Gestion des clés dans AWS l'IoT FleetWise - AWS IoT FleetWise
AWS Gestion des clés FleetWise dans le cloud IoTActiver le chiffrement à l'aide de KMS clés (console)Activer le chiffrement à l'aide de KMS clés (AWS CLI)politique de clé KMSAutorisations pour le AWS KMS chiffrement

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des clés dans AWS l'IoT FleetWise

Important

L'accès à certaines FleetWise fonctionnalités de AWS l'IoT est actuellement restreint. Pour de plus amples informations, veuillez consulter AWS Disponibilité des régions et des fonctionnalités dans AWS l'IoT FleetWise.

AWS Gestion des clés FleetWise dans le cloud IoT

Par défaut, AWS l' FleetWise IoT Clés gérées par AWS protège vos données dans le AWS Cloud. Vous pouvez mettre à jour vos paramètres pour utiliser une clé gérée par le client afin de chiffrer les données dans AWS l'IoT FleetWise. Vous pouvez créer, gérer et consulter votre clé de chiffrement via AWS Key Management Service (AWS KMS).

AWS L'IoT FleetWise prend en charge le chiffrement côté serveur en stockant des clés gérées par le client AWS KMS pour chiffrer les données des ressources suivantes.

AWS FleetWise Ressource IoT Type de données Champs chiffrés au repos avec des clés gérées par le client
Catalogue de signaux description
Attribut

description, allowedValuesdefaultValue, minimum, maximum
Actuator

descriptionallowedValues, min, maximum
Sensor

descriptionallowedValues, min, maximum
Modèle de véhicule (manifeste du modèle) description
Manifeste du décodeur description
CanInterface

protocolName, protocolVersion
ObdInterface

requestMessageId, dtcRequestInterval Secondes, hasTransmissionEcu,obdStandard, pidRequestInterval Secondes, useExtendedIds
CanSignal

facteur isBigEndian,isSigned, longueurmessageId, décalage, startBit
ObdSignal

byteLength, offset, pid pidResponseLength, mise à l'échelle,serviceMode,startByte, bitMaskLength, bitRightShift
Véhicule attributs
Campagne description
conditionBasedCollectionSchéma

expression conditionLanguageVersion, minimumTriggerInterval Mme, triggerMode
TimeBasedCollectionScheme

periodMs
Modèle d'état description
Note

Les autres données et ressources sont cryptées à l'aide du chiffrement par défaut avec des clés gérées par AWS l'IoT FleetWise. Cette clé est créée et stockée dans le FleetWise compte AWS IoT.

Pour plus d'informations, voir Qu'est-ce que c'est AWS Key Management Service ? dans le Guide AWS Key Management Service du développeur.

Activer le chiffrement à l'aide de KMS clés (console)

Pour utiliser des clés gérées par le client avec AWS l'IoT FleetWise, vous devez mettre à jour vos FleetWise paramètres AWS IoT.

Pour activer le chiffrement à l'aide de KMS clés (console)

  1. Ouvrez la FleetWise console AWS IoT.

  2. Accédez aux paramètres.

  3. Dans Chiffrement, choisissez Modifier pour ouvrir la page Modifier le chiffrement.

  4. Pour le type de clé de chiffrement, choisissez Choisir une autre AWS KMS clé. Cela permet le chiffrement avec les clés gérées par le client stockées dans AWS KMS.

    Note

    Vous ne pouvez utiliser le chiffrement par clé géré par le client que pour les FleetWise ressources AWS IoT. Cela inclut le catalogue de signaux, le modèle de véhicule (manifeste du modèle), le manifeste du décodeur, le véhicule, la flotte et la campagne.

  5. Choisissez votre KMS clé avec l'une des options suivantes :

    • Pour utiliser une KMS clé existante : choisissez l'alias de votre KMS clé dans la liste.

    • Pour créer une nouvelle KMS clé, choisissez Créer une AWS KMS clé.

      Note

      Cela ouvre la AWS KMS console. Pour plus d'informations sur la création d'une KMS clé, consultez la section Création de clés dans le Guide du AWS Key Management Service développeur.

  6. Choisissez Enregistrer pour mettre à jour vos paramètres.

Activer le chiffrement à l'aide de KMS clés (AWS CLI)

Vous pouvez utiliser cette PutEncryptionConfigurationAPIopération pour activer le chiffrement de votre FleetWise compte AWS IoT. L'exemple suivant utilise AWS CLI.

Pour activer le chiffrement, exécutez la commande suivante.

  • Remplacez KMS key id par l'identifiant de la KMS clé.

aws iotfleetwise put-encryption-configuration —kms-key-id KMS key id —encryption-type KMS_BASED_ENCRYPTION
Exemple réponse
{
 "kmsKeyId": "customer_kms_key_id",
 "encryptionStatus": "PENDING",
 "encryptionType": "KMS_BASED_ENCRYPTION"
}

politique de clé KMS

Après avoir créé une KMS clé, vous devez au minimum ajouter la déclaration suivante à votre politique KMS clé pour qu'elle fonctionne avec AWS l'IoT FleetWise. Le principe du FleetWise service AWS IoT indiqué iotfleetwise.amazonaws.com dans la déclaration de politique KMS clé permet FleetWise à AWS l'IoT d'accéder à la KMS clé.

{
  "Sid": "Allow FleetWise to encrypt and decrypt data when customer managed KMS key based encryption is enabled",
  "Effect": "Allow",
  "Principal": {
    "Service": "iotfleetwise.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey*",
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:CreateGrant",
    "kms:RetireGrant",
    "kms:RevokeGrant"
  ],
  "Resource": "*"
}

La meilleure pratique en matière de sécurité consiste à ajouter aws:SourceArn et à aws:SourceAccount conditionner des clés à la politique des KMS clés. La clé de condition IAM globale aws:SourceArn permet de garantir que AWS l'IoT FleetWise utilise la KMS clé uniquement pour la ressource Amazon Resource Names () ARNs spécifique au service.

Si vous définissez la valeur deaws:SourceArn, elle doit toujours êtrearn:aws:iotfleetwise:us-east-1:account_id:*. Cela permet à la KMS clé d'accéder à toutes les FleetWise ressources AWS IoT pour cela Compte AWS. AWS L'IoT FleetWise prend en charge une KMS clé par compte pour toutes les ressources qu'il contient Région AWS. L'utilisation d'une autre valeur pour le champ de ressourceSourceArn, ou le fait de ne pas utiliser le caractère générique (*) pour le champ ARN ressource, FleetWise empêche AWS l'IoT d'accéder à la KMS clé.

La valeur de aws:SourceAccount est votre identifiant de compte, qui est utilisé pour restreindre davantage la KMS clé afin qu'elle ne puisse être utilisée que pour votre compte spécifique. Si vous ajoutez aws:SourceAccount et aws:SourceArn conditionnez des clés à la KMS clé, assurez-vous que celle-ci n'est utilisée par aucun autre service ou compte. Cela permet d'éviter les défaillances.

La politique suivante inclut un principal de service (un identifiant pour un service), ainsi aws:SourceAccount qu'une aws:SourceArn configuration pour une utilisation en fonction de l'identifiant de votre compte Région AWS et de votre identifiant de compte.

{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {
    "Service": "iotfleetwise.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey*",
    "kms:DescribeKey",
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
        "aws:SourceAccount": "AWS-account-ID"
              },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:iotfleetwise:region:AWS-account-ID:*"
    }
  }
}

Pour plus d'informations sur la modification d'une politique KMS clé à utiliser avec AWS l'IoT FleetWise, consultez la section Modification d'une politique clé dans le Guide du AWS Key Management Service développeur.

Important

Lorsque vous ajoutez les nouvelles sections à votre politique KMS clé, ne modifiez aucune section existante de la politique. AWS L'IoT ne FleetWise peut pas effectuer d'opérations sur vos données si le chiffrement est activé pour AWS l'IoT FleetWise et si l'une des conditions suivantes est vraie :

  • La KMS clé est désactivée ou supprimée.

  • La politique KMS clé n'est pas correctement configurée pour le service.

Autorisations pour le AWS KMS chiffrement

Si vous avez activé AWS KMS le chiffrement, vous devez spécifier les autorisations dans la politique de rôle afin de pouvoir appeler AWS l'IoT FleetWise APIs. La politique suivante permet d'accéder à toutes les FleetWise actions AWS IoT, ainsi qu'à AWS KMS des autorisations spécifiques.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iotfleetwise:*",
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

La déclaration de politique suivante est requise pour que votre rôle puisse invoquer le chiffrementAPIs. Cette déclaration de politique autorise PutEncryptionConfiguration et prend des GetEncryptionConfiguration mesures à partir de AWS l'IoT FleetWise.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iotfleetwise:GetEncryptionConfiguration", 
        "iotfleetwise:PutEncryptionConfiguration",
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}