Criptografia em repouso em AWS IoT SiteWise - AWS IoT SiteWise
Dados em repouso na AWS nuvemDados em repouso nos gateways SiteWise Edge

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia em repouso em AWS IoT SiteWise

AWS IoT SiteWise armazena seus dados na AWS nuvem e nos gateways AWS IoT SiteWise Edge.

Dados em repouso na AWS nuvem

AWS IoT SiteWise armazena dados em outros AWS serviços que criptografam dados em repouso por padrão. A criptografia em repouso se integra com AWS Key Management Service (AWS KMS) para gerenciar a chave de criptografia usada para criptografar os valores das propriedades do seu ativo e agregar valores em. AWS IoT SiteWise Você pode optar por usar uma chave gerenciada pelo cliente para criptografar valores de propriedades do ativo e agregar valores em AWS IoT SiteWise. Você pode criar, gerenciar e visualizar sua chave de criptografia por meio do AWS KMS.

Você pode escolher uma Chave pertencente à AWS para criptografar seus dados ou escolher uma chave gerenciada pelo cliente para criptografar os valores das propriedades do seu ativo e valores agregados:

Como funciona

A criptografia em repouso se AWS KMS integra ao gerenciamento da chave de criptografia usada para criptografar seus dados.

  • Chave pertencente à AWS — Chave de criptografia padrão. AWS IoT SiteWise possui essa chave. Você não pode ver essa chave na sua AWS conta. Você também não pode ver operações na chave nos logs de AWS CloudTrail . Você pode usar esta chave sem custo adicional.

  • Chave gerenciada pelo cliente – A chave é armazenada na sua conta e é você que a cria, detém e gerencia. Você tem controle total sobre a chave KMS. AWS KMS Taxas adicionais se aplicam.

Chaves pertencentes à AWS

Chaves pertencentes à AWS não estão armazenados em sua conta. Elas fazem parte de uma coleção de chaves KMS que AWS possui e gerencia para uso em várias AWS contas. AWS serviços que você pode Chaves pertencentes à AWS usar para proteger seus dados.

Você não pode visualizar, gerenciar Chaves pertencentes à AWS, usar ou auditar seu uso. No entanto, você não precisa fazer nenhum trabalho nem alterar nenhum programa para proteger as chaves que criptografam seus dados.

Não é cobrada uma taxa mensal ou uma taxa de uso se você usar Chaves pertencentes à AWS, e elas não contam nas AWS KMS cotas da sua conta.

Chaves gerenciadas pelo cliente

Chaves gerenciadas pelo cliente são chaves do KMS disponíveis na sua conta do que você cria, detém e gerencia. Você tem controle total sobre as chaves KMS, como as seguintes:

  • Estabelecer e manter políticas de chaves, políticas do IAM e concessões

  • Ativação e desativação das chaves

  • Alternar os materiais de criptografia das chaves

  • Adicionar etiquetas

  • Criar aliases que se referem as chaves

  • Agendá-las para exclusão

Você também pode usar CloudTrail o Amazon CloudWatch Logs para rastrear as solicitações AWS IoT SiteWise enviadas para AWS KMS você.

Se você estiver usando chaves gerenciadas pelo cliente, precisará conceder AWS IoT SiteWise acesso à chave KMS armazenada em sua conta. AWS IoT SiteWise usa criptografia de envelope e hierarquia de chaves para criptografar dados. Sua chave de AWS KMS criptografia é usada para criptografar a chave raiz dessa hierarquia de chaves. Para obter mais informações, consulte Criptografia envelopada no Guia do desenvolvedor do AWS Key Management Service .

O exemplo de política a seguir concede AWS IoT SiteWise permissões para criar uma chave gerenciada pelo cliente em seu nome. Ao criar sua chave, você precisa permitir as ações de kms:CreateGrant e kms:DescribeKey. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1603902045292",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

O contexto de criptografia para a concessão criada usa sua aws:iotsitewise:subscriberId e ID da conta.

Dados em repouso nos gateways SiteWise Edge

AWS IoT SiteWise os gateways armazenam os seguintes dados no sistema de arquivos local:

  • Informações de configuração de fontes OPC UA

  • O conjunto de caminhos de fluxo de dados OPC UA das fontes OPC UA conectadas

  • Dados industriais armazenados em cache quando o gateway SiteWise Edge perde a conexão com a Internet

SiteWise Os gateways Edge são executados. AWS IoT Greengrass AWS IoT Greengrass depende das permissões de arquivo Unix e da criptografia de disco inteiro (se ativada) para proteger os dados em repouso no núcleo. É sua responsabilidade proteger o sistema de arquivos e o dispositivo.

No entanto, AWS IoT Greengrass criptografa cópias locais dos segredos do seu servidor OPC UA recuperados do Secrets Manager. Para obter mais informações, consulte Criptografia de segredos no Guia do Desenvolvedor do AWS IoT Greengrass Version 1 .

Para obter mais informações sobre criptografia em repouso em AWS IoT Greengrass núcleos, consulte Criptografia em repouso no Guia do AWS IoT Greengrass Version 1 desenvolvedor.