Enkripsi diam - AWS IoT SiteWise
Data saat istirahat di AWS CloudData diam di gateway SiteWise Edge

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi diam

AWS IoT SiteWise menyimpan data Anda di AWS Cloud dan di gateway AWS IoT SiteWise Edge.

Data saat istirahat di AWS Cloud

AWS IoT SiteWise menyimpan data di AWS layanan lain yang mengenkripsi data saat istirahat secara default. Enkripsi saat istirahat terintegrasi dengan AWS Key Management Service (AWS KMS) untuk mengelola kunci enkripsi yang digunakan untuk mengenkripsi nilai properti aset Anda dan nilai agregat di. AWS IoT SiteWise Anda dapat memilih untuk menggunakan kunci terkelola pelanggan untuk mengenkripsi nilai properti aset dan nilai agregat. AWS IoT SiteWise Anda dapat membuat, mengelola, dan melihat kunci enkripsi Anda melalui AWS KMS.

Anda dapat memilih Kunci milik AWS untuk mengenkripsi data Anda, atau memilih kunci yang dikelola pelangganuntuk mengenkripsi nilai properti aset dan nilai agregat Anda:

Cara kerjanya

Enkripsi saat istirahat terintegrasi dengan AWS KMS untuk mengelola kunci enkripsi yang digunakan untuk mengenkripsi data Anda.

  • Kunci milik AWS — Kunci enkripsi default. AWS IoT SiteWise memiliki kunci ini. Anda tidak dapat melihat kunci ini di AWS akun Anda. Anda juga tidak dapat melihat operasi pada kunci di AWS CloudTrail log. Anda dapat menggunakan kunci ini tanpa biaya tambahan.

  • Kunci yang dikelola pelanggan — Kunci disimpan di akun Anda, yang Anda buat, miliki, dan kelola. Anda memiliki kontrol penuh atas tombol KMS. AWS KMS Biaya tambahan berlaku.

Kunci milik AWS

Kunci milik AWS tidak disimpan di akun Anda. Mereka adalah bagian dari kumpulan kunci KMS yang AWS memiliki dan mengelola untuk digunakan di beberapa AWS akun. AWS Layanan dapat digunakan Kunci milik AWS untuk melindungi data Anda.

Anda tidak dapat melihat, mengelola, menggunakan Kunci milik AWS, atau mengaudit penggunaannya. Namun, Anda tidak perlu melakukan pekerjaan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda.

Anda tidak dikenakan biaya bulanan atau biaya penggunaan jika Anda menggunakan Kunci milik AWS, dan mereka tidak dihitung terhadap AWS KMS kuota untuk akun Anda.

Kunci yang dikelola pelanggan

Kunci yang dikelola pelanggan adalah kunci KMS di akun Anda yang Anda buat, miliki, dan kelola. Anda memiliki kontrol penuh atas kunci KMS ini, seperti berikut ini:

  • Menetapkan dan memelihara kebijakan utama mereka, kebijakan IAM, dan hibah

  • Mengaktifkan dan menonaktifkannya

  • Memutar materi kriptografi mereka

  • Menambahkan tanda

  • Membuat alias yang merujuk kepada mereka

  • Menjadwalkan mereka untuk dihapus

Anda juga dapat menggunakan CloudTrail dan Amazon CloudWatch Logs untuk melacak permintaan yang AWS IoT SiteWise dikirimkan AWS KMS atas nama Anda.

Jika Anda menggunakan kunci yang dikelola pelanggan, Anda harus memberikan AWS IoT SiteWise akses ke kunci KMS yang disimpan di akun Anda. AWS IoT SiteWise menggunakan enkripsi amplop dan hierarki kunci untuk mengenkripsi data. Kunci AWS KMS enkripsi Anda digunakan untuk mengenkripsi kunci root hierarki kunci ini. Untuk informasi lebih lanjut, lihat Enkripsi amplop di Panduan Developer AWS Key Management Service .

Contoh kebijakan berikut memberikan AWS IoT SiteWise izin untuk membuat kunci terkelola pelanggan atas nama Anda. Ketika Anda membuat kunci Anda, Anda harus mengizinkan kms:CreateGrant dan kms:DescribeKey tindakan. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1603902045292",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Konteks enkripsi untuk hibah yang Anda buat menggunakan ID Anda aws:iotsitewise:subscriberId dan akun.

Data diam di gateway SiteWise Edge

AWS IoT SiteWise gateway menyimpan data berikut pada sistem file lokal:

  • Informasi konfigurasi sumber OPC-UA

  • Kumpulan jalur aliran data OPC-UA dari sumber OPC-UA yang terhubung

  • Data industri di-cache saat gateway SiteWise Edge kehilangan koneksi ke internet

SiteWise Gerbang tepi berjalan. AWS IoT Greengrass AWS IoT Greengrass bergantung pada izin file Unix dan enkripsi full-disk (jika diaktifkan) untuk melindungi data pada intinya. Anda bertanggung jawab untuk mengamankan sistem file dan perangkat.

Namun, AWS IoT Greengrass mengenkripsi salinan lokal rahasia server OPC-UA Anda yang diambil dari Secrets Manager. Untuk informasi selengkapnya, lihat Enkripsi rahasia di Panduan AWS IoT Greengrass Version 1 Pengembang.

Untuk informasi selengkapnya tentang enkripsi saat istirahat pada AWS IoT Greengrass inti, lihat Enkripsi saat istirahat di Panduan AWS IoT Greengrass Version 1 Pengembang.