Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Crittografia dei dati nell' AWS IoT FleetWise
La crittografia dei dati si riferisce alla protezione dei dati durante il transito (mentre viaggiano da e verso l' AWS IoT FleetWise e tra gateway e server) e quando sono inattivi (mentre sono archiviati su dispositivi locali o all'interno). Servizi AWSÈ possibile proteggere i dati inattivi utilizzando la crittografia lato client.
**Nota**
AWS Esposizioni APIs IoT FleetWise edge processing ospitate all'interno di FleetWise gateway AWS IoT e accessibili tramite la rete locale. Questi APIs sono esposti tramite una connessione TLS supportata da un certificato server di proprietà del connettore AWS FleetWise IoT Edge. Per l'autenticazione del client, APIs utilizzano una password di controllo degli accessi. La chiave privata del certificato del server e la password di controllo degli accessi sono entrambe archiviate su disco. AWS L'elaborazione FleetWise edge IoT si basa sulla crittografia del file system per la sicurezza di queste credenziali archiviate.
Per ulteriori informazioni sulla crittografia lato server e sulla crittografia lato client, consulta gli argomenti elencati di seguito.
**Topics**
+ [Crittografia inattiva nell' AWS IoT FleetWise](encryption-at-rest.md)
+ [Gestione delle chiavi in AWS IoT FleetWise](key-management.md)
# Crittografia inattiva nell' AWS IoT FleetWise
AWS L'IoT FleetWise archivia i tuoi dati nel AWS cloud e sui gateway.
## Dati inattivi nel cloud AWS
AWS L'IoT FleetWise archivia i dati in un altro Servizi AWS ambiente che, per impostazione predefinita, crittografa i dati inattivi. Encryption at rest si integra con [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) per la gestione della chiave di crittografia utilizzata per crittografare i valori delle proprietà degli asset e i valori aggregati in IoT. AWS FleetWise Puoi scegliere di utilizzare una chiave gestita dal cliente per crittografare i valori delle proprietà degli asset e aggregare i valori in IoT AWS . FleetWise Puoi creare, gestire e visualizzare la tua chiave di crittografia tramite. AWS KMS
Puoi scegliere una chiave Chiave di proprietà di AWS o una chiave gestita dal cliente per crittografare i tuoi dati.
### Come funziona
Encryption at rest si integra con AWS KMS la gestione della chiave di crittografia utilizzata per crittografare i dati.
+ Chiave di proprietà di AWS — Chiave di crittografia predefinita. AWS L'IoT FleetWise possiede questa chiave. Non puoi visualizzare, gestire o utilizzare questa chiave nel tuo Account AWS. Inoltre, non puoi visualizzare le operazioni sulla chiave nei AWS CloudTrail registri. È possibile utilizzare questa chiave senza costi aggiuntivi.
+ Chiave gestita dal cliente: la chiave viene memorizzata nel tuo account, che crei, possiedi e gestisci. Hai il pieno controllo sulla chiave KMS. AWS KMS Si applicano costi aggiuntivi.
### Chiavi di proprietà di AWS
Chiavi di proprietà di AWS non sono archiviate nel tuo account. Fanno parte di una raccolta di chiavi KMS che AWS possiede e gestisce per essere utilizzate in più Account AWS lingue. Servizi AWS può essere utilizzato Chiavi di proprietà di AWS per proteggere i tuoi dati.
Non puoi visualizzarne, gestirli Chiavi di proprietà di AWS, utilizzarli o controllarne l'utilizzo. Tuttavia, non è necessario intraprendere alcuna azione o modificare alcun programma per proteggere le chiavi che crittografano i dati.
Se le utilizzi Chiavi di proprietà di AWS non ti verrà addebitata alcuna commissione e non vengono conteggiate nelle AWS KMS quote del tuo account.
### Chiavi gestite dal cliente
Le chiavi gestite dal cliente sono chiavi KMS nel tuo account create da te, di tua proprietà e gestite da te. Hai il pieno controllo su queste chiavi KMS, come le seguenti:
+ Stabilire e mantenere le proprie politiche chiave, le politiche IAM e le sovvenzioni
+ Abilitarli e disabilitarli
+ Ruotando il loro materiale crittografico
+ Aggiunta di tag
+ Creazione di alias che si riferiscono ad essi
+ Pianificazione della loro eliminazione
Puoi anche utilizzare CloudTrail Amazon CloudWatch Logs per tenere traccia delle richieste a cui l' AWS IoT FleetWise invia per tuo AWS KMS conto.
Se utilizzi chiavi gestite dai clienti, devi concedere FleetWise l'accesso AWS IoT alla chiave KMS memorizzata nel tuo account. AWS L'IoT FleetWise utilizza la crittografia a busta e la gerarchia delle chiavi per crittografare i dati. La chiave di crittografia di AWS KMS viene utilizzata per criptare la chiave root di questa gerarchia. Per ulteriori informazioni, consulta [Crittografia envelope](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) nella *Guida per gli sviluppatori di AWS Key Management Service *.
La seguente policy di esempio concede FleetWise le autorizzazioni AWS IoT per utilizzare la tua AWS KMS chiave.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"Service": "iotfleetwise.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
**Importante**
Quando aggiungi le nuove sezioni alla tua politica delle chiavi KMS, non modificare le sezioni esistenti nella politica. AWS L'IoT non FleetWise può eseguire operazioni sui dati se la crittografia è abilitata per l' AWS IoT FleetWise e si verifica una delle seguenti condizioni:
La chiave KMS è disabilitata o eliminata.
La politica delle chiavi KMS non è configurata correttamente per il servizio.
### Utilizzo dei dati del sistema di visione con crittografia a riposo
**Nota**
I dati del sistema di visione sono in versione di anteprima e sono soggetti a modifiche.
Se hai una crittografia gestita dal cliente con AWS KMS chiavi abilitate sul tuo FleetWise account AWS IoT e desideri utilizzare i dati del sistema di visione, ripristina le impostazioni di crittografia per renderle compatibili con tipi di dati complessi. Ciò consente FleetWise all' AWS IoT di stabilire autorizzazioni aggiuntive necessarie per i dati del sistema di visione.
**Nota**
Il manifesto del decodificatore potrebbe essere bloccato in uno stato di convalida se non hai ripristinato le impostazioni di crittografia per i dati del sistema di visione.
1. Utilizza l'operazione [GetEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_GetEncryptionConfiguration.html)API per verificare se la AWS KMS crittografia è abilitata. Non sono necessarie ulteriori azioni se il tipo di crittografia è`FLEETWISE_DEFAULT_ENCRYPTION`.
1. Se il tipo di crittografia è`KMS_BASED_ENCRYPTION`, utilizza l'operazione [PutEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_PutEncryptionConfiguration.html)API per reimpostare il tipo di crittografia su`FLEETWISE_DEFAULT_ENCRYPTION`.
```
aws iotfleetwise put-encryption-configuration \
--encryption-type FLEETWISE_DEFAULT_ENCRYPTION
```
1. Utilizza l'operazione [PutEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_PutEncryptionConfiguration.html)API per riattivare il tipo di crittografia su`KMS_BASED_ENCRYPTION`.
```
aws iotfleetwise put-encryption-configuration \
--encryption-type KMS_BASED_ENCRYPTION \
--kms-key-id kms_key_id
```
Per ulteriori informazioni sull'attivazione della crittografia, vedere[Gestione delle chiavi in AWS IoT FleetWise](key-management.md).
# Gestione delle chiavi in AWS IoT FleetWise
**Importante**
L'accesso a determinate FleetWise funzionalità AWS IoT è attualmente limitato. Per ulteriori informazioni, consulta [AWS Disponibilità di aree e funzionalità nell' AWS IoT FleetWise](fleetwise-regions.md).
## AWS Gestione delle chiavi FleetWise cloud IoT
Per impostazione predefinita, AWS IoT FleetWise utilizza Chiavi gestite da AWS per proteggere i dati in Cloud AWS. Puoi aggiornare le impostazioni per utilizzare una chiave gestita dal cliente per crittografare i dati in AWS IoT FleetWise. Puoi creare, gestire e visualizzare la tua chiave di crittografia tramite AWS Key Management Service (AWS KMS).
AWS L'IoT FleetWise supporta la crittografia lato server con chiavi gestite dal cliente archiviate AWS KMS per crittografare i dati per le seguenti risorse.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/iot-fleetwise/latest/developerguide/key-management.html)
**Nota**
Altri dati e risorse vengono crittografati utilizzando la crittografia predefinita con chiavi gestite da AWS IoT FleetWise. Questa chiave viene creata e archiviata nell' FleetWise account AWS IoT.
Per ulteriori informazioni, consulta [Cos'è AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) nella *Guida per gli AWS Key Management Service sviluppatori*.
## Abilita la crittografia utilizzando le chiavi KMS (console)
Per utilizzare le chiavi gestite dai clienti con AWS IoT FleetWise, devi aggiornare FleetWise le impostazioni AWS IoT.
**Per abilitare la crittografia utilizzando le chiavi KMS (console)**
1. Apri la [ FleetWise console AWS IoT](https://console.aws.amazon.com/iotfleetwise/).
1. Vai a **Impostazioni**.
1. In **Crittografia**, scegli **Modifica** per aprire la pagina **Modifica crittografia**.
1. Per **Tipo di chiave di crittografia**, **scegli Scegli una AWS KMS chiave diversa**. Ciò consente la crittografia con chiavi gestite dal cliente archiviate in AWS KMS.
**Nota**
Puoi utilizzare solo la crittografia a chiave gestita dal cliente per FleetWise le risorse AWS IoT. Ciò include il catalogo dei segnali, il modello del veicolo (manifesto del modello), il manifesto del decodificatore, il veicolo, la flotta e la campagna.
1. Scegli la tua chiave KMS con una delle seguenti opzioni:
+ **Per utilizzare una chiave KMS esistente**: scegli l'alias della tua chiave KMS dall'elenco.
+ **Per creare una nuova chiave KMS, scegli Crea una chiave****. AWS KMS **
**Nota**
Questo apre la AWS KMS console. Per ulteriori informazioni sulla creazione di una chiave KMS, consulta [Creating keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) nella *AWS Key Management Service Developer Guide*.
1. Scegli **Salva** per aggiornare le impostazioni.
## Abilita la crittografia utilizzando le chiavi KMS ()AWS CLI
Puoi utilizzare l'operazione [PutEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_GetEncryptionConfiguration.html)API per abilitare la crittografia per il tuo FleetWise account AWS IoT. L'esempio seguente utilizza AWS CLI.
Per abilitare la crittografia, esegui il comando seguente.
+ Sostituisci *kms\$1key\$1id* con l'ID della chiave KMS.
```
aws iotfleetwise put-encryption-configuration \
--encryption-type KMS_BASED_ENCRYPTION \
--kms-key-id kms_key_id
```
**Example risposta**
```
{
"kmsKeyId": "customer_kms_key_id",
"encryptionStatus": "PENDING",
"encryptionType": "KMS_BASED_ENCRYPTION"
}
```
## Policy della chiave KMS
Dopo aver creato una chiave KMS, devi almeno aggiungere la seguente dichiarazione alla tua politica delle chiavi KMS affinché funzioni con l'IoT AWS . FleetWise Il principio del FleetWise servizio AWS IoT `iotfleetwise.amazonaws.com` nella dichiarazione sulla politica della chiave KMS consente FleetWise a AWS IoT di accedere alla chiave KMS.
```
{
"Sid": "Allow FleetWise to encrypt and decrypt data when customer managed KMS key based encryption is enabled",
"Effect": "Allow",
"Principal": {
"Service": "iotfleetwise.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant",
"kms:RevokeGrant"
],
"Resource": "*"
}
```
Come best practice di sicurezza, aggiungi `aws:SourceArn` e `aws:SourceAccount` condiziona le chiavi alla policy delle chiavi KMS. La chiave di condizione globale IAM `aws:SourceArn` aiuta a garantire che l' AWS IoT FleetWise utilizzi la chiave KMS solo per la risorsa specifica del servizio Amazon Resource Names (). ARNs
Se imposti il valore di`aws:SourceArn`, deve sempre esserlo. `arn:aws:iotfleetwise:us-east-1:account_id:*` Ciò consente alla chiave KMS di accedere a tutte le FleetWise risorse AWS IoT per questo Account AWS. AWS L'IoT FleetWise supporta una chiave KMS per account per tutte le risorse disponibili. Regione AWS L'utilizzo di qualsiasi altro valore per il `SourceArn` campo di risorse ARN o il mancato utilizzo del carattere jolly (\$1) per il campo di risorse ARN impedisce all' AWS FleetWise IoT di accedere alla chiave KMS.
Il valore di `aws:SourceAccount` è l'ID del tuo account, che viene utilizzato per limitare ulteriormente la chiave KMS in modo che possa essere utilizzata solo per il tuo account specifico. Se aggiungi `aws:SourceAccount` e `aws:SourceArn` condiziona delle chiavi alla chiave KMS, assicurati che la chiave non venga utilizzata da nessun altro servizio o account. Questo aiuta a evitare errori.
La seguente politica include un servizio principale (un identificatore per un servizio), nonché `aws:SourceAccount` una `aws:SourceArn` configurazione per l'uso in base all'ID Regione AWS e all'account dell'utente.
```
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"Service": "iotfleetwise.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:SourceAccount": "AWS-account-ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:iotfleetwise:region:AWS-account-ID:*"
}
}
}
```
Per ulteriori informazioni sulla modifica di una policy chiave KMS da utilizzare con AWS IoT FleetWise, consulta [Changing a key policy](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) nella *AWS Key Management Service Developer Guide*.
**Importante**
Quando aggiungi le nuove sezioni alla tua politica delle chiavi KMS, non modificare le sezioni esistenti nella politica. AWS L'IoT non FleetWise può eseguire operazioni sui dati se la crittografia è abilitata per l' AWS IoT FleetWise e si verifica una delle seguenti condizioni:
La chiave KMS è disabilitata o eliminata.
La politica delle chiavi KMS non è configurata correttamente per il servizio.
## Autorizzazioni per la crittografia AWS KMS
Se hai abilitato AWS KMS la crittografia, devi specificare le autorizzazioni nella policy del ruolo in modo da poter chiamare l' AWS IoT FleetWise APIs. La seguente policy consente l'accesso a tutte le FleetWise azioni AWS IoT, oltre a permessi AWS KMS specifici.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotfleetwise:*",
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:DescribeKey"
],
"Resource": [
"*"
]
}
]
}
```
------
La seguente dichiarazione politica è necessaria per consentire al ruolo dell'utente di richiamare la crittografia. APIs Questa dichiarazione politica consente `PutEncryptionConfiguration` le `GetEncryptionConfiguration` azioni dell' AWS IoT FleetWise.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotfleetwise:GetEncryptionConfiguration",
"iotfleetwise:PutEncryptionConfiguration",
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:DescribeKey"
],
"Resource": [
"*"
]
}
]
}
```
------
## Ripristino dopo l'eliminazione AWS KMS della chiave
Se elimini una AWS KMS chiave dopo aver abilitato la crittografia con AWS IoT FleetWise, devi reimpostare l'account eliminando tutti i dati prima di utilizzare FleetWise nuovamente l' AWS IoT. Puoi utilizzare l'elenco ed eliminare le operazioni API per ripulire le risorse del tuo account.
**Per ripulire le risorse del tuo account**
1. Usa la lista APIs con il `listResponseScope` parametro impostato su`METADATA_ONLY`. Viene fornito un elenco di risorse, inclusi i nomi delle risorse e altri metadati come i ARNs timestamp.
1. Usa delete APIs per rimuovere singole risorse.
È necessario pulire le risorse nell'ordine seguente.
1. Campagne
1. Elenca tutte le campagne con il `listResponseScope` parametro impostato su`METADATA_ONLY`.
1. Eliminare le campagne.
1. Flotte e veicoli
1. Elenca tutte le flotte con il `listResponseScope` parametro impostato su. `METADATA_ONLY`
1. Elenca tutti i veicoli di ogni flotta con il `listResponseScope` parametro impostato `METADATA_ONLY` su.
1. Dissocia tutti i veicoli da ogni flotta.
1. Elimina le flotte.
1. Eliminare i veicoli.
1. Manifesti del decoder
1. Elenca tutti i manifesti del decoder con il `listResponseScope` parametro impostato su. `METADATA_ONLY`
1. Eliminare tutti i manifesti del decoder.
1. Modelli di veicoli (manifesti dei modelli)
1. Elenca tutti i modelli di veicoli con il `listResponseScope` parametro impostato `METADATA_ONLY` su.
1. Elimina tutti i modelli di veicolo.
1. Modelli di stato
1. Elenca tutti i modelli di stato con il `listResponseScope` parametro impostato su`METADATA_ONLY`.
1. Eliminare tutti i modelli di stato.
1. Cataloghi di segnali
1. Elenca tutti i cataloghi di segnali.
1. Eliminare tutti i cataloghi di segnali.