Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Chiffrement des données dans AWS l'IoT FleetWise
Le chiffrement des données fait référence à la protection des données en transit (lorsqu'elles sont acheminées vers et depuis AWS l'IoT FleetWise, et entre les passerelles et les serveurs) et au repos (lorsqu'elles sont stockées sur des appareils locaux ou à Services AWS l'intérieur). Vous pouvez protéger les données au repos à l'aide du chiffrement côté client.
**Note**
AWS Le traitement de FleetWise pointe de l'IoT expose APIs des objets hébergés sur des FleetWise passerelles AWS IoT et accessibles via le réseau local. Ils APIs sont exposés via une connexion TLS soutenue par un certificat de serveur appartenant au connecteur AWS IoT FleetWise Edge. Pour l'authentification du client, ceux-ci APIs utilisent un mot de passe de contrôle d'accès. La clé privée du certificat de serveur et le mot de passe de contrôle d'accès sont tous deux stockés sur disque. AWS Le traitement de FleetWise pointe de l'IoT repose sur le chiffrement du système de fichiers pour la sécurité de ces informations d'identification au repos.
Pour plus d’informations sur le chiffrement côté serveur et le chiffrement côté client, consultez les rubriques suivantes.
**Topics**
+ [Le chiffrement au repos dans AWS l'IoT FleetWise](encryption-at-rest.md)
+ [Gestion des clés dans AWS l'IoT FleetWise](key-management.md)
# Le chiffrement au repos dans AWS l'IoT FleetWise
AWS L'IoT FleetWise stocke vos données dans le AWS cloud et sur des passerelles.
## Données au repos dans le AWS cloud
AWS L'IoT FleetWise stocke les données dans d'autres Services AWS systèmes qui chiffrent les données au repos par défaut. Encryption at rest s'intègre à [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) pour gérer la clé de chiffrement utilisée pour chiffrer les valeurs des propriétés de vos actifs et les valeurs agrégées dans AWS l'IoT FleetWise. Vous pouvez choisir d'utiliser une clé gérée par le client pour chiffrer les valeurs des propriétés des actifs et les valeurs agrégées dans AWS l'IoT FleetWise. Vous pouvez créer, gérer et consulter votre clé de chiffrement via AWS KMS.
Vous pouvez choisir une clé gérée par le client Clé détenue par AWS ou une clé gérée par le client pour chiffrer vos données.
### Comment ça marche
Le chiffrement au repos s'intègre AWS KMS à la gestion de la clé de chiffrement utilisée pour chiffrer vos données.
+ Clé détenue par AWS — Clé de chiffrement par défaut. AWS C' FleetWise est l'IoT qui détient cette clé. Vous ne pouvez pas afficher, gérer ou utiliser cette clé dans votre Compte AWS. Vous ne pouvez pas non plus voir les opérations sur la clé dans AWS CloudTrail les journaux. Vous pouvez utiliser cette clé sans frais supplémentaires.
+ Clé gérée par le client — La clé est stockée dans votre compte, que vous créez, détenez et gérez. Vous avez le contrôle total de la clé KMS. Des AWS KMS frais supplémentaires s'appliquent.
### Clés détenues par AWS
Clés détenues par AWS ne sont pas enregistrés dans votre compte. Elles font partie d'un ensemble de clés KMS qui AWS possède et gère pour une utilisation multiple Comptes AWS. Services AWS peut être utilisé Clés détenues par AWS pour protéger vos données.
Vous ne pouvez ni afficher, ni gérer, ni utiliser Clés détenues par AWS, ni auditer leur utilisation. Cependant, il n'est pas nécessaire de prendre des mesures ou de modifier des programmes pour protéger les clés qui chiffrent vos données.
Aucuns frais ne vous seront facturés si vous l'utilisez Clés détenues par AWS, et ils ne sont pas pris en compte dans les AWS KMS quotas de votre compte.
### Clés gérées par le client
Les clés gérées par le client sont des clés KMS de votre compte que vous créez, possédez et gérez. Vous avez le contrôle total de ces clés KMS, telles que les suivantes :
+ Établir et maintenir leurs politiques clés, leurs politiques IAM et leurs subventions
+ Les activer et les désactiver
+ Rotation de leur matériel cryptographique
+ Ajout de balises
+ Création d'alias qui y font référence
+ Planifier leur suppression
Vous pouvez également utiliser CloudTrail Amazon CloudWatch Logs pour suivre les demandes que AWS l'IoT FleetWise envoie AWS KMS en votre nom.
Si vous utilisez des clés gérées par le client, vous devez autoriser AWS l'IoT à FleetWise accéder à la clé KMS enregistrée dans votre compte. AWS L'IoT FleetWise utilise le chiffrement des enveloppes et la hiérarchie des clés pour chiffrer les données. Votre clé de chiffrement AWS KMS est utilisée pour chiffrer la clé racine de cette hiérarchie de clés. Pour plus d’informations, consultez [Chiffrement d’enveloppe](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) dans le *Guide du développeur AWS Key Management Service *.
L'exemple de politique suivant accorde à AWS l'IoT l' FleetWise autorisation d'utiliser votre AWS KMS clé.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"Service": "iotfleetwise.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
**Important**
Lorsque vous ajoutez les nouvelles sections à votre politique de clé KMS, ne modifiez aucune section existante de la politique. AWS L'IoT ne FleetWise peut pas effectuer d'opérations sur vos données si le chiffrement est activé pour AWS l'IoT FleetWise et si l'une des conditions suivantes est vraie :
La clé KMS est désactivée ou supprimée.
La politique des clés KMS n'est pas correctement configurée pour le service.
### Utilisation des données du système de vision avec chiffrement au repos
**Note**
Les données du système de vision sont en version préliminaire et sont susceptibles d'être modifiées.
Si vous avez un chiffrement géré par le client avec des AWS KMS clés activées sur votre FleetWise compte AWS IoT et que vous souhaitez utiliser les données du système de vision, réinitialisez vos paramètres de chiffrement pour qu'ils soient compatibles avec les types de données complexes. Cela permet FleetWise à AWS l'IoT d'établir les autorisations supplémentaires nécessaires pour les données du système de vision.
**Note**
Le manifeste de votre décodeur est peut-être bloqué dans un état de validation si vous n'avez pas réinitialisé les paramètres de chiffrement des données du système de vision.
1. Utilisez l'opération [GetEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_GetEncryptionConfiguration.html)API pour vérifier si AWS KMS le chiffrement est activé. Aucune autre action n'est nécessaire si le type de cryptage est le cas`FLEETWISE_DEFAULT_ENCRYPTION`.
1. Si le type de chiffrement est`KMS_BASED_ENCRYPTION`, utilisez l'opération [PutEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_PutEncryptionConfiguration.html)API pour réinitialiser le type de chiffrement à`FLEETWISE_DEFAULT_ENCRYPTION`.
```
aws iotfleetwise put-encryption-configuration \
--encryption-type FLEETWISE_DEFAULT_ENCRYPTION
```
1. Utilisez l'opération [PutEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_PutEncryptionConfiguration.html)API pour réactiver le type de chiffrement sur`KMS_BASED_ENCRYPTION`.
```
aws iotfleetwise put-encryption-configuration \
--encryption-type KMS_BASED_ENCRYPTION \
--kms-key-id kms_key_id
```
Pour plus d'informations sur l'activation du chiffrement, consultez[Gestion des clés dans AWS l'IoT FleetWise](key-management.md).
# Gestion des clés dans AWS l'IoT FleetWise
**Important**
L'accès à certaines FleetWise fonctionnalités de AWS l'IoT est actuellement restreint. Pour de plus amples informations, veuillez consulter [AWS Disponibilité des régions et des fonctionnalités dans AWS l'IoT FleetWise](fleetwise-regions.md).
## AWS Gestion des clés FleetWise dans le cloud IoT
Par défaut, AWS l' FleetWise IoT Clés gérées par AWS protège vos données dans le AWS Cloud. Vous pouvez mettre à jour vos paramètres pour utiliser une clé gérée par le client afin de chiffrer les données dans AWS l'IoT FleetWise. Vous pouvez créer, gérer et consulter votre clé de chiffrement via AWS Key Management Service (AWS KMS).
AWS L'IoT FleetWise prend en charge le chiffrement côté serveur en stockant des clés gérées par le client AWS KMS pour chiffrer les données des ressources suivantes.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/iot-fleetwise/latest/developerguide/key-management.html)
**Note**
Les autres données et ressources sont cryptées à l'aide du chiffrement par défaut avec des clés gérées par AWS l'IoT FleetWise. Cette clé est créée et stockée dans le FleetWise compte AWS IoT.
Pour plus d'informations, voir [Qu'est-ce que c'est AWS Key Management Service ?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) dans le *Guide AWS Key Management Service du développeur*.
## Activer le chiffrement à l'aide des clés KMS (console)
Pour utiliser des clés gérées par le client avec AWS l'IoT FleetWise, vous devez mettre à jour vos FleetWise paramètres AWS IoT.
**Pour activer le chiffrement à l'aide des clés KMS (console)**
1. Ouvrez la [ FleetWise console AWS IoT](https://console.aws.amazon.com/iotfleetwise/).
1. Accédez aux **paramètres**.
1. Dans **Chiffrement**, choisissez **Modifier** pour ouvrir la page **Modifier le chiffrement**.
1. Pour **le type de clé de chiffrement**, **choisissez Choisir une autre AWS KMS clé**. Cela permet le chiffrement avec les clés gérées par le client stockées dans AWS KMS.
**Note**
Vous ne pouvez utiliser le chiffrement par clé géré par le client que pour les FleetWise ressources AWS IoT. Cela inclut le catalogue de signaux, le modèle de véhicule (manifeste du modèle), le manifeste du décodeur, le véhicule, la flotte et la campagne.
1. Choisissez votre clé KMS avec l'une des options suivantes :
+ **Pour utiliser une clé KMS existante** : choisissez l'alias de votre clé KMS dans la liste.
+ **Pour créer une nouvelle clé KMS**, choisissez **Create an AWS KMS key**.
**Note**
Cela ouvre la AWS KMS console. Pour plus d'informations sur la création d'une clé KMS, consultez la section [Création de clés](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) dans le *Guide du AWS Key Management Service développeur*.
1. Choisissez **Enregistrer** pour mettre à jour vos paramètres.
## Activer le chiffrement à l'aide de clés KMS (AWS CLI)
Vous pouvez utiliser l'opération [PutEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_GetEncryptionConfiguration.html)API pour activer le chiffrement de votre FleetWise compte AWS IoT. L'exemple suivant utilise AWS CLI.
Pour activer le chiffrement, exécutez la commande suivante.
+ Remplacez *kms\$1key\$1id* par l'ID de la clé KMS.
```
aws iotfleetwise put-encryption-configuration \
--encryption-type KMS_BASED_ENCRYPTION \
--kms-key-id kms_key_id
```
**Example response**
```
{
"kmsKeyId": "customer_kms_key_id",
"encryptionStatus": "PENDING",
"encryptionType": "KMS_BASED_ENCRYPTION"
}
```
## Politique de clé KMS
Après avoir créé une clé KMS, vous devez au minimum ajouter la déclaration suivante à votre politique de clé KMS pour qu'elle fonctionne avec AWS l'IoT FleetWise. Le principe du FleetWise service AWS IoT indiqué `iotfleetwise.amazonaws.com` dans la déclaration de politique clé du KMS permet FleetWise à AWS l'IoT d'accéder à la clé KMS.
```
{
"Sid": "Allow FleetWise to encrypt and decrypt data when customer managed KMS key based encryption is enabled",
"Effect": "Allow",
"Principal": {
"Service": "iotfleetwise.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant",
"kms:RevokeGrant"
],
"Resource": "*"
}
```
La meilleure pratique en matière de sécurité consiste à ajouter `aws:SourceArn` et à `aws:SourceAccount` conditionner des clés à la politique des clés KMS. La clé de condition globale IAM `aws:SourceArn` permet de garantir que l' AWS IoT FleetWise utilise la clé KMS uniquement pour les ressources Amazon Resource Names () spécifiques au service. ARNs
Si vous définissez la valeur de`aws:SourceArn`, elle doit toujours être`arn:aws:iotfleetwise:us-east-1:account_id:*`. Cela permet à la clé KMS d'accéder à toutes les FleetWise ressources AWS IoT à cet effet Compte AWS. AWS L'IoT FleetWise prend en charge une clé KMS par compte pour toutes les ressources qu'il contient Région AWS. L'utilisation d'une autre valeur pour le champ de ressource ARN`SourceArn`, ou le fait de ne pas utiliser le caractère générique (\$1) pour le champ de ressource ARN, FleetWise empêche AWS l'IoT d'accéder à la clé KMS.
La valeur de `aws:SourceAccount` est votre identifiant de compte, qui est utilisé pour restreindre davantage la clé KMS afin qu'elle ne puisse être utilisée que pour votre compte spécifique. Si vous ajoutez `aws:SourceAccount` et `aws:SourceArn` conditionnez des clés à la clé KMS, assurez-vous que celle-ci n'est utilisée par aucun autre service ou compte. Cela permet d'éviter les défaillances.
La politique suivante inclut un principal de service (un identifiant pour un service), ainsi `aws:SourceAccount` qu'une `aws:SourceArn` configuration pour une utilisation en fonction de l'identifiant de votre compte Région AWS et de votre identifiant de compte.
```
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"Service": "iotfleetwise.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:SourceAccount": "AWS-account-ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:iotfleetwise:region:AWS-account-ID:*"
}
}
}
```
Pour plus d'informations sur la modification d'une politique de clé KMS pour une utilisation avec AWS l'IoT FleetWise, consultez la section [Modification d'une politique clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) dans le *guide du AWS Key Management Service développeur*.
**Important**
Lorsque vous ajoutez les nouvelles sections à votre politique de clé KMS, ne modifiez aucune section existante de la politique. AWS L'IoT ne FleetWise peut pas effectuer d'opérations sur vos données si le chiffrement est activé pour AWS l'IoT FleetWise et si l'une des conditions suivantes est vraie :
La clé KMS est désactivée ou supprimée.
La politique des clés KMS n'est pas correctement configurée pour le service.
## Autorisations pour le AWS KMS chiffrement
Si vous avez activé AWS KMS le chiffrement, vous devez spécifier les autorisations dans la politique de rôle afin de pouvoir appeler AWS l'IoT FleetWise APIs. La politique suivante permet d'accéder à toutes les FleetWise actions AWS IoT, ainsi qu'à AWS KMS des autorisations spécifiques.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotfleetwise:*",
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:DescribeKey"
],
"Resource": [
"*"
]
}
]
}
```
------
La déclaration de politique suivante est requise pour que votre rôle puisse invoquer le chiffrement APIs. Cette déclaration de politique autorise `PutEncryptionConfiguration` et prend des `GetEncryptionConfiguration` mesures à partir de AWS l'IoT FleetWise.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotfleetwise:GetEncryptionConfiguration",
"iotfleetwise:PutEncryptionConfiguration",
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:DescribeKey"
],
"Resource": [
"*"
]
}
]
}
```
------
## Restauration après suppression de AWS KMS la clé
Si vous supprimez une AWS KMS clé après avoir activé le chiffrement avec AWS l'IoT FleetWise, vous devez réinitialiser votre compte en supprimant toutes les données avant de FleetWise réutiliser l' AWS IoT. Vous pouvez utiliser les opérations de liste et de suppression de l'API pour nettoyer les ressources de votre compte.
**Pour nettoyer les ressources de votre compte**
1. Utilisez la liste APIs avec le `listResponseScope` paramètre défini sur`METADATA_ONLY`. Cela fournit une liste de ressources, y compris les noms des ressources et d'autres métadonnées telles que ARNs les horodatages.
1. Utilisez Supprimer APIs pour supprimer des ressources individuelles.
Vous devez nettoyer les ressources dans l'ordre suivant.
1. Campagnes
1. Répertoriez toutes les campagnes dont le `listResponseScope` paramètre est défini sur`METADATA_ONLY`.
1. Supprimez les campagnes.
1. Flottes et véhicules
1. Répertoriez toutes les flottes dont le `listResponseScope` paramètre est défini sur. `METADATA_ONLY`
1. Répertoriez tous les véhicules de chaque flotte avec le `listResponseScope` paramètre défini sur`METADATA_ONLY`.
1. Dissociez tous les véhicules de chaque flotte.
1. Supprimez les flottes.
1. Supprimez les véhicules.
1. Manifestes du décodeur
1. Répertoriez tous les manifestes du décodeur dont le `listResponseScope` paramètre est défini sur. `METADATA_ONLY`
1. Supprimez tous les manifestes du décodeur.
1. Modèles de véhicules (manifestes des modèles)
1. Répertoriez tous les modèles de véhicules dont le `listResponseScope` paramètre est réglé sur`METADATA_ONLY`.
1. Supprimez tous les modèles de véhicules.
1. Modèles d’état
1. Répertoriez tous les modèles d'états dont le `listResponseScope` paramètre est défini sur`METADATA_ONLY`.
1. Supprimez tous les modèles d'états.
1. Catalogues de signaux
1. Répertoriez tous les catalogues de signaux.
1. Supprimez tous les catalogues de signaux.