翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# での保管時の暗号化 AWS IoT SiteWise
<a name="encryption-at-rest"></a>

AWS IoT SiteWise は、データを AWS クラウドと AWS IoT SiteWise Edge ゲートウェイに保存します。

## AWS クラウドに保管中のデータ
<a name="cloud-encryption-at-rest"></a>

AWS IoT SiteWise は、デフォルトで保管中のデータを暗号化する他の AWS サービスにデータを保存します。保管時の暗号化は AWS Key Management Service (AWS KMS) と統合され、アセットプロパティ値と集計値を暗号化するために使用される暗号化キーを管理します AWS IoT SiteWise。 AWS IoT SiteWiseのアセットプロパティ値と集計値の暗号化には、カスタマーマネージドキーの使用を選択することができます。 AWS KMSを通じて、暗号化キーの作成、管理、閲覧が可能です。

 AWS 所有のキー を選択してデータを暗号化するか、カスタマーマネージドキーを選択してアセットプロパティ値と集計値を暗号化できます。

### 仕組み
<a name="how-it-works"></a>

保管時の暗号化は と統合され、データの暗号化に使用される暗号化キー AWS KMS を管理します。
+ AWS 所有のキー – デフォルトの暗号化キー。このキー AWS IoT SiteWise を所有します。 AWS アカウントでこのキーを表示することはできません。また、 AWS CloudTrail のログでキーに対する操作を確認することもできません。このキーは追加料金なしで使用することができます。
+ カスタマーマネージドキー - キーは、お客様が作成、所有、管理するアカウントに保存されます。ユーザーは、KMS キーに関する完全なコントロール権を持ちます。 AWS KMS 追加料金が適用されます。

### AWS 所有のキー
<a name="aws-owned-cmk"></a>

AWS 所有のキー はアカウントに保存されません。これらは、複数の AWS accounts. AWS services で使用するために が AWS 所有および管理する KMS キーのコレクションの一部です。 サービスはデータを保護するために を使用できます AWS 所有のキー 。

 その使用を表示、管理、使用 AWS 所有のキー、監査することはできません。ただし、データを暗号化するキーを保護するための作業やプログラムを操作したり変更したりする必要はありません。

 を使用する場合、月額料金や使用料金は請求されず AWS 所有のキー、アカウントの AWS KMS クォータにはカウントされません。

### カスタマーマネージドキー
<a name="customer-managed-cmk"></a>

カスタマーマネージドキーは、お客様が作成、所有、管理するアカウント内の KMS キーです。これらの KMS キーはお客様が完全に制御でき、次のような操作が可能です。
+ キーポリシー、IAM ポリシー、グラントの確立と維持
+ 有効化と無効化
+ 暗号化マテリアルのローテーション
+  タグを追加する
+ それらを参照するエイリアスの作成 
+ 削除のスケジュール設定



CloudTrail と Amazon CloudWatch Logs を使用して、 が AWS KMS ユーザーに代わって AWS IoT SiteWise に送信するリクエストを追跡することもできます。

 カスタマーマネージドキーを使用している場合は、 アカウントに保存されている KMS キー AWS IoT SiteWise へのアクセスを許可する必要があります。 AWS IoT SiteWise は、エンベロープ暗号化とキー階層を使用してデータを暗号化します。 AWS KMS 暗号化キーは、このキー階層のルートキーを暗号化するために使用されます。詳細については、「AWS Key Management Service デベロッパーガイド**」の「[エンベロープ暗号化](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping)」を参照してください。

 次のポリシー例では、ユーザーに代わってカスタマーマネージドキーの作成にアクセス AWS IoT SiteWise 許可を付与します。キーを作成する際に、`kms:CreateGrant` および `kms:DescribeKey` アクションを許可する必要があります。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Stmt1603902045292",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

------

 作成したグラントの暗号化コンテキストは、`aws:iotsitewise:subscriberId` とアカウント ID を使用します。

## SiteWise Edge ゲートウェイに保管中のデータ
<a name="gateway-encryption-at-rest"></a>

AWS IoT SiteWise ゲートウェイは、ローカルファイルシステムに次のデータを保存します。
+ OPC UA ソースの設定情報
+ 接続された OPC UA ソースからの OPC UA データストリームパスのセット
+ SiteWise Edge ゲートウェイがインターネットへの接続を失ったときにキャッシュされる産業用データ

SiteWise Edge ゲートウェイは AWS IoT Greengrass、Unix ファイルのアクセス許可とフルディスク暗号化 (有効になっている場合) AWS IoT Greengrass に基づいて実行され、コア上の保管中のデータを保護します。ファイルシステムとデバイスを保護するのはお客様の責任となります。

ただし、 AWS IoT Greengrass Secrets Manager から取得した OPC UA サーバーシークレットのローカルコピーは暗号化されます。詳細については、*[AWS IoT Greengrass Version 1 Developer Guide]* (デベロッパーガイド) の[[Secrets encryption]](https://docs.aws.amazon.com/greengrass/v1/developerguide/secrets.html#secrets-encryption) (秘密暗号化) を参照してください。

 AWS IoT Greengrass コアの保管時の暗号化の詳細については、「 *AWS IoT Greengrass Version 1 デベロッパーガイド*」の[「保管時の暗号化](https://docs.aws.amazon.com/greengrass/v1/developerguide/encryption-at-rest.html)」を参照してください。