。KMS_BASED_ENCRYPTION

    {
    aws iotfleetwise put-encryption-configuration \
        --encryption-type "KMS_BASED_ENCRYPTION" 
        --kms-key-id kms_key_id
 }

如需啟用加密的詳細資訊,請參閱金鑰管理