AWS物联网中的静态加密 FleetWise - AWS物联网 FleetWise
AWS云端的静态数据

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS物联网中的静态加密 FleetWise

AWS物联网将您的数据 FleetWise 存储在AWS云端和网关上。

AWS云端的静态数据

AWS默认情况下AWS 服务,物联网将数据 FleetWise 存储在对静态数据进行加密的其他设备中。静态加密与 AWS Key Management Service(AWS KMS) 集成,用于管理加密密钥,该密钥用于加密AWS物联网中的资产属性值和聚合值 FleetWise。您可以选择使用客户托管密钥对物AWS联网中的资产属性值和聚合值进行加密 FleetWise。您可以通过创建、管理和查看您的加密密钥AWS KMS。

您可以选择AWS 拥有的密钥或客户管理的密钥来加密您的数据。

工作原理

静态加密与集成,AWS KMS用于管理用于加密数据的加密密钥。

  • AWS 拥有的密钥— 默认加密密钥。AWS物联网 FleetWise 拥有这把钥匙。您无法在AWS 账户中查看、管理或使用此密钥。您也无法在AWS CloudTrail日志中看到对密钥的操作。使用此密钥不会产生额外的费用。

  • 客户托管密钥 - 此密钥存储在您的账户中,由您创建、拥有和管理。您对 KMS 密钥拥有完全控制权。需AWS KMS支付额外费用。

AWS 拥有的密钥

AWS 拥有的密钥未存储在您的账户中。它们是 KMS 密钥集合的一部分,这些密钥AWS拥有并管理多个密钥AWS 账户。AWS 服务可以AWS 拥有的密钥用来保护您的数据。

您无法查看、管理AWS 拥有的密钥、使用或审核其使用情况。但是无需执行任何操作或更改任何计划即可保护用于加密数据的密钥。

如果您使用,则无需支付任何费用AWS 拥有的密钥,也不会计入您账户的AWS KMS配额。

客户管理密钥

客户管理密钥是在您的账户中由您创建、拥有和管理的 KMS 密钥。您可以完全控制这些 KMS 密钥,例如:

  • 制定和维护密钥策略、IAM 策略和授权

  • 启用和禁用 KMS 密钥

  • 轮换 KMS 密钥的加密材料

  • 添加标签

  • 创建引用 KMS 密钥的别名

  • 安排删除 KMS 密钥

您还可以使用 CloudTrail 和 Amaz CloudWatch on Logs 来跟踪AWS物联网AWS KMS代表您 FleetWise 发送的请求。

如果您使用的是客户托管密钥,则必须向AWS物联网授予对存储在您账户中的 KMS 密钥的 FleetWise 访问权限。AWS物联网 FleetWise 使用信封加密和密钥层次结构来加密数据。您的AWS KMS加密密钥用于加密此密钥层次结构的根密钥。有关更多信息,请参阅《AWS Key Management Service开发人员指南》中的信封加密

以下示例策略授予AWS IoT 使用您的AWS KMS密钥的 FleetWise 权限。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "Service": "iotfleetwise.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}
重要

在 KMS 密钥策略中添加新部分时,请勿更改策略中的任何现有部分。AWS如果为物联网 FleetWise 启用了加密, FleetWise 并且存在以下任一情况,AWS物联网将无法对您的数据执行操作:

  • 所提供的 KMS 密钥已被禁用。

  • 未为该服务正确配置 KMS 密钥策略。

对视觉系统数据使用静态加密

注意

视觉系统数据目前为预览版,可能会发生变化。

如果您在AWS物联网 FleetWise 账户上启用了AWS KMS密钥的客户托管加密,并且想要使用视觉系统数据,请重置加密设置以与复杂数据类型兼容。这使AWS物联网 FleetWise 能够建立视觉系统数据所需的额外权限。

注意

如果尚未重置视觉系统数据的加密设置,您的解码器清单可能会停留在验证状态。

  1. 使用 GetEncryptionConfigurationAPI 操作检查是否启用了AWS KMS加密。如果加密类型为 FLEETWISE_DEFAULT_ENCRYPTION,则无需采取进一步操作。

  2. 如果加密类型为KMS_BASED_ENCRYPTION,则使用 PutEncryptionConfigurationAPI 操作将加密类型重置为FLEETWISE_DEFAULT_ENCRYPTION

    aws iotfleetwise put-encryption-configuration \
      --encryption-type FLEETWISE_DEFAULT_ENCRYPTION

  3. 使用 PutEncryptionConfigurationAPI 操作重新启用加密类型。KMS_BASED_ENCRYPTION

    aws iotfleetwise put-encryption-configuration \
        --encryption-type KMS_BASED_ENCRYPTION \
        --kms-key-id kms_key_id

有关启用加密的更多信息,请参阅AWS物联网中的密钥管理 FleetWise