Verschlüsselung im Ruhezustand - AWS IoT SiteWise
Daten im Ruhezustand in der Cloud AWSDaten im Ruhezustand auf SiteWise Edge-Gateways

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung im Ruhezustand

AWS IoT SiteWise speichert Ihre Daten in der AWS Cloud und auf AWS IoT SiteWise Edge-Gateways.

Daten im Ruhezustand in der Cloud AWS

AWS IoT SiteWise speichert Daten in anderen AWS Diensten, die Daten im Ruhezustand standardmäßig verschlüsseln. Encryption at Rest ist in AWS Key Management Service (AWS KMS) integriert, um den Verschlüsselungsschlüssel zu verwalten, der zum Verschlüsseln Ihrer Objektwerte und Aggregatwerte in verwendet wird. AWS IoT SiteWise Sie können sich dafür entscheiden, einen vom Kunden verwalteten Schlüssel zur Verschlüsselung von Vermögenswerten und Aggregatwerten in zu verwenden. AWS IoT SiteWise Sie können Ihren Verschlüsselungsschlüssel über AWS KMS erstellen, verwalten und einsehen.

Sie können einen auswählen, AWS-eigener Schlüssel um Ihre Daten zu verschlüsseln, oder einen vom Kunden verwalteten Schlüssel wählen, um Ihre Immobilienwerte und aggregierten Werte zu verschlüsseln:

Funktionsweise

Encryption at Rest ist in die Verwaltung des Verschlüsselungsschlüssels integriert, der zur Verschlüsselung Ihrer Daten verwendet wird. AWS KMS

  • AWS-eigener Schlüssel — Standard-Verschlüsselungsschlüssel. AWS IoT SiteWise besitzt diesen Schlüssel. Sie können diesen Schlüssel nicht in Ihrem AWS Konto einsehen. Sie können auch keine Operationen mit dem Schlüssel in den AWS CloudTrail Protokollen sehen. Sie können diesen Schlüssel ohne zusätzliche Kosten verwenden.

  • Vom Kunden verwalteter Schlüssel — Der Schlüssel wird in Ihrem Konto gespeichert, das Sie erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über den KMS-Schlüssel. Es AWS KMS fallen zusätzliche Gebühren an.

AWS-eigene Schlüssel

AWS-eigene Schlüssel sind nicht in Ihrem Konto gespeichert. Sie sind Teil einer Sammlung von KMS-Schlüsseln, die AWS Eigentümer sind und für die Verwendung in mehreren AWS Konten verwaltet werden. AWS Dienste, die Sie AWS-eigene Schlüssel zum Schutz Ihrer Daten verwenden können.

Sie können ihre Verwendung nicht einsehen, verwalten AWS-eigene Schlüssel, verwenden oder überprüfen. Sie müssen jedoch keine Arbeit verrichten oder Programme ändern, um die Schlüssel zu schützen, mit denen Ihre Daten verschlüsselt werden.

Für die Nutzung wird Ihnen keine monatliche Gebühr oder Nutzungsgebühr berechnet AWS-eigene Schlüssel, und sie werden auch nicht auf die AWS KMS Kontingente für Ihr Konto angerechnet.

Kundenverwaltete Schlüssel

Kundenverwaltete Schlüssel sind KMS-Schlüssel in Ihrem , die Sie erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über diese KMS-Schlüssel, z. B. über die folgenden:

  • Festlegung und Pflege ihrer wichtigsten Richtlinien, IAM-Richtlinien und Zuschüsse

  • Sie aktivieren und deaktivieren

  • Rotation ihres kryptografischen Materials

  • Hinzufügen von Tags

  • Aliase erstellen, die auf sie verweisen

  • Sie für das Löschen planen

Sie können auch Amazon CloudTrail CloudWatch Logs verwenden, um die Anfragen zu verfolgen, die in Ihrem Namen AWS IoT SiteWise AWS KMS an gesendet werden.

Wenn Sie vom Kunden verwaltete Schlüssel verwenden, müssen Sie AWS IoT SiteWise Zugriff auf den in Ihrem Konto gespeicherten KMS-Schlüssel gewähren. AWS IoT SiteWise verwendet Umschlagverschlüsselung und Schlüsselhierarchie, um Daten zu verschlüsseln. Ihr AWS KMS Verschlüsselungsschlüssel wird verwendet, um den Stammschlüssel dieser Schlüsselhierarchie zu verschlüsseln. Weitere Informationen zur Envelope-Verschlüsselung finden Sie im AWS Key Management Service -Entwicklerhandbuch.

Die folgende Beispielrichtlinie gewährt einem Benutzer die AWS IoT SiteWise Erlaubnis, in Ihrem Namen einen vom Kunden verwalteten Schlüssel zu erstellen. Wenn Sie Ihren Schlüssel erstellen, müssen Sie die kms:DescribeKey Aktionen kms:CreateGrant und zulassen. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1603902045292",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Der Verschlüsselungskontext für Ihren erstellten Zuschuss verwendet Ihre Konto-ID aws:iotsitewise:subscriberId und Ihre Konto-ID.

Daten im Ruhezustand auf SiteWise Edge-Gateways

AWS IoT SiteWise Gateways speichern die folgenden Daten im lokalen Dateisystem:

  • Konfigurationsinformationen zu OPC-UA-Quellen

  • Der Satz von OPC-UA-Datenstrompfaden von verbundenen OPC-UA-Quellen

  • Industriedaten werden zwischengespeichert, wenn das SiteWise Edge-Gateway die Verbindung zum Internet verliert

SiteWise Edge-Gateways laufen auf. AWS IoT Greengrass AWS IoT Greengrass stützt sich auf Unix-Dateiberechtigungen und vollständige Festplattenverschlüsselung (falls aktiviert), um Daten zu schützen, die sich auf dem Kern befinden. Es liegt in Ihrer Verantwortung, das Dateisystem und das Gerät zu sichern.

Verschlüsselt AWS IoT Greengrass jedoch lokale Kopien Ihrer OPC-UA-Servergeheimnisse, die Sie aus Secrets Manager abgerufen haben. Weitere Informationen finden Sie unter Secrets-Verschlüsselung im Developer Guide.AWS IoT Greengrass Version 1

Weitere Informationen zur Verschlüsselung ruhender AWS IoT Greengrass Kerne finden Sie unter Verschlüsselung im Ruhezustand im AWS IoT Greengrass Version 1 Entwicklerhandbuch.