Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Enkripsi data dalam AWS IoT FleetWise
<a name="data-encryption"></a>

Enkripsi data mengacu pada perlindungan data saat dalam perjalanan (saat bepergian ke dan dari AWS FleetWise IoT, dan antara gateway dan server), dan saat istirahat (saat disimpan di perangkat lokal atau di dalam). Layanan AWS Anda dapat melindungi data saat istirahat menggunakan enkripsi sisi klien.

**catatan**  
AWS Pemrosesan FleetWise tepi IoT mengekspos APIs yang di-host dalam FleetWise gateway AWS IoT dan dapat diakses melalui jaringan lokal. Ini APIs diekspos melalui koneksi TLS yang didukung oleh server-sertifikat yang dimiliki oleh konektor AWS IoT Edge. FleetWise Untuk otentikasi klien, ini APIs menggunakan kata sandi kontrol akses. Server-certificate private-key dan password akses-kontrol keduanya disimpan pada disk. AWS Pemrosesan FleetWise tepi IoT bergantung pada enkripsi sistem file untuk keamanan kredensyal ini saat istirahat.

Untuk informasi selengkapnya tentang enkripsi di sisi server dan enkripsi di sisi klien, tinjau topik berikut.

**Topics**
+ [Enkripsi saat istirahat di AWS IoT FleetWise](encryption-at-rest.md)
+ [Manajemen kunci dalam AWS IoT FleetWise](key-management.md)

# Enkripsi saat istirahat di AWS IoT FleetWise
<a name="encryption-at-rest"></a>

AWS IoT FleetWise menyimpan data Anda di AWS Cloud dan di gateway.

## Data saat istirahat di AWS Cloud
<a name="cloud-encryption-at-rest"></a>

AWS IoT FleetWise menyimpan data di tempat lain Layanan AWS yang mengenkripsi data saat istirahat secara default. Enkripsi saat istirahat terintegrasi dengan [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) untuk mengelola kunci enkripsi yang digunakan untuk mengenkripsi nilai properti aset Anda dan nilai agregat di IoT. AWS FleetWise Anda dapat memilih untuk menggunakan kunci yang dikelola pelanggan untuk mengenkripsi nilai properti aset dan nilai agregat di IoT AWS . FleetWise Anda dapat membuat, mengelola, dan melihat kunci enkripsi Anda melalui AWS KMS.

Anda dapat memilih Kunci milik AWS atau kunci yang dikelola pelanggan untuk mengenkripsi data Anda.

### Cara kerjanya
<a name="how-it-works"></a>

Enkripsi saat istirahat terintegrasi dengan AWS KMS untuk mengelola kunci enkripsi yang digunakan untuk mengenkripsi data Anda.
+ Kunci milik AWS — Kunci enkripsi default. AWS IoT FleetWise memiliki kunci ini. Anda tidak dapat melihat, mengelola, atau menggunakan kunci ini di Akun AWS. Anda juga tidak dapat melihat operasi pada kunci di AWS CloudTrail log. Anda dapat menggunakan kunci ini tanpa biaya tambahan.
+ Kunci yang dikelola pelanggan — Kunci disimpan di akun Anda, yang Anda buat, miliki, dan kelola. Anda memiliki kontrol penuh atas tombol KMS. AWS KMS Biaya tambahan berlaku.

### Kunci milik AWS
<a name="aws-owned-cmk"></a>

Kunci milik AWS tidak disimpan di akun Anda. Mereka adalah bagian dari kumpulan kunci KMS yang AWS memiliki dan mengelola untuk digunakan dalam beberapa. Akun AWS Layanan AWS dapat digunakan Kunci milik AWS untuk melindungi data Anda. 

Anda tidak dapat melihat, mengelola, atau menggunakan Kunci milik AWS, atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda.

Anda tidak akan dikenakan biaya jika Anda menggunakan Kunci milik AWS, dan mereka tidak dihitung terhadap AWS KMS kuota untuk akun Anda.

### Kunci yang dikelola pelanggan
<a name="customer-managed-cmk"></a>

Kunci yang dikelola pelanggan adalah kunci KMS di akun Anda yang Anda buat, miliki, dan kelola. Anda memiliki kontrol penuh atas kunci KMS ini, seperti berikut ini:
+ Menetapkan dan memelihara kebijakan utama mereka, kebijakan IAM, dan hibah
+ Mengaktifkan dan menonaktifkannya
+ Memutar materi kriptografi mereka
+ Menambahkan tanda
+ Membuat alias yang merujuk pada mereka 
+ Menjadwalkan mereka untuk dihapus



Anda juga dapat menggunakan CloudTrail dan Amazon CloudWatch Logs untuk melacak permintaan yang FleetWise dikirimkan AWS IoT AWS KMS atas nama Anda. 

 Jika Anda menggunakan kunci yang dikelola pelanggan, Anda harus memberikan FleetWise akses AWS IoT ke kunci KMS yang disimpan di akun Anda. AWS IoT FleetWise menggunakan enkripsi amplop dan hierarki kunci untuk mengenkripsi data. Kunci enkripsi AWS KMS Anda digunakan untuk mengenkripsi kunci root dari hierarki kunci ini. Untuk informasi lebih lanjut, lihat [Enkripsi amplop](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) di *Panduan Developer AWS Key Management Service *. 

Contoh kebijakan berikut memberikan izin AWS FleetWise IoT untuk menggunakan kunci Anda. AWS KMS 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "Service": "iotfleetwise.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}
```

------

**penting**  
Saat Anda menambahkan bagian baru ke kebijakan kunci KMS Anda, jangan ubah bagian yang ada dalam kebijakan. AWS IoT tidak FleetWise dapat melakukan operasi ke data Anda jika enkripsi diaktifkan untuk AWS IoT FleetWise dan salah satu dari berikut ini benar:  
Kunci KMS dinonaktifkan atau dihapus.
Kebijakan kunci KMS tidak dikonfigurasi dengan benar untuk layanan.

### Menggunakan data sistem visi dengan enkripsi saat istirahat
<a name="vision-system-encryption"></a>

**catatan**  
Data sistem visi dalam rilis pratinjau dan dapat berubah sewaktu-waktu.

Jika Anda memiliki enkripsi terkelola pelanggan dengan AWS KMS kunci yang diaktifkan di FleetWise akun AWS IoT Anda, dan Anda ingin menggunakan data sistem visi, setel ulang pengaturan enkripsi Anda agar kompatibel dengan tipe data yang kompleks. Ini memungkinkan AWS IoT FleetWise untuk menetapkan izin tambahan yang diperlukan untuk data sistem visi.

**catatan**  
Manifes dekoder Anda dapat terjebak dalam status validasi jika Anda belum mengatur ulang pengaturan enkripsi untuk data sistem visi.

1. Gunakan operasi [GetEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_GetEncryptionConfiguration.html)API untuk memeriksa apakah AWS KMS enkripsi diaktifkan. Tidak ada tindakan lebih lanjut yang diperlukan jika jenis enkripsi`FLEETWISE_DEFAULT_ENCRYPTION`.

1. Jika jenis enkripsi`KMS_BASED_ENCRYPTION`, gunakan operasi [PutEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_PutEncryptionConfiguration.html)API untuk mengatur ulang jenis enkripsi ke`FLEETWISE_DEFAULT_ENCRYPTION`. 

   ```
   aws iotfleetwise put-encryption-configuration \
         --encryption-type FLEETWISE_DEFAULT_ENCRYPTION
   ```

1. Gunakan operasi [PutEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_PutEncryptionConfiguration.html)API untuk mengaktifkan kembali jenis enkripsi. `KMS_BASED_ENCRYPTION` 

   ```
   aws iotfleetwise put-encryption-configuration \
           --encryption-type KMS_BASED_ENCRYPTION \
           --kms-key-id kms_key_id
   ```

Untuk informasi selengkapnya tentang mengaktifkan enkripsi, lihat[Manajemen kunci dalam AWS IoT FleetWise](key-management.md).

# Manajemen kunci dalam AWS IoT FleetWise
<a name="key-management"></a>

**penting**  
Akses ke FleetWise fitur AWS IoT tertentu saat ini terjaga keamanannya. Untuk informasi selengkapnya, lihat [AWS Ketersediaan wilayah dan fitur di AWS IoT FleetWise](fleetwise-regions.md).

## AWS Manajemen kunci FleetWise cloud IoT
<a name="key-cloud"></a>

Secara default, AWS IoT FleetWise digunakan Kunci yang dikelola AWS untuk melindungi data Anda di file. AWS Cloud Anda dapat memperbarui pengaturan Anda untuk menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data di AWS IoT FleetWise. Anda dapat membuat, mengelola, dan melihat kunci enkripsi Anda melalui AWS Key Management Service (AWS KMS).

AWS IoT FleetWise mendukung enkripsi sisi server dengan kunci terkelola pelanggan yang disimpan AWS KMS untuk mengenkripsi data untuk sumber daya berikut.


****  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/iot-fleetwise/latest/developerguide/key-management.html)

**catatan**  
Data dan sumber daya lainnya dienkripsi menggunakan enkripsi default dengan kunci yang dikelola oleh AWS IoT. FleetWise Kunci ini dibuat dan disimpan di akun AWS IoT FleetWise .

Untuk informasi lebih lanjut, lihat [Apa itu AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) di *Panduan AWS Key Management Service Pengembang*. 

## Aktifkan enkripsi menggunakan tombol KMS (konsol)
<a name="CMK-setup"></a>

Untuk menggunakan kunci yang dikelola pelanggan dengan AWS IoT FleetWise, Anda harus memperbarui pengaturan IoT AWS Anda. FleetWise 

**Untuk mengaktifkan enkripsi menggunakan kunci KMS (konsol)**

1. Buka konsol [AWS IoT FleetWise ](https://console.aws.amazon.com/iotfleetwise/).

1. Arahkan ke **Pengaturan**.

1. Di **Enkripsi**, pilih **Edit** untuk membuka halaman **Edit enkripsi**. 

1.  Untuk **jenis kunci Enkripsi**, pilih **Pilih AWS KMS kunci yang berbeda**. Ini memungkinkan enkripsi dengan kunci terkelola pelanggan yang disimpan di AWS KMS.
**catatan**  
Anda hanya dapat menggunakan enkripsi kunci yang dikelola pelanggan untuk sumber AWS daya IoT FleetWise . Ini termasuk katalog sinyal, model kendaraan (manifes model), manifes decoder, kendaraan, armada, dan kampanye.

1. Pilih kunci KMS Anda dengan salah satu opsi berikut:
   + **Untuk menggunakan kunci KMS yang ada** — Pilih alias kunci KMS Anda dari daftar. 
   + **Untuk membuat kunci KMS baru** — Pilih **Buat AWS KMS kunci**.
**catatan**  
Ini membuka AWS KMS konsol. Untuk informasi selengkapnya tentang membuat kunci KMS, lihat [Membuat kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) di *Panduan AWS Key Management Service Pengembang*.

1. Pilih **Simpan** untuk memperbarui pengaturan Anda.

## Aktifkan enkripsi menggunakan kunci KMS ()AWS CLI
<a name="encryption-cli"></a>

Anda dapat menggunakan operasi [PutEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_GetEncryptionConfiguration.html)API untuk mengaktifkan enkripsi untuk akun AWS IoT FleetWise Anda. Contoh berikut menggunakan AWS CLI.

Untuk mengaktifkan enkripsi, jalankan perintah berikut.
+ Ganti *kms\$1key\$1id* dengan ID kunci KMS.

```
aws iotfleetwise put-encryption-configuration \
      --encryption-type KMS_BASED_ENCRYPTION \
      --kms-key-id kms_key_id
```

**Example response**  

```
{
 "kmsKeyId": "customer_kms_key_id",
 "encryptionStatus": "PENDING",
 "encryptionType": "KMS_BASED_ENCRYPTION"
}
```

## Kebijakan kunci KMS
<a name="CMK-policy"></a>

Setelah Anda membuat kunci KMS, Anda harus, setidaknya, menambahkan pernyataan berikut ke kebijakan kunci KMS Anda agar dapat bekerja dengan IoT AWS . FleetWise Prinsip FleetWise layanan AWS IoT `iotfleetwise.amazonaws.com` dalam pernyataan kebijakan kunci KMS memungkinkan AWS IoT FleetWise untuk mengakses kunci KMS.

```
{
  "Sid": "Allow FleetWise to encrypt and decrypt data when customer managed KMS key based encryption is enabled",
  "Effect": "Allow",
  "Principal": {
    "Service": "iotfleetwise.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey*",
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:DescribeKey",
    "kms:CreateGrant",
    "kms:RetireGrant",
    "kms:RevokeGrant"
  ],
  "Resource": "*"
}
```

Sebagai praktik terbaik keamanan, tambahkan `aws:SourceArn` dan `aws:SourceAccount` kondisikan kunci ke kebijakan kunci KMS. Kunci kondisi global IAM `aws:SourceArn` membantu memastikan bahwa AWS FleetWise IoT menggunakan kunci KMS hanya untuk sumber daya khusus layanan Nama Sumber Daya Amazon (). ARNs

Jika Anda menetapkan nilai`aws:SourceArn`, itu harus selalu`arn:aws:iotfleetwise:us-east-1:account_id:*`. Ini memungkinkan kunci KMS untuk mengakses semua sumber daya AWS FleetWise IoT untuk ini. Akun AWS AWS IoT FleetWise mendukung satu kunci KMS per akun untuk semua sumber daya di dalamnya. Wilayah AWS Menggunakan nilai lain untuk`SourceArn`, atau tidak menggunakan wildcard (\$1) untuk bidang sumber daya ARN, mencegah AWS FleetWise IoT mengakses kunci KMS.

Nilai `aws:SourceAccount` adalah ID akun Anda, yang digunakan untuk lebih membatasi kunci KMS sehingga hanya dapat digunakan untuk akun spesifik Anda. Jika Anda menambahkan `aws:SourceAccount` dan `aws:SourceArn` mengkondisikan kunci ke kunci KMS, pastikan kunci tersebut tidak digunakan oleh layanan atau akun lain. Ini membantu menghindari kegagalan.

Kebijakan berikut mencakup prinsipal layanan (pengenal untuk layanan), serta `aws:SourceAccount` dan `aws:SourceArn` pengaturan untuk digunakan berdasarkan Wilayah AWS dan ID akun Anda.

```
{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {
    "Service": "iotfleetwise.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:SourceAccount": "AWS-account-ID"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:iotfleetwise:region:AWS-account-ID:*"
    }
  }
}
```

Untuk informasi selengkapnya tentang mengedit kebijakan kunci KMS untuk digunakan dengan AWS FleetWise IoT, [lihat Mengubah kebijakan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) di Panduan *AWS Key Management Service Pengembang*.

**penting**  
Saat Anda menambahkan bagian baru ke kebijakan kunci KMS Anda, jangan ubah bagian yang ada dalam kebijakan. AWS IoT tidak FleetWise dapat melakukan operasi ke data Anda jika enkripsi diaktifkan untuk AWS IoT FleetWise dan salah satu dari berikut ini benar:  
Kunci KMS dinonaktifkan atau dihapus.
Kebijakan kunci KMS tidak dikonfigurasi dengan benar untuk layanan.

## Izin untuk enkripsi AWS KMS
<a name="encryption-permissions"></a>

Jika Anda mengaktifkan AWS KMS enkripsi, Anda harus menentukan izin dalam kebijakan peran sehingga Anda dapat memanggil AWS IoT FleetWise APIs. Kebijakan berikut memungkinkan akses ke semua FleetWise tindakan AWS IoT, serta izin AWS KMS tertentu.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iotfleetwise:*",
        "kms:GenerateDataKey*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:DescribeKey"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
```

------

Pernyataan kebijakan berikut diperlukan agar peran Anda menjalankan enkripsi APIs. Pernyataan kebijakan ini memungkinkan `PutEncryptionConfiguration` dan `GetEncryptionConfiguration` tindakan dari AWS IoT FleetWise.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iotfleetwise:GetEncryptionConfiguration", 
        "iotfleetwise:PutEncryptionConfiguration",
        "kms:GenerateDataKey*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:DescribeKey"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
```

------

## Pemulihan setelah penghapusan AWS KMS kunci
<a name="encryption-recovery"></a>

Jika Anda menghapus AWS KMS kunci setelah mengaktifkan enkripsi dengan AWS FleetWise IoT, Anda harus mengatur ulang akun Anda dengan menghapus semua data sebelum menggunakan AWS IoT lagi. FleetWise Anda dapat menggunakan daftar dan menghapus operasi API untuk membersihkan sumber daya di akun Anda. 

**Untuk membersihkan sumber daya di akun Anda**

1. Gunakan daftar APIs dengan `listResponseScope` parameter yang disetel ke`METADATA_ONLY`. Ini menyediakan daftar sumber daya, termasuk nama sumber daya dan metadata lainnya seperti ARNs dan stempel waktu.

1. Gunakan delete APIs untuk menghapus sumber daya individual.

Anda harus membersihkan sumber daya dengan urutan sebagai berikut.

1. Kampanye

   1. Buat daftar semua kampanye dengan `listResponseScope` parameter yang disetel ke`METADATA_ONLY`.

   1. Hapus kampanye.

1. Armada dan kendaraan

   1. Buat daftar semua armada dengan `listResponseScope` parameter yang disetel ke`METADATA_ONLY`.

   1. Buat daftar semua kendaraan untuk setiap armada dengan `listResponseScope` parameter yang disetel ke`METADATA_ONLY`.

   1. Lepaskan semua kendaraan dari setiap armada.

   1. Hapus armada.

   1. Hapus kendaraan.

1. Manifestasi dekoder

   1. Daftar semua manifes decoder dengan `listResponseScope` parameter yang disetel ke. `METADATA_ONLY`

   1. Hapus semua manifes decoder.

1. Model kendaraan (manifes model)

   1. Buat daftar semua model kendaraan dengan `listResponseScope` parameter yang disetel ke`METADATA_ONLY`.

   1. Hapus semua model kendaraan.

1. Templat status

   1. Buat daftar semua templat status dengan `listResponseScope` parameter yang disetel ke`METADATA_ONLY`.

   1. Hapus semua templat status.

1. Katalog sinyal

   1. Buat daftar semua katalog sinyal.

   1. Hapus semua katalog sinyal.