金鑰管理 - AWS IoT FleetWise
AWS IoT FleetWise 雲端金鑰管理啟用使用 KMS 金鑰加密 (主控台)啟用使用 KMS 金鑰加密 (AWS CLI)KMS 金鑰政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

金鑰管理

AWS IoT FleetWise 雲端金鑰管理

依預設, AWS IoT FleetWise 會用 AWS 受管金鑰 來保護您中的資料 AWS 雲端。您可以更新設定,以使用客戶受管金鑰來加密 AWS IoT 中的資料 FleetWise。您可以透過 AWS Key Management Service (AWS KMS) 建立、管理和檢視您的加密金鑰。

AWS IoT FleetWise 支援伺服器端加密,並將客戶管理金鑰儲存在其中, AWS KMS 以加密下列資源的資料。

AWS IoT FleetWise 資源 資料類型 使用客戶管理的金鑰靜態加密的欄位
信號目錄 description
屬性

說明、allowedValues、defaultValue、最大值
傳動器

說明,allowedValues,最小值,最大
感測器

說明,allowedValues,最小值,最大
車輛型號(模型清單) description
解碼器清單 description
CanInterface

通訊協定名稱,通訊協定版本
ObdInterface

requestMessageId, dtcRequestInterval 秒, hasTransmissionEcu, OBD 標準, 秒, pidRequestInterval useExtendedIds

CanSignal

係數、未簽署 isBigEndian、長度、messageId、偏移量、起始位元
ObdSignal

依照長度、偏移量、PID、縮放、服務模式 pidResponseLength、起始位元組、、 bitMaskLength bitRightShift
車輛 屬性
Campaign description
conditionBasedCollection計劃

表達式, conditionLanguageVersion, minimumTriggerInterval 女士, 觸發模式
TimeBasedCollectionScheme

時期
注意

其他數據和資源使用由 AWS IoT 管理的密鑰使用默認加密進行加密 FleetWise。此金鑰會建立並儲存在 AWS IoT FleetWise 帳戶中。

如需詳細資訊,請參閱什麼是 AWS Key Management Service?AWS Key Management Service 開發人員指南中。

啟用使用 KMS 金鑰加密 (主控台)

若要將客戶受管金鑰與 AWS IoT 搭配使用 FleetWise,您必須更新 AWS IoT FleetWise 設定。

啟用使用 KMS 金鑰加密 (主控台)

  1. 開啟 AWS IoT FleetWise 主控台

  2. 導覽至 [設定]

  3. 加密中,選擇編輯以開啟編輯加密頁面。

  4. 針對 [加密金鑰類型],選擇 [選擇其他 AWS KMS 金鑰]。這可以使用存儲在中的客戶託管金鑰進行加密 AWS KMS。

    注意

    您只能針對 AWS IoT FleetWise 資源使用客戶受管金鑰加密。這包括信號目錄,車輛模型(模型清單),解碼器清單,車輛,車隊和戰役。

  5. 使用下列其中一個選項選擇您的 KMS 金鑰:

    • 若要使用現有的 KMS 金鑰,請從清單中選擇您的 KMS 金鑰別名。

    • 若要建立新的 KMS 金鑰 — 選擇 [建立金 AWS KMS 鑰]。

      注意

      這將打開控 AWS KMS 制台。如需有關建立 KMS 金鑰的詳細資訊,請參閱AWS Key Management Service 開發人員指南中的建立金鑰

  6. 選擇 [儲存] 以更新您的設定。

啟用使用 KMS 金鑰加密 (AWS CLI)

您可以使用 PutEncryptionConfigurationAPI 操作為您的 AWS IoT FleetWise 帳戶啟用加密。下面的例子使用 AWS CLI.

若要啟用加密,請執行下列命令。

  • KMS 金鑰識別碼取代為 KMS 金鑰的識別碼。

aws iotfleetwise put-encryption-configuration —kms-key-id KMS key id —encryption-type KMS_BASED_ENCRYPTION
範例 response
{
 "kmsKeyId": "customer_kms_key_id",
 "encryptionStatus": "PENDING",
 "encryptionType": "KMS_BASED_ENCRYPTION"
}

KMS 金鑰政策

建立 KMS 金鑰之後,您至少必須將下列陳述式新增至 KMS 金鑰原則,才能與 AWS IoT 搭配使用 FleetWise。

{
  "Sid": "Allow FleetWise to encrypt and decrypt data when customer managed KMS key based encryption is enabled",
  "Effect": "Allow",
  "Principal": {
    "Service": "iotfleetwise.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey*",
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:CreateGrant",
    "kms:RetireGrant",
    "kms:RevokeGrant"
  ],
  "Resource": "*"
}

如需有關編輯與 AWS IoT 搭配使用的 KMS 金鑰原則的詳細資訊 FleetWise,請參閱AWS Key Management Service 開發人員指南中的變更金鑰原則

重要

當您將新區段新增至 KMS 金鑰原則時,請勿變更原則中的任何現有區段。 AWS 如果 IoT FleetWise 已啟用加密, FleetWise 且下列任一條件成立, AWS IoT 就無法對您的資料執行作業:

  • KMS 金鑰已停用或刪除。

  • KMS 金鑰原則未正確設定服務。