靜態加密

AWS IoT SiteWise 會將您的資料存放在 AWS 雲端中及閘道上。

AWS 雲端中的靜態資料

AWS IoT SiteWise 會將資料存放在預設為靜態資料加密的其他 AWS 服務中。靜態加密與AWS Key Management Service(AWS KMS)，以管理用於加密資產屬性值和聚合AWS IoT SiteWise。您可以選擇使用客户受管金鑰來加密資產屬性值和聚合AWS IoT SiteWise。您可以創建、管理和查看加密密鑰，通過AWS KMS。

您可以選擇AWS 擁有的金鑰加密您的數據，或者選擇客户管理的密鑰來加密您的資產屬性值和聚合值：

運作方式

靜態加密與AWS KMS，以管理用於加密資料的加密金鑰。

• AWS 擁有的金鑰— 預設的加密金鑰。AWS IoT SiteWise擁有這個密鑰。您無法在AWS帳户。您也無法看到AWS CloudTrail日誌。您可以免費使用此鑰匙。

• 客户受管金鑰：金鑰會存放在您的帳户中，並且您建立、擁有且管理。您對 KMS 金鑰擁有完全的控制權。額外的AWS KMS需支付費用。

AWS 擁有的金鑰

AWS 擁有的金鑰不會存放在您的帳户中。它們是 KMS 密鑰集合的一部分，AWS擁有和管理在多個AWS帳户。AWS服務可以使用AWS 擁有的金鑰來保護您的資料。

你不能查看，管理，使用AWS 擁有的金鑰，或審核其使用情況。但是，您不需要執行任何工作或更改任何程式，即可保護加密資料的金鑰。

如果您使用AWS 擁有的金鑰，並且它們不會計入AWS KMS配額。

客戶受管金鑰

客戶受管金鑰為您在 帳戶中建立、擁有和管理的 KMS 金鑰。您可以完全控制這些 KMS 密鑰，如下所示：

• 建立並維護其主要政策、IAM 政策和授予

• 啟用和停用它們

• 旋轉他們的加密材料

• 新增標籤

• 創建引用它們的別名

• 計劃刪除它們

您也可以使用 CloudTrail 和 Amazon CloudWatch 日誌來跟蹤AWS IoT SiteWise傳送至AWS KMS會代表您執行。

如果您使用的是客户託管密鑰，則需要授予AWS IoT SiteWise訪問存儲在您的帳户中的 KMS 密鑰。AWS IoT SiteWise使用信封加密和密鑰層次來加密資料。您的 AWS KMS 加密金鑰是用來加密此金鑰階層的根金鑰。如需詳細資訊，請參閱「」信封加密中的AWS Key Management Service開發人員指南。

以下範例政策授予AWS IoT SiteWise權限代表您創建客户託管密鑰. 創建密鑰時，您需要允許kms:CreateGrant和kms:DescribeKey動作。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1603902045292",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

您創建的授權的加密上下文使用aws:iotsitewise:subscriberId和帳户 ID。

閘道上的靜態資料

AWS IoT SiteWise 閘道會將下列資料存放在本機檔案系統上：

• OPC-UA 來源組態資訊

• 來自已連線 OPC-UA 來源的 OPC-UA 資料串流路徑集

• 在閘道失去網際網路連線時進行快取的工業資料

AWS IoT SiteWise 閘道在 AWS IoT Greengrass 上執行。AWS IoT Greengrass 依賴 Unix 檔案許可和全磁碟加密 (若啟用) 來保護核心上的靜態資料。保護檔案系統和裝置是您的責任。

但是,AWS IoT Greengrass會加密從 Secrets Manager 檢索的 OPC-UA 伺服器機密的本機副本。如需詳細資訊，請參閱「」私密加密中的AWS IoT Greengrass Version 1開發人員指南。

如需靜態加密的詳細資訊，請參AWS IoT Greengrass核心，請參見靜態加密中的AWS IoT Greengrass Version 1開發人員指南。