靜態加密 - AWS IoT SiteWise

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

靜態加密

AWS IoT SiteWise 會將您的資料存放在 AWS 雲端中及閘道上。

AWS 雲端中的靜態資料

AWS IoT SiteWise 會將資料存放在預設為靜態資料加密的其他 AWS 服務中。靜態加密與AWS Key Management Service(AWS KMS),以管理用於加密資產屬性值和聚合AWS IoT SiteWise。您可以選擇使用客户受管金鑰來加密資產屬性值和聚合AWS IoT SiteWise。您可以創建、管理和查看加密密鑰,通過AWS KMS。

您可以選擇AWS 擁有的金鑰加密您的數據,或者選擇客户管理的密鑰來加密您的資產屬性值和聚合值:

運作方式

靜態加密與AWS KMS,以管理用於加密資料的加密金鑰。

  • AWS 擁有的金鑰— 預設的加密金鑰。AWS IoT SiteWise擁有這個密鑰。您無法在AWS帳户。您也無法看到AWS CloudTrail日誌。您可以免費使用此鑰匙。

  • 客户受管金鑰:金鑰會存放在您的帳户中,並且您建立、擁有且管理。您對 KMS 金鑰擁有完全的控制權。額外的AWS KMS需支付費用。

AWS 擁有的金鑰

AWS 擁有的金鑰不會存放在您的帳户中。它們是 KMS 密鑰集合的一部分,AWS擁有和管理在多個AWS帳户。AWS服務可以使用AWS 擁有的金鑰來保護您的資料。

你不能查看,管理,使用AWS 擁有的金鑰,或審核其使用情況。但是,您不需要執行任何工作或更改任何程式,即可保護加密資料的金鑰。

如果您使用AWS 擁有的金鑰,並且它們不會計入AWS KMS配額。

客戶受管金鑰

客戶受管金鑰為您在 帳戶中建立、擁有和管理的 KMS 金鑰。您可以完全控制這些 KMS 密鑰,如下所示:

  • 建立並維護其主要政策、IAM 政策和授予

  • 啟用和停用它們

  • 旋轉他們的加密材料

  • 新增標籤

  • 創建引用它們的別名

  • 計劃刪除它們

您也可以使用 CloudTrail 和 Amazon CloudWatch 日誌來跟蹤AWS IoT SiteWise傳送至AWS KMS會代表您執行。

如果您使用的是客户託管密鑰,則需要授予AWS IoT SiteWise訪問存儲在您的帳户中的 KMS 密鑰。AWS IoT SiteWise使用信封加密和密鑰層次來加密資料。您的 AWS KMS 加密金鑰是用來加密此金鑰階層的根金鑰。如需詳細資訊,請參閱「」信封加密中的AWS Key Management Service開發人員指南

以下範例政策授予AWS IoT SiteWise權限代表您創建客户託管密鑰. 創建密鑰時,您需要允許kms:CreateGrantkms:DescribeKey動作。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1603902045292", "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" } ] }

您創建的授權的加密上下文使用aws:iotsitewise:subscriberId和帳户 ID。

閘道上的靜態資料

AWS IoT SiteWise 閘道會將下列資料存放在本機檔案系統上:

  • OPC-UA 來源組態資訊

  • 來自已連線 OPC-UA 來源的 OPC-UA 資料串流路徑集

  • 在閘道失去網際網路連線時進行快取的工業資料

AWS IoT SiteWise 閘道在 AWS IoT Greengrass 上執行。AWS IoT Greengrass 依賴 Unix 檔案許可和全磁碟加密 (若啟用) 來保護核心上的靜態資料。保護檔案系統和裝置是您的責任。

但是,AWS IoT Greengrass會加密從 Secrets Manager 檢索的 OPC-UA 伺服器機密的本機副本。如需詳細資訊,請參閱「」私密加密中的AWS IoT Greengrass Version 1開發人員指南

如需靜態加密的詳細資訊,請參AWS IoT Greengrass核心,請參見靜態加密中的AWS IoT Greengrass Version 1開發人員指南