本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 数据加密
AWS IoT Greengrass 使用加密来保护传输中的数据(通过 Internet 或本地网络)和静态数据(存储在 AWS 云)。
AWS IoT Greengrass 环境中的设备通常会收集发送到 AWS 服务以供进一步处理的数据。有关其他 AWS 服务上的数据加密的更多信息,请参阅该服务的安全文档。
**Topics**
+ [传输中加密](encryption-in-transit.md)
+ [静态加密](encryption-at-rest.md)
+ [Greengrass 核心设备的密钥管理](key-management.md)
# 传输中加密
AWS IoT Greengrass 有两种传输数据的通信模式:
+ [通过 Internet 传输的数据](#data-in-transit-internet). Greengrass 核心和 AWS IoT Greengrass 通过互联网进行的通信是加密的。
+ [核心设备上的数据](#data-in-transit-locally). Greengrass 核心设备上的组件之间的通信未加密
## 通过 Internet 传输的数据
AWS IoT Greengrass 使用传输层安全性 (TLS) 来加密通过 Internet 进行的所有通信。发送到 AWS 云 的所有数据都使用 MQTT 或 HTTPS 协议通过 TLS 连接发送,因此默认情况下是安全的。AWS IoT Greengrass 使用 AWS IoT 传输安全模型。有关更多信息,请参阅 *AWS IoT Core 开发人员指南*中的[传输安全](https://docs.aws.amazon.com/iot/latest/developerguide/transport-security.html)。
## 核心设备上的数据
AWS IoT Greengrass 不会对 Greengrass 核心设备上本地交换的数据进行加密,因为数据不会离开设备。这包括用户定义组件、AWS IoT 设备 SDK 和公用组件(如流管理器)之间的通信。
# 静态加密
AWS IoT Greengrass 存储您的数据:
+ [AWS 云 中的静态数据](#data-at-rest-cloud). 此数据已加密。
+ [Greengrass 核心上的静态数据](#data-at-rest-device). 此数据未加密(密钥的本地副本除外)。
## AWS 云 中的静态数据
AWS IoT Greengrass 加密存储在 AWS 云 中的客户数据。此数据使用由 AWS KMS 管理的 AWS IoT Greengrass 密钥进行保护。
## Greengrass 核心上的静态数据
AWS IoT Greengrass 依赖于 Unix 文件权限和全磁盘加密(如果启用)来保护核心上的静态数据。您负责确保文件系统和设备的安全性。
但是,AWS IoT Greengrass 会对从 AWS Secrets Manager 检索到的密钥的本地副本进行加密。有关更多信息,请参阅 [Secret Manager](secret-manager-component.md) 组件。
# Greengrass 核心设备的密钥管理
客户有责任保证在 Greengrass 核心设备上安全存储加密(公共和私有)密钥。在以下情况下,AWS IoT Greengrass 使用公钥和私钥:
+ IoT 客户端密钥与 IoT 证书一起使用,以便在 Greengrass 核心连接 AWS IoT Core 时对传输层安全性 (TLS) 握手进行身份验证。有关更多信息,请参阅 [设备身份验证和授权 AWS IoT Greengrass](device-auth.md)。
**注意**
密钥和证书也称为核心私钥和核心设备证书。
Greengrass 核心设备支持使用文件系统权限或[硬件安全模块](hardware-security.md)进行的私钥存储。如果您使用基于文件系统的私钥,您需要负责在核心设备上安全存储这些私钥。