Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Datenverschlüsselung im AWS IoT FleetWise
<a name="data-encryption"></a>

Datenverschlüsselung bezieht sich auf den Schutz von Daten während der Übertragung (auf dem Weg zum und vom AWS IoT FleetWise sowie zwischen Gateways und Servern) und im Ruhezustand (während sie auf lokalen Geräten oder in AWS-Services) gespeichert werden. Sie können Daten im Ruhezustand mithilfe einer clientseitigen Verschlüsselung schützen.

**Anmerkung**  
AWS FleetWise IoT-Edge-Processing-Exposés APIs , die in AWS FleetWise IoT-Gateways gehostet werden und über das lokale Netzwerk zugänglich sind. Diese APIs werden über eine TLS-Verbindung bereitgestellt, die durch ein Serverzertifikat unterstützt wird, das dem AWS IoT FleetWise Edge-Connector gehört. Für die Client-Authentifizierung APIs verwenden diese ein Passwort für die Zugriffskontrolle. Der private Schlüssel des Serverzertifikats und das Passwort für die Zugriffskontrolle werden beide auf der Festplatte gespeichert. AWS Die FleetWise IoT-Edge-Verarbeitung stützt sich auf die Dateisystemverschlüsselung, um die Sicherheit dieser gespeicherten Anmeldeinformationen zu gewährleisten.

Weitere Informationen zur serverseitigen Verschlüsselung und zur clientseitigen Verschlüsselung finden Sie in den unten aufgeführten Themen.

**Topics**
+ [Verschlüsselung im Ruhezustand im AWS Internet der Dinge FleetWise](encryption-at-rest.md)
+ [Schlüsselmanagement im AWS IoT FleetWise](key-management.md)

# Verschlüsselung im Ruhezustand im AWS Internet der Dinge FleetWise
<a name="encryption-at-rest"></a>

AWS IoT FleetWise speichert Ihre Daten in der AWS Cloud und auf Gateways.

## Daten im Ruhezustand in der Cloud AWS
<a name="cloud-encryption-at-rest"></a>

AWS IoT FleetWise speichert Daten in anderen AWS-Services , die Daten im Ruhezustand standardmäßig verschlüsseln. Encryption at Rest ist in [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) integriert, um den Verschlüsselungsschlüssel zu verwalten, der zur Verschlüsselung Ihrer Immobilienwerte und aggregierten Werte im AWS IoT FleetWise verwendet wird. Sie können sich dafür entscheiden, einen vom Kunden verwalteten Schlüssel zu verwenden, um Immobilienwerte und aggregierte Werte im AWS IoT FleetWise zu verschlüsseln. Sie können Ihren Verschlüsselungsschlüssel über AWS KMS erstellen, verwalten und einsehen.

Sie können einen AWS-eigener Schlüssel oder einen vom Kunden verwalteten Schlüssel wählen, um Ihre Daten zu verschlüsseln.

### Funktionsweise
<a name="how-it-works"></a>

Encryption at Rest ist in die Verwaltung des Verschlüsselungsschlüssels integriert, der zur Verschlüsselung Ihrer Daten verwendet wird. AWS KMS 
+ AWS-eigener Schlüssel — Standard-Verschlüsselungsschlüssel. AWS IoT FleetWise besitzt diesen Schlüssel. Sie können diesen Schlüssel nicht in Ihrem anzeigen, verwalten oder verwenden AWS-Konto. Sie können auch keine Operationen mit dem Schlüssel in AWS CloudTrail Protokollen sehen. Sie können diesen Schlüssel ohne zusätzliche Kosten verwenden.
+ Vom Kunden verwalteter Schlüssel — Der Schlüssel wird in Ihrem Konto gespeichert, das Sie erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über den KMS-Schlüssel. Es AWS KMS fallen zusätzliche Gebühren an.

### AWS-eigene Schlüssel
<a name="aws-owned-cmk"></a>

AWS-eigene Schlüssel sind nicht in Ihrem Konto gespeichert. Sie sind Teil einer Sammlung von KMS-Schlüsseln, die mehrere AWS besitzen und verwalten, sodass sie in mehreren Fällen verwendet AWS-Konten werden können. AWS-Services kann AWS-eigene Schlüssel zum Schutz Ihrer Daten verwendet werden. 

Sie können ihre Verwendung nicht einsehen, verwalten AWS-eigene Schlüssel, verwenden oder überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme ändern, um Schlüssel zu schützen, die Ihre Daten verschlüsseln.

Für die Nutzung fallen keine Gebühren an AWS-eigene Schlüssel, und sie werden nicht auf die AWS KMS Kontingente für Ihr Konto angerechnet.

### Kundenseitig verwaltete Schlüssel
<a name="customer-managed-cmk"></a>

Kundenverwaltete Schlüssel sind KMS-Schlüssel in Ihrem , die Sie erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über diese KMS-Schlüssel, z. B. über die folgenden:
+ Festlegung und Pflege ihrer wichtigsten Richtlinien, IAM-Richtlinien und Zuschüsse
+ Sie aktivieren und deaktivieren
+ Rotation ihres kryptographischen Materials
+ Hinzufügen von -Tags
+ Aliase erstellen, die auf sie verweisen 
+ Sie für das Löschen planen



Sie können auch Amazon CloudWatch Logs verwenden CloudTrail , um die Anfragen zu verfolgen, an die AWS IoT in AWS KMS Ihrem Namen FleetWise sendet. 

 Wenn Sie vom Kunden verwaltete Schlüssel verwenden, müssen Sie AWS FleetWise IoT-Zugriff auf den in Ihrem Konto gespeicherten KMS-Schlüssel gewähren. AWS IoT FleetWise verwendet Envelope-Verschlüsselung und Schlüsselhierarchie, um Daten zu verschlüsseln. Ihr AWS KMS Verschlüsselungsschlüssel wird verwendet, um den Stammschlüssel dieser Schlüsselhierarchie zu verschlüsseln. Weitere Informationen zur [Envelope-Verschlüsselung](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) finden Sie im *AWS Key Management Service -Entwicklerhandbuch*. 

Die folgende Beispielrichtlinie gewährt AWS FleetWise IoT-Berechtigungen zur Verwendung Ihres AWS KMS Schlüssels.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "Service": "iotfleetwise.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}
```

------

**Wichtig**  
Wenn Sie die neuen Abschnitte zu Ihrer KMS-Schlüsselrichtlinie hinzufügen, ändern Sie keine vorhandenen Abschnitte in der Richtlinie. AWS IoT FleetWise kann keine Operationen mit Ihren Daten durchführen, wenn die Verschlüsselung für AWS IoT aktiviert ist FleetWise und eine der folgenden Bedingungen zutrifft:  
Der KMS-Schlüssel ist deaktiviert oder gelöscht.
Die KMS-Schlüsselrichtlinie ist für den Dienst nicht richtig konfiguriert.

### Verwendung von Bildverarbeitungssystemdaten mit Verschlüsselung im Ruhezustand
<a name="vision-system-encryption"></a>

**Anmerkung**  
Die Daten des Bildverarbeitungssystems befinden sich in der Vorschauversion und können sich ändern.

Wenn Sie in Ihrem AWS FleetWise IoT-Konto eine vom Kunden verwaltete Verschlüsselung mit aktivierten AWS KMS Schlüsseln haben und Bildverarbeitungssystemdaten verwenden möchten, setzen Sie Ihre Verschlüsselungseinstellungen zurück, damit sie mit komplexen Datentypen kompatibel sind. Auf diese Weise kann FleetWise das AWS IoT zusätzliche Berechtigungen einrichten, die für Bildverarbeitungssystemdaten erforderlich sind.

**Anmerkung**  
Ihr Decoder-Manifest befindet sich möglicherweise in einem Validierungsstatus, wenn Sie Ihre Verschlüsselungseinstellungen für Bildverarbeitungssystemdaten nicht zurückgesetzt haben.

1. Verwenden Sie den [GetEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_GetEncryptionConfiguration.html)API-Vorgang, um zu überprüfen, ob die AWS KMS Verschlüsselung aktiviert ist. Wenn der Verschlüsselungstyp aktiviert ist, sind keine weiteren Maßnahmen erforderlich`FLEETWISE_DEFAULT_ENCRYPTION`.

1. Wenn der Verschlüsselungstyp ist`KMS_BASED_ENCRYPTION`, verwenden Sie den [PutEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_PutEncryptionConfiguration.html)API-Vorgang, um den Verschlüsselungstyp auf zurückzusetzen`FLEETWISE_DEFAULT_ENCRYPTION`. 

   ```
   aws iotfleetwise put-encryption-configuration \
         --encryption-type FLEETWISE_DEFAULT_ENCRYPTION
   ```

1. Verwenden Sie den [PutEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_PutEncryptionConfiguration.html)API-Vorgang, um den Verschlüsselungstyp wieder zu `KMS_BASED_ENCRYPTION` aktivieren. 

   ```
   aws iotfleetwise put-encryption-configuration \
           --encryption-type KMS_BASED_ENCRYPTION \
           --kms-key-id kms_key_id
   ```

Weitere Informationen zur Aktivierung der Verschlüsselung finden Sie unter[Schlüsselmanagement im AWS IoT FleetWise](key-management.md).

# Schlüsselmanagement im AWS IoT FleetWise
<a name="key-management"></a>

**Wichtig**  
Der Zugriff auf bestimmte AWS FleetWise IoT-Funktionen ist derzeit gesperrt. Weitere Informationen finden Sie unter [AWS Verfügbarkeit von Regionen und Funktionen im AWS Internet der Dinge FleetWise](fleetwise-regions.md).

## AWS FleetWise IoT-Cloud-Schlüsselverwaltung
<a name="key-cloud"></a>

Standardmäßig FleetWise verwendet AWS IoT Von AWS verwaltete Schlüssel zum Schutz Ihrer Daten in der AWS Cloud. Sie können Ihre Einstellungen aktualisieren, um einen vom Kunden verwalteten Schlüssel zur Verschlüsselung von Daten im AWS IoT FleetWise zu verwenden. Sie können Ihren Verschlüsselungsschlüssel über AWS Key Management Service (AWS KMS) erstellen, verwalten und einsehen.

AWS IoT FleetWise unterstützt serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln AWS KMS , um Daten für die folgenden Ressourcen zu verschlüsseln.


****  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/iot-fleetwise/latest/developerguide/key-management.html)

**Anmerkung**  
Andere Daten und Ressourcen werden mit der Standardverschlüsselung mit vom AWS IoT verwalteten Schlüsseln verschlüsselt FleetWise. Dieser Schlüssel wird erstellt und im AWS FleetWise IoT-Konto gespeichert.

Weitere Informationen finden Sie unter [Was ist AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) im *AWS Key Management Service Entwicklerhandbuch*. 

## Aktivieren Sie die Verschlüsselung mit KMS-Schlüsseln (Konsole)
<a name="CMK-setup"></a>

Um vom Kunden verwaltete Schlüssel mit AWS IoT zu verwenden FleetWise, müssen Sie Ihre AWS FleetWise IoT-Einstellungen aktualisieren.

**Um die Verschlüsselung mit KMS-Schlüsseln zu aktivieren (Konsole)**

1. Öffnen Sie die [AWS FleetWise IoT-Konsole](https://console.aws.amazon.com/iotfleetwise/).

1. Navigieren Sie zu **Einstellungen**.

1. Wählen Sie unter **Verschlüsselung** die Option **Bearbeiten** aus, um die Seite **Verschlüsselung bearbeiten** zu öffnen. 

1.  Wählen Sie als **Verschlüsselungsschlüsseltyp** die **Option Anderen AWS KMS Schlüssel auswählen aus**. Dies ermöglicht die Verschlüsselung mit vom Kunden verwalteten Schlüsseln, die in gespeichert sind AWS KMS.
**Anmerkung**  
Sie können die vom Kunden verwaltete Schlüsselverschlüsselung nur für AWS FleetWise IoT-Ressourcen verwenden. Dazu gehören der Signalkatalog, das Fahrzeugmodell (Modellmanifest), das Decoder-Manifest, das Fahrzeug, die Flotte und die Kampagne.

1. Wählen Sie Ihren KMS-Schlüssel mit einer der folgenden Optionen:
   + **Um einen vorhandenen KMS-Schlüssel zu verwenden** — Wählen Sie Ihren KMS-Schlüsselalias aus der Liste aus. 
   + **Um einen neuen KMS-Schlüssel** zu **erstellen — Wählen Sie Create an AWS KMS key**.
**Anmerkung**  
Dadurch wird die AWS KMS Konsole geöffnet. Weitere Informationen zum Erstellen eines KMS-Schlüssels finden Sie unter [Creating Keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im *AWS Key Management Service Developer Guide*.

1. Wählen Sie **Speichern**, um Ihre Einstellungen zu aktualisieren.

## Aktivieren Sie die Verschlüsselung mit KMS-Schlüsseln (AWS CLI)
<a name="encryption-cli"></a>

Sie können den [PutEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_GetEncryptionConfiguration.html)API-Vorgang verwenden, um die Verschlüsselung für Ihr AWS FleetWise IoT-Konto zu aktivieren. Das folgende Beispiel verwendet AWS CLI.

Führen Sie den folgenden Befehl aus, um die Verschlüsselung zu aktivieren.
+ *kms\$1key\$1id*Ersetzen Sie ihn durch die ID des KMS-Schlüssels.

```
aws iotfleetwise put-encryption-configuration \
      --encryption-type KMS_BASED_ENCRYPTION \
      --kms-key-id kms_key_id
```

**Example response**  

```
{
 "kmsKeyId": "customer_kms_key_id",
 "encryptionStatus": "PENDING",
 "encryptionType": "KMS_BASED_ENCRYPTION"
}
```

## KMS-Schlüsselrichtlinie
<a name="CMK-policy"></a>

Nachdem Sie einen KMS-Schlüssel erstellt haben, müssen Sie Ihrer KMS-Schlüsselrichtlinie mindestens die folgende Anweisung hinzufügen, damit er mit AWS IoT funktioniert FleetWise. Der AWS FleetWise IoT-Dienstprinzipal `iotfleetwise.amazonaws.com` in der KMS-Schlüsselrichtlinienerklärung ermöglicht AWS IoT den FleetWise Zugriff auf den KMS-Schlüssel.

```
{
  "Sid": "Allow FleetWise to encrypt and decrypt data when customer managed KMS key based encryption is enabled",
  "Effect": "Allow",
  "Principal": {
    "Service": "iotfleetwise.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey*",
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:DescribeKey",
    "kms:CreateGrant",
    "kms:RetireGrant",
    "kms:RevokeGrant"
  ],
  "Resource": "*"
}
```

Aus Sicherheitsgründen empfiehlt es sich, Schlüssel zur KMS-Schlüsselrichtlinie hinzuzufügen `aws:SourceArn` und zu `aws:SourceAccount` konditionieren. Der globale IAM-Bedingungsschlüssel `aws:SourceArn` trägt dazu bei, dass AWS IoT den KMS-Schlüssel nur für servicespezifische Ressourcen FleetWise verwendet — Amazon Resource Names ()ARNs.

Wenn Sie den Wert von festlegen`aws:SourceArn`, muss er immer so sein. `arn:aws:iotfleetwise:us-east-1:account_id:*` Dadurch kann der KMS-Schlüssel auf alle AWS FleetWise IoT-Ressourcen zugreifen AWS-Konto. AWS IoT FleetWise unterstützt einen KMS-Schlüssel pro Konto für alle darin enthaltenen Ressourcen AWS-Region. Wenn Sie einen anderen Wert für das `SourceArn` ARN-Ressourcenfeld verwenden oder den Platzhalter (\$1) nicht verwenden, kann AWS IoT nicht auf FleetWise den KMS-Schlüssel zugreifen.

Der Wert von `aws:SourceAccount` ist Ihre Konto-ID, die verwendet wird, um den KMS-Schlüssel weiter einzuschränken, sodass er nur für Ihr spezielles Konto verwendet werden kann. Wenn Sie dem KMS-Schlüssel Schlüssel hinzufügen `aws:SourceAccount` und diese mit `aws:SourceArn` Bedingungen versehen, stellen Sie sicher, dass der Schlüssel nicht von einem anderen Dienst oder Konto verwendet wird. Dies hilft, Ausfälle zu vermeiden.

Die folgende Richtlinie umfasst einen Dienstprinzipal (eine Kennung für einen Dienst) sowie `aws:SourceAccount` die `aws:SourceArn` Einrichtung für die Verwendung auf der Grundlage der AWS-Region und Ihrer Konto-ID.

```
{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {
    "Service": "iotfleetwise.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:SourceAccount": "AWS-account-ID"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:iotfleetwise:region:AWS-account-ID:*"
    }
  }
}
```

Weitere Informationen zum Bearbeiten einer KMS-Schlüsselrichtlinie für die Verwendung mit AWS IoT FleetWise finden Sie unter [Ändern einer Schlüsselrichtlinie](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) im *AWS Key Management Service Entwicklerhandbuch*.

**Wichtig**  
Wenn Sie die neuen Abschnitte zu Ihrer KMS-Schlüsselrichtlinie hinzufügen, ändern Sie keine vorhandenen Abschnitte in der Richtlinie. AWS IoT FleetWise kann keine Operationen mit Ihren Daten durchführen, wenn die Verschlüsselung für AWS IoT aktiviert ist FleetWise und eine der folgenden Bedingungen zutrifft:  
Der KMS-Schlüssel ist deaktiviert oder gelöscht.
Die KMS-Schlüsselrichtlinie ist für den Dienst nicht richtig konfiguriert.

## Berechtigungen für die AWS KMS Verschlüsselung
<a name="encryption-permissions"></a>

Wenn Sie die AWS KMS Verschlüsselung aktiviert haben, müssen Sie in der Rollenrichtlinie Berechtigungen angeben, damit Sie AWS IoT aufrufen können FleetWise APIs. Die folgende Richtlinie ermöglicht den Zugriff auf alle AWS FleetWise IoT-Aktionen sowie auf AWS KMS bestimmte Berechtigungen.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iotfleetwise:*",
        "kms:GenerateDataKey*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:DescribeKey"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
```

------

Die folgende Richtlinienerklärung ist erforderlich, damit Ihre Rolle die Verschlüsselung APIs aufrufen kann. Diese Grundsatzerklärung erlaubt `PutEncryptionConfiguration` und `GetEncryptionConfiguration` ergreift Maßnahmen aus dem AWS IoT FleetWise.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iotfleetwise:GetEncryptionConfiguration", 
        "iotfleetwise:PutEncryptionConfiguration",
        "kms:GenerateDataKey*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:DescribeKey"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
```

------

## Wiederherstellung nach dem Löschen des AWS KMS Schlüssels
<a name="encryption-recovery"></a>

Wenn Sie einen AWS KMS Schlüssel löschen, nachdem Sie die Verschlüsselung mit AWS IoT aktiviert haben FleetWise, müssen Sie Ihr Konto zurücksetzen, indem Sie alle Daten löschen, bevor Sie AWS IoT FleetWise erneut verwenden können. Sie können die Liste verwenden und API-Operationen löschen, um Ressourcen in Ihrem Konto zu bereinigen. 

**Um Ressourcen in Ihrem Konto zu bereinigen**

1. Verwenden Sie die Liste, APIs bei der der `listResponseScope` Parameter auf gesetzt ist`METADATA_ONLY`. Dies stellt eine Liste von Ressourcen bereit, einschließlich Ressourcennamen und anderer Metadaten wie ARNs Zeitstempel.

1. Verwenden Sie Löschen APIs , um einzelne Ressourcen zu entfernen.

Sie müssen Ressourcen in der folgenden Reihenfolge bereinigen.

1. Kampagnen

   1. Listet alle Kampagnen auf, bei denen der `listResponseScope` Parameter auf gesetzt ist`METADATA_ONLY`.

   1. Löschen Sie die Kampagnen.

1. Flotten und Fahrzeuge

   1. Listet alle Flotten auf, bei denen der `listResponseScope` Parameter auf gesetzt ist. `METADATA_ONLY`

   1. Listet alle Fahrzeuge für jede Flotte auf, bei der der `listResponseScope` Parameter auf `METADATA_ONLY` gesetzt ist.

   1. Trennen Sie alle Fahrzeuge von jeder Flotte.

   1. Löschen Sie die Flotten.

   1. Löschen Sie die Fahrzeuge.

1. Decoder-Manifestationen

   1. Listet alle Decoder-Manifeste auf, deren `listResponseScope` Parameter auf gesetzt ist. `METADATA_ONLY`

   1. Löscht alle Decoder-Manifeste.

1. Fahrzeugmodelle (Modellmanifeste)

   1. Listet alle Fahrzeugmodelle auf, bei denen der `listResponseScope` Parameter auf gesetzt ist`METADATA_ONLY`.

   1. Löscht alle Fahrzeugmodelle.

1. Statusvorlagen

   1. Listet alle Statusvorlagen auf, deren `listResponseScope` Parameter auf gesetzt ist`METADATA_ONLY`.

   1. Löscht alle Statusvorlagen.

1. Signalkataloge

   1. Listet alle Signalkataloge auf.

   1. Löscht alle Signalkataloge.