Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione delle chiavi in AWS IoT FleetWise
**Importante**
L'accesso a determinate FleetWise funzionalità AWS IoT è attualmente limitato. Per ulteriori informazioni, consulta [AWS Disponibilità di aree e funzionalità nell' AWS IoT FleetWise](fleetwise-regions.md).
## AWS Gestione delle chiavi FleetWise cloud IoT
Per impostazione predefinita, AWS IoT FleetWise utilizza Chiavi gestite da AWS per proteggere i dati in Cloud AWS. Puoi aggiornare le impostazioni per utilizzare una chiave gestita dal cliente per crittografare i dati in AWS IoT FleetWise. Puoi creare, gestire e visualizzare la tua chiave di crittografia tramite AWS Key Management Service (AWS KMS).
AWS L'IoT FleetWise supporta la crittografia lato server con chiavi gestite dal cliente archiviate AWS KMS per crittografare i dati per le seguenti risorse.
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/iot-fleetwise/latest/developerguide/key-management.html)
**Nota**
Altri dati e risorse vengono crittografati utilizzando la crittografia predefinita con chiavi gestite da AWS IoT FleetWise. Questa chiave viene creata e archiviata nell' FleetWise account AWS IoT.
Per ulteriori informazioni, consulta [Cos'è AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) nella *Guida per gli AWS Key Management Service sviluppatori*.
## Abilita la crittografia utilizzando le chiavi KMS (console)
Per utilizzare le chiavi gestite dai clienti con AWS IoT FleetWise, devi aggiornare FleetWise le impostazioni AWS IoT.
**Per abilitare la crittografia utilizzando le chiavi KMS (console)**
1. Apri la [ FleetWise console AWS IoT](https://console.aws.amazon.com/iotfleetwise/).
1. Vai a **Impostazioni**.
1. In **Crittografia**, scegli **Modifica** per aprire la pagina **Modifica crittografia**.
1. Per **Tipo di chiave di crittografia**, **scegli Scegli una AWS KMS chiave diversa**. Ciò consente la crittografia con chiavi gestite dal cliente archiviate in AWS KMS.
**Nota**
Puoi utilizzare solo la crittografia a chiave gestita dal cliente per FleetWise le risorse AWS IoT. Ciò include il catalogo dei segnali, il modello del veicolo (manifesto del modello), il manifesto del decodificatore, il veicolo, la flotta e la campagna.
1. Scegli la tua chiave KMS con una delle seguenti opzioni:
+ **Per utilizzare una chiave KMS esistente**: scegli l'alias della tua chiave KMS dall'elenco.
+ **Per creare una nuova chiave KMS, scegli Crea una chiave****. AWS KMS **
**Nota**
Questo apre la AWS KMS console. Per ulteriori informazioni sulla creazione di una chiave KMS, consulta [Creating keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) nella *AWS Key Management Service Developer Guide*.
1. Scegli **Salva** per aggiornare le impostazioni.
## Abilita la crittografia utilizzando le chiavi KMS ()AWS CLI
Puoi utilizzare l'operazione [PutEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_GetEncryptionConfiguration.html)API per abilitare la crittografia per il tuo FleetWise account AWS IoT. L'esempio seguente utilizza AWS CLI.
Per abilitare la crittografia, esegui il comando seguente.
+ Sostituisci *kms\$1key\$1id* con l'ID della chiave KMS.
```
aws iotfleetwise put-encryption-configuration \
--encryption-type KMS_BASED_ENCRYPTION \
--kms-key-id kms_key_id
```
**Example risposta**
```
{
"kmsKeyId": "customer_kms_key_id",
"encryptionStatus": "PENDING",
"encryptionType": "KMS_BASED_ENCRYPTION"
}
```
## Policy della chiave KMS
Dopo aver creato una chiave KMS, devi almeno aggiungere la seguente dichiarazione alla tua politica delle chiavi KMS affinché funzioni con l'IoT AWS . FleetWise Il principio del FleetWise servizio AWS IoT `iotfleetwise.amazonaws.com` nella dichiarazione sulla politica della chiave KMS consente FleetWise a AWS IoT di accedere alla chiave KMS.
```
{
"Sid": "Allow FleetWise to encrypt and decrypt data when customer managed KMS key based encryption is enabled",
"Effect": "Allow",
"Principal": {
"Service": "iotfleetwise.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant",
"kms:RevokeGrant"
],
"Resource": "*"
}
```
Come best practice di sicurezza, aggiungi `aws:SourceArn` e `aws:SourceAccount` condiziona le chiavi alla policy delle chiavi KMS. La chiave di condizione globale IAM `aws:SourceArn` aiuta a garantire che l' AWS IoT FleetWise utilizzi la chiave KMS solo per la risorsa specifica del servizio Amazon Resource Names (). ARNs
Se imposti il valore di`aws:SourceArn`, deve sempre esserlo. `arn:aws:iotfleetwise:us-east-1:account_id:*` Ciò consente alla chiave KMS di accedere a tutte le FleetWise risorse AWS IoT per questo Account AWS. AWS L'IoT FleetWise supporta una chiave KMS per account per tutte le risorse disponibili. Regione AWS L'utilizzo di qualsiasi altro valore per il `SourceArn` campo di risorse ARN o il mancato utilizzo del carattere jolly (\$1) per il campo di risorse ARN impedisce all' AWS FleetWise IoT di accedere alla chiave KMS.
Il valore di `aws:SourceAccount` è l'ID del tuo account, che viene utilizzato per limitare ulteriormente la chiave KMS in modo che possa essere utilizzata solo per il tuo account specifico. Se aggiungi `aws:SourceAccount` e `aws:SourceArn` condiziona delle chiavi alla chiave KMS, assicurati che la chiave non venga utilizzata da nessun altro servizio o account. Questo aiuta a evitare errori.
La seguente politica include un servizio principale (un identificatore per un servizio), nonché `aws:SourceAccount` una `aws:SourceArn` configurazione per l'uso in base all'ID Regione AWS e all'account dell'utente.
```
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"Service": "iotfleetwise.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:SourceAccount": "AWS-account-ID"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:iotfleetwise:region:AWS-account-ID:*"
}
}
}
```
Per ulteriori informazioni sulla modifica di una policy chiave KMS da utilizzare con AWS IoT FleetWise, consulta [Changing a key policy](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) nella *AWS Key Management Service Developer Guide*.
**Importante**
Quando aggiungi le nuove sezioni alla tua politica delle chiavi KMS, non modificare le sezioni esistenti nella politica. AWS L'IoT non FleetWise può eseguire operazioni sui dati se la crittografia è abilitata per l' AWS IoT FleetWise e si verifica una delle seguenti condizioni:
La chiave KMS è disabilitata o eliminata.
La politica delle chiavi KMS non è configurata correttamente per il servizio.
## Autorizzazioni per la crittografia AWS KMS
Se hai abilitato AWS KMS la crittografia, devi specificare le autorizzazioni nella policy del ruolo in modo da poter chiamare l' AWS IoT FleetWise APIs. La seguente policy consente l'accesso a tutte le FleetWise azioni AWS IoT, oltre a permessi AWS KMS specifici.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotfleetwise:*",
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:DescribeKey"
],
"Resource": [
"*"
]
}
]
}
```
------
La seguente dichiarazione politica è necessaria per consentire al ruolo dell'utente di richiamare la crittografia. APIs Questa dichiarazione politica consente `PutEncryptionConfiguration` le `GetEncryptionConfiguration` azioni dell' AWS IoT FleetWise.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotfleetwise:GetEncryptionConfiguration",
"iotfleetwise:PutEncryptionConfiguration",
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:DescribeKey"
],
"Resource": [
"*"
]
}
]
}
```
------
## Ripristino dopo l'eliminazione AWS KMS della chiave
Se elimini una AWS KMS chiave dopo aver abilitato la crittografia con AWS IoT FleetWise, devi reimpostare l'account eliminando tutti i dati prima di utilizzare FleetWise nuovamente l' AWS IoT. Puoi utilizzare l'elenco ed eliminare le operazioni API per ripulire le risorse del tuo account.
**Per ripulire le risorse del tuo account**
1. Usa la lista APIs con il `listResponseScope` parametro impostato su`METADATA_ONLY`. Viene fornito un elenco di risorse, inclusi i nomi delle risorse e altri metadati come i ARNs timestamp.
1. Usa delete APIs per rimuovere singole risorse.
È necessario pulire le risorse nell'ordine seguente.
1. Campagne
1. Elenca tutte le campagne con il `listResponseScope` parametro impostato su`METADATA_ONLY`.
1. Eliminare le campagne.
1. Flotte e veicoli
1. Elenca tutte le flotte con il `listResponseScope` parametro impostato su. `METADATA_ONLY`
1. Elenca tutti i veicoli di ogni flotta con il `listResponseScope` parametro impostato `METADATA_ONLY` su.
1. Dissocia tutti i veicoli da ogni flotta.
1. Elimina le flotte.
1. Eliminare i veicoli.
1. Manifesti del decoder
1. Elenca tutti i manifesti del decoder con il `listResponseScope` parametro impostato su. `METADATA_ONLY`
1. Eliminare tutti i manifesti del decoder.
1. Modelli di veicoli (manifesti dei modelli)
1. Elenca tutti i modelli di veicoli con il `listResponseScope` parametro impostato `METADATA_ONLY` su.
1. Elimina tutti i modelli di veicolo.
1. Modelli di stato
1. Elenca tutti i modelli di stato con il `listResponseScope` parametro impostato su`METADATA_ONLY`.
1. Eliminare tutti i modelli di stato.
1. Cataloghi di segnali
1. Elenca tutti i cataloghi di segnali.
1. Eliminare tutti i cataloghi di segnali.