AWS IoT FleetWise での保管時の暗号化 - AWS IoT FleetWise
AWSクラウドに保管中のデータ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS IoT FleetWise での保管時の暗号化

AWS IoT FleetWise は、データをAWSクラウドとゲートウェイに保存します。

AWSクラウドに保管中のデータ

AWS IoT FleetWise は、デフォルトで保管中のデータを暗号化AWS のサービスする他の にデータを保存します。保管時の暗号化には AWS Key Management Service(AWS KMS) が統合され、これによってAWS IoT FleetWise のアセットのプロパティ値や集計値の暗号化に使用される暗号キーを管理します。カスタマーマネージドキーを使用して、AWS IoT FleetWise のアセットプロパティ値と集計値を暗号化できます。暗号化キーを作成、管理、表示できますAWS KMS。

AWS 所有のキーまたはカスタマーマネージドキーを選択してデータを暗号化できます。

仕組み

保管時の暗号化は と統合され、データの暗号化に使用される暗号化キーAWS KMSを管理します。

  • AWS 所有のキー– デフォルトの暗号化キー。AWS IoT FleetWise はこのキーを所有しています。このキーを表示または管理したり、AWS アカウントで使用したりすることはできません。また、AWS CloudTrailログにキーに対するオペレーションを表示することもできません。このキーは追加料金なしで使用することができます。

  • カスタマーマネージドキー - キーは、お客様が作成、所有、管理するアカウントに保存されます。ユーザーは、KMS キーに関する完全なコントロール権を持ちます。AWS KMS追加料金が適用されます。

AWS 所有のキー

AWS 所有のキーはアカウントに保存されません。これらは、multiple で使用するために がAWS所有および管理する KMS キーのコレクションの一部ですAWS アカウント。AWS のサービスはデータを保護するためにAWS 所有のキーを使用できます。

表示、管理、使用AWS 所有のキー、またはそれらの使用を監査することはできません。ただし、データを暗号化するキーを保護するために何らかの操作を行ったり、プログラムを変更したりする必要はありません。

を使用する場合、料金は発生せずAWS 所有のキー、アカウントのAWS KMSクォータにもカウントされません。

カスタマーマネージドキー

カスタマーマネージドキーは、お客様が作成、所有、管理するアカウント内の KMS キーです。これらの KMS キーはお客様が完全に制御でき、次のような操作が可能です。

  • キーポリシー、IAM ポリシー、グラントの確立と維持

  • 有効化と無効化

  • 暗号化マテリアルのローテーション

  • タグの追加

  • それらを参照するエイリアスの作成

  • 削除のスケジュール設定

CloudTrail と Amazon CloudWatch Logs を使用して、AWS IoT FleetWise がAWS KMSユーザーに代わって に送信するリクエストを追跡することもできます。

カスタマーマネージドキーを使用している場合は、IoT FleetWise AWS IoT にアカウントに保存されている KMS キーへのアクセスを許可する必要があります。AWS IoT FleetWise はエンベロープ暗号化とキー階層を使用してデータを暗号化します。AWS KMS暗号化キーは、このキー階層のルートキーを暗号化するために使用されます。詳細については、「AWS Key Management Serviceデベロッパーガイド」の「エンベロープ暗号化」を参照してください。

次のポリシー例では、AWS IoT FleetWise にAWS KMSキーを使用するアクセス許可を付与します。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "Service": "iotfleetwise.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}
重要

KMS キーポリシーに新しいセクションを追加するときは、ポリシー内の既存のセクションを変更しないでください。AWS IoT FleetWise で暗号化が有効になっていて、次のいずれかに当てはまる場合、AWS IoT FleetWise はデータに対してオペレーションを実行できません。

  • KMS キーが無効または削除されている。

  • サービスに対して KMS キーポリシーが正しく構成されていない。

ビジョンシステムデータに対する保管中の暗号化の使用

注記

ビジョンシステムデータはプレビューリリースであり、変更される可能性があります。

AWS IoT FleetWise アカウントでAWS KMSキーを有効にしたカスタマーマネージド暗号化があり、ビジョンシステムデータを使用する場合は、複雑なデータ型と互換性を持つように暗号化設定をリセットします。これにより、AWS IoT FleetWise はビジョンシステムデータに必要な追加のアクセス許可を確立できます。

注記

ビジョンシステムデータの暗号化設定をリセットしていないと、デコーダーマニフェストが検証中のままになる可能性があります。

  1. GetEncryptionConfiguration API オペレーションを使用して、AWS KMS暗号化が有効になっているかどうかを確認します。暗号化タイプが FLEETWISE_DEFAULT_ENCRYPTION の場合、追加のアクションは必要ありません。

  2. 暗号化タイプが KMS_BASED_ENCRYPTION の場合は、PutEncryptionConfiguration API オペレーションを使用して暗号化タイプを FLEETWISE_DEFAULT_ENCRYPTION にリセットします。

    aws iotfleetwise put-encryption-configuration \
      --encryption-type FLEETWISE_DEFAULT_ENCRYPTION

  3. PutEncryptionConfiguration API オペレーションを使用して、暗号化タイプを KMS_BASED_ENCRYPTION に再度有効化します。

    aws iotfleetwise put-encryption-configuration \
        --encryption-type KMS_BASED_ENCRYPTION \
        --kms-key-id kms_key_id

暗号化の有効化の詳細については、「AWS IoT FleetWise でのキー管理」を参照してください。