AWS Manajemen kunci FleetWise cloud IoT Aktifkan enkripsi menggunakan tombol KMS (konsol)Aktifkan enkripsi menggunakan kunci KMS ()AWS CLI Kebijakan kunci KMS Izin untuk enkripsi AWS KMS Pemulihan setelah penghapusan AWS KMS kunci

Manajemen kunci dalam AWS IoT FleetWise

penting

Akses ke FleetWise fitur AWS IoT tertentu saat ini terjaga keamanannya. Untuk informasi selengkapnya, lihat AWS Ketersediaan wilayah dan fitur di AWS IoT FleetWise.

AWS Manajemen kunci FleetWise cloud IoT

Secara default, AWS IoT FleetWise digunakan Kunci yang dikelola AWS untuk melindungi data Anda di file. AWS Cloud Anda dapat memperbarui pengaturan Anda untuk menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data di AWS IoT FleetWise. Anda dapat membuat, mengelola, dan melihat kunci enkripsi Anda melalui AWS Key Management Service (AWS KMS).

AWS IoT FleetWise mendukung enkripsi sisi server dengan kunci terkelola pelanggan yang disimpan AWS KMS untuk mengenkripsi data untuk sumber daya berikut.

AWS Sumber daya IoT FleetWise	Tipe data	Bidang yang dienkripsi saat istirahat dengan kunci yang dikelola pelanggan
Katalog sinyal		deskripsi
	Atribut	deskripsi, allowedValues, defaultValue, min, maks
	Aktuator	deskripsi, allowedValues, min, max
	Sensor	deskripsi, allowedValues, min, max
Model kendaraan (manifes model)		deskripsi
Manifes dekoder		deskripsi
	CanInterface	ProtocolName, ProtocolVersion
	ObdInterface	requestMessageId, dtcRequestInterval Detik, hasTransmissionEcu, OBDStandar, Detik, pidRequestInterval useExtendedIds
	CanSignal	faktor, isBigEndian, isSigned, panjang, MessageID, offset, StartBit
	ObdSignal	ByteLength, offset, pid,, penskalaan, pidResponseLength ServiceMode, StartByte,, bitMaskLength bitRightShift
Kendaraan		atribut
Kampanye		deskripsi
	conditionBasedCollectionSkema	ekspresi,, minimumTriggerInterval Ms conditionLanguageVersion, TriggerMode
	TimeBasedCollectionScheme	PerioDMS
Template negara		deskripsi

catatan

Data dan sumber daya lainnya dienkripsi menggunakan enkripsi default dengan kunci yang dikelola oleh AWS IoT. FleetWise Kunci ini dibuat dan disimpan di akun AWS IoT FleetWise .

Untuk informasi lebih lanjut, lihat Apa itu AWS Key Management Service? di Panduan AWS Key Management Service Pengembang.

Aktifkan enkripsi menggunakan tombol KMS (konsol)

Untuk menggunakan kunci yang dikelola pelanggan dengan AWS IoT FleetWise, Anda harus memperbarui pengaturan IoT AWS Anda. FleetWise

Untuk mengaktifkan enkripsi menggunakan kunci KMS (konsol)

Buka konsol AWS IoT FleetWise .
Arahkan ke Pengaturan.
Di Enkripsi, pilih Edit untuk membuka halaman Edit enkripsi.
Untuk jenis kunci Enkripsi, pilih Pilih AWS KMS kunci yang berbeda. Ini memungkinkan enkripsi dengan kunci terkelola pelanggan yang disimpan di AWS KMS.

catatan
Anda hanya dapat menggunakan enkripsi kunci yang dikelola pelanggan untuk sumber AWS daya IoT FleetWise . Ini termasuk katalog sinyal, model kendaraan (manifes model), manifes decoder, kendaraan, armada, dan kampanye.
Pilih kunci KMS Anda dengan salah satu opsi berikut:
- Untuk menggunakan kunci KMS yang ada — Pilih alias kunci KMS Anda dari daftar.
- Untuk membuat kunci KMS baru — Pilih Buat AWS KMS kunci.
  
  catatan
  Ini membuka AWS KMS konsol. Untuk informasi selengkapnya tentang membuat kunci KMS, lihat Membuat kunci di Panduan AWS Key Management Service Pengembang.
Pilih Simpan untuk memperbarui pengaturan Anda.

Aktifkan enkripsi menggunakan kunci KMS ()AWS CLI

Anda dapat menggunakan operasi PutEncryptionConfigurationAPI untuk mengaktifkan enkripsi untuk akun AWS IoT FleetWise Anda. Contoh berikut menggunakan AWS CLI.

Untuk mengaktifkan enkripsi, jalankan perintah berikut.

Ganti KMS key id dengan ID kunci KMS.


aws iotfleetwise put-encryption-configuration —kms-key-id KMS key id —encryption-type KMS_BASED_ENCRYPTION

contoh response


{
 "kmsKeyId": "customer_kms_key_id",
 "encryptionStatus": "PENDING",
 "encryptionType": "KMS_BASED_ENCRYPTION"
}

Kebijakan kunci KMS

Setelah Anda membuat kunci KMS, Anda harus, setidaknya, menambahkan pernyataan berikut ke kebijakan kunci KMS Anda agar dapat bekerja dengan IoT AWS . FleetWise Prinsip FleetWise layanan AWS IoT iotfleetwise.amazonaws.com dalam pernyataan kebijakan kunci KMS memungkinkan AWS IoT FleetWise untuk mengakses kunci KMS.


{
  "Sid": "Allow FleetWise to encrypt and decrypt data when customer managed KMS key based encryption is enabled",
  "Effect": "Allow",
  "Principal": {
    "Service": "iotfleetwise.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey*",
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:CreateGrant",
    "kms:RetireGrant",
    "kms:RevokeGrant"
  ],
  "Resource": "*"
}

Sebagai praktik terbaik keamanan, tambahkan aws:SourceArn dan aws:SourceAccount kondisi kunci ke kebijakan kunci KMS. Kunci kondisi global IAM aws:SourceArn membantu memastikan bahwa AWS FleetWise IoT menggunakan kunci KMS hanya untuk sumber daya khusus layanan Nama Sumber Daya Amazon (). ARNs

Jika Anda menetapkan nilaiaws:SourceArn, itu harus selaluarn:aws:iotfleetwise:us-east-1:account_id:*. Ini memungkinkan kunci KMS untuk mengakses semua sumber daya AWS FleetWise IoT untuk ini. Akun AWS AWS IoT FleetWise mendukung satu kunci KMS per akun untuk semua sumber daya di dalamnya. Wilayah AWS Menggunakan nilai lain untukSourceArn, atau tidak menggunakan wildcard (*) untuk bidang sumber daya ARN, mencegah AWS FleetWise IoT mengakses kunci KMS.

Nilai aws:SourceAccount adalah ID akun Anda, yang digunakan untuk lebih membatasi kunci KMS sehingga hanya dapat digunakan untuk akun spesifik Anda. Jika Anda menambahkan aws:SourceAccount dan aws:SourceArn mengkondisikan kunci ke kunci KMS, pastikan kunci tersebut tidak digunakan oleh layanan atau akun lain. Ini membantu menghindari kegagalan.

Kebijakan berikut mencakup prinsipal layanan (pengenal untuk layanan), serta aws:SourceAccount dan aws:SourceArn pengaturan untuk digunakan berdasarkan Wilayah AWS dan ID akun Anda.


{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {
    "Service": "iotfleetwise.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey*",
    "kms:DescribeKey",
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
        "aws:SourceAccount": "AWS-account-ID"
              },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:iotfleetwise:region:AWS-account-ID:*"
    }
  }
}

Untuk informasi selengkapnya tentang mengedit kebijakan kunci KMS untuk digunakan dengan AWS FleetWise IoT, lihat Mengubah kebijakan kunci di Panduan AWS Key Management Service Pengembang.

penting

Saat Anda menambahkan bagian baru ke kebijakan kunci KMS Anda, jangan ubah bagian yang ada dalam kebijakan. AWS IoT tidak FleetWise dapat melakukan operasi ke data Anda jika enkripsi diaktifkan untuk AWS IoT FleetWise dan salah satu dari berikut ini benar:

Kunci KMS dinonaktifkan atau dihapus.
Kebijakan kunci KMS tidak dikonfigurasi dengan benar untuk layanan.

Izin untuk enkripsi AWS KMS

Jika Anda mengaktifkan AWS KMS enkripsi, Anda harus menentukan izin dalam kebijakan peran sehingga Anda dapat memanggil AWS IoT FleetWise APIs. Kebijakan berikut memungkinkan akses ke semua FleetWise tindakan AWS IoT, serta izin AWS KMS tertentu.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iotfleetwise:*",
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

Pernyataan kebijakan berikut diperlukan agar peran Anda menjalankan enkripsi APIs. Pernyataan kebijakan ini memungkinkan PutEncryptionConfiguration dan GetEncryptionConfiguration tindakan dari AWS IoT FleetWise.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iotfleetwise:GetEncryptionConfiguration", 
        "iotfleetwise:PutEncryptionConfiguration",
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

Pemulihan setelah penghapusan AWS KMS kunci

Jika Anda menghapus AWS KMS kunci setelah mengaktifkan enkripsi dengan AWS FleetWise IoT, Anda harus mengatur ulang akun Anda dengan menghapus semua data sebelum menggunakan AWS IoT lagi. FleetWise Anda dapat menggunakan daftar dan menghapus operasi API untuk membersihkan sumber daya di akun Anda.

Untuk membersihkan sumber daya di akun Anda

Gunakan daftar APIs dengan listResponseScope parameter yang disetel keMETADATA_ONLY. Ini menyediakan daftar sumber daya, termasuk nama sumber daya dan metadata lainnya seperti ARNs dan stempel waktu.
Gunakan delete APIs untuk menghapus sumber daya individual.

Anda harus membersihkan sumber daya dengan urutan sebagai berikut.

Kampanye
1. Buat daftar semua kampanye dengan listResponseScope parameter yang disetel keMETADATA_ONLY.
2. Hapus kampanye.
Armada dan kendaraan
1. Buat daftar semua armada dengan listResponseScope parameter yang disetel keMETADATA_ONLY.
2. Buat daftar semua kendaraan untuk setiap armada dengan listResponseScope parameter yang disetel keMETADATA_ONLY.
3. Lepaskan semua kendaraan dari setiap armada.
4. Hapus armada.
5. Hapus kendaraan.
Manifestasi dekoder
1. Daftar semua manifes decoder dengan listResponseScope parameter yang disetel ke. METADATA_ONLY
2. Hapus semua manifes decoder.
Model kendaraan (manifes model)
1. Buat daftar semua model kendaraan dengan listResponseScope parameter yang disetel keMETADATA_ONLY.
2. Hapus semua model kendaraan.
Templat negara
1. Buat daftar semua templat status dengan listResponseScope parameter yang disetel keMETADATA_ONLY.
2. Hapus semua templat status.
Katalog sinyal
1. Buat daftar semua katalog sinyal.
2. Hapus semua katalog sinyal.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Enkripsi saat istirahat di AWS IoT FleetWise

Mengendalikan akses