View a markdown version of this page

AWS IoT FleetWise의 키 관리 - AWS IoT FleetWise
AWS IoT FleetWise 클라우드 키 관리KMS 키를 사용한 암호화 활성화 (콘솔)KMS 키를 사용한 암호화 활성화(AWS CLI)KMS 키 정책AWS KMS 암호화 권한AWS KMS 키 삭제 후 복구

AWS IoT FleetWise는 2026년 4월 30일부터 신규 고객에게 더 이상 공개되지 않습니다. 기존 AWS IoT FleetWise 고객은 서비스를 계속 사용할 수 있습니다. 의 Connected Mobility 지침은 AWS AWS IoT FleetWise와 동등한 기능을 달성하는 데 사용할 수 있는 커넥티드 모빌리티 솔루션을 위한 모듈식 서비스를 개발하고 배포하는 방법에 대한 지침을 제공합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS IoT FleetWise의 키 관리

중요

특정 AWS IoT FleetWise 기능에 대한 액세스는 현재 게이트됩니다. 자세한 내용은 AWS AWS IoT FleetWise의 리전 및 기능 가용성 단원을 참조하십시오.

AWS IoT FleetWise 클라우드 키 관리

기본적으로 AWS IoT FleetWise는 AWS 관리형 키 를 사용하여의 데이터를 보호합니다 AWS 클라우드. 고객 관리형 키를 사용하여 AWS IoT FleetWise의 데이터를 암호화하도록 설정을 업데이트할 수 있습니다. AWS Key Management Service ()를 통해 암호화 키를 생성, 관리 및 볼 수 있습니다AWS KMS.

AWS IoT FleetWise는 다음 리소스에 대한 데이터를 암호화 AWS KMS 하기 위해에 저장된 고객 관리형 키를 사용한 서버 측 암호화를 지원합니다.

AWS IoT FleetWise 리소스 데이터 유형 고객 관리 키로 유휴 상태에서 암호화된 필드
신호 카탈로그 description
속성

description, allowedValues, defaultValue, min, max
Actuator

description, allowedValues, min, max
센서

description, allowedValues, min, max
차량 모델(모델 매니페스트) description
디코더 매니페스트 description
CanInterface

protocolName, protocolVersion
ObdInterface

requestMessageId, dtcRequestIntervalSeconds, hasTransmissionEcu, obdStandard, pidRequestIntervalSeconds, useExtendedIds
CanSignal

factor, isBigEndian, isSigned, length, messageId, offset, startBit
ObdSignal

byteLength, offset, pid, pidResponseLength, scaling, serviceMode, startByte, bitMaskLength, bitRightShift
차량 attributes
캠페인 description
ConditionBasedCollectionScheme

expression, conditionLanguageVersion, minimumTriggerIntervalMs, triggerMode
TimeBasedCollectionScheme

periodMs
상태 템플릿 description
참고

다른 데이터 및 리소스는 AWS IoT FleetWise에서 관리하는 키를 사용한 기본 암호화를 사용하여 암호화됩니다. 이 키는 생성되어 AWS IoT FleetWise 계정에 저장됩니다.

자세한 내용은 란 무엇입니까 AWS Key Management Service?를 참조하세요. AWS Key Management Service 개발자 안내서의 .

KMS 키를 사용한 암호화 활성화 (콘솔)

AWS IoT FleetWise에서 고객 관리형 키를 사용하려면 AWS IoT FleetWise 설정을 업데이트해야 합니다.

KMS 키를 사용하여 암호화를 활성화하려는 경우 (콘솔)

  1. AWS IoT FleetWise 콘솔을 엽니다.

  2. 설정으로 이동합니다.

  3. 암호화에서 편집을 선택하여 암호화 편집 페이지를 엽니다.

  4. 암호화 키 유형에서 다른 AWS KMS 키 선택을 선택합니다. 이렇게 하면 AWS KMS에 저장된 고객 관리 키로 암호화할 수 있습니다.

    참고

    AWS IoT FleetWise 리소스에는 고객 관리형 키 암호화만 사용할 수 있습니다. 여기에는 신호 카탈로그, 차량 모델(모델 매니페스트), 디코더 매니페스트, 차량, 플릿 및 캠페인이 포함됩니다.

  5. 다음 옵션 중 하나를 선택하여 KMS 키를 사용합니다.

    • 기존 KMS 키를 사용하려면 – 목록에서 KMS 키 별칭을 선택합니다.

    • 새 KMS 키를 생성하려면 - AWS KMS 키 생성을 선택합니다.

      참고

      그러면 AWS KMS 콘솔이 열립니다. KMS 키 생성에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서키 생성을 참조하세요.

  6. 설정을 저장하려면 저장을 선택합니다.

KMS 키를 사용한 암호화 활성화(AWS CLI)

PutEncryptionConfiguration API 작업을 사용하여 AWS IoT FleetWise 계정에 대한 암호화를 활성화할 수 있습니다. 다음 예제에서는를 사용합니다 AWS CLI.

암호화를 활성화하려면 다음 명령을 실행합니다.

  • kms_key_id를 KMS 키의 ID로 바꿉니다.

aws iotfleetwise put-encryption-configuration \
      --encryption-type KMS_BASED_ENCRYPTION \
      --kms-key-id kms_key_id
예 response
{
 "kmsKeyId": "customer_kms_key_id",
 "encryptionStatus": "PENDING",
 "encryptionType": "KMS_BASED_ENCRYPTION"
}

KMS 키 정책

KMS 키를 생성한 후에는 최소한 KMS 키 정책에 다음 문을 추가해야 AWS IoT FleetWise로 작업할 수 있습니다. KMS 키 정책 설명iotfleetwise.amazonaws.com의 AWS IoT FleetWise 서비스 보안 주체는 AWS IoT FleetWise가 KMS 키에 액세스할 수 있도록 허용합니다.

{
  "Sid": "Allow FleetWise to encrypt and decrypt data when customer managed KMS key based encryption is enabled",
  "Effect": "Allow",
  "Principal": {
    "Service": "iotfleetwise.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey*",
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:DescribeKey",
    "kms:CreateGrant",
    "kms:RetireGrant",
    "kms:RevokeGrant"
  ],
  "Resource": "*"
}

보안 모범 사례로 KMS 키 정책에 aws:SourceArnaws:SourceAccount 조건 키를 추가합니다. IAM 전역 조건 키는 AWS IoT FleetWise가 서비스별 리소스 Amazon 리소스 이름(ARNs)에만 KMS 키를 사용하도록 하는 aws:SourceArn 데 도움이 됩니다.

의 값을 설정하는 경우 항상 이어야 aws:SourceArn합니다arn:aws:iotfleetwise:us-east-1:account_id:*. 이렇게 하면 KMS 키가 이에 대한 모든 AWS IoT FleetWise 리소스에 액세스할 수 있습니다 AWS 계정. AWS IoT FleetWise는 해당의 모든 리소스에 대해 계정당 하나의 KMS 키를 지원합니다 AWS 리전. 에 다른 값을 사용하거나 ARN 리소스 필드에 와일드카드(*)를 사용하지 SourceArn않으면 AWS IoT FleetWise가 KMS 키에 액세스하지 못합니다.

의 값은 aws:SourceAccount 계정 ID로, 특정 계정에만 사용할 수 있도록 KMS 키를 추가로 제한하는 데 사용됩니다. KMS 키에 aws:SourceAccountaws:SourceArn 조건 키를 추가하는 경우 다른 서비스 또는 계정에서 키를 사용하지 않는지 확인합니다. 이렇게 하면 실패를 방지하는 데 도움이 됩니다.

다음 정책에는 서비스 보안 주체(서비스의 식별자)와 aws:SourceAccount 및 계정 ID를 기반으로 사용하도록 aws:SourceArn 설정된 AWS 리전 가 포함됩니다.

{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {
    "Service": "iotfleetwise.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:SourceAccount": "AWS-account-ID"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:iotfleetwise:region:AWS-account-ID:*"
    }
  }
}

AWS IoT FleetWise에서 사용할 KMS 키 정책 편집에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서키 정책 변경을 참조하세요.

중요

KMS 키 정책에 새 섹션을 추가할 때 정책의 기존 섹션을 변경하지 마십시오. AWS IoT FleetWise에 암호화가 활성화되어 있고 다음 중 하나에 해당하는 경우 AWS IoT FleetWise는 데이터에 대한 작업을 수행할 수 없습니다.

  • KMS 키가 비활성화되었거나 삭제되었습니다.

  • KMS 키 정책이 서비스에 제대로 구성되어 있지 않습니다.

AWS KMS 암호화 권한

AWS KMS 암호화를 활성화한 경우 AWS IoT FleetWise APIs를 호출할 수 있도록 역할 정책에서 권한을 지정해야 합니다. 다음 정책은 모든 AWS IoT FleetWise 작업과 AWS KMS 특정 권한에 대한 액세스를 허용합니다.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iotfleetwise:*",
        "kms:GenerateDataKey*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:DescribeKey"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

다음 정책 설명은 역할이 암호화 APIs를 호출하는 데 필요합니다. 이 정책 설명은 AWS IoT FleetWise의 PutEncryptionConfigurationGetEncryptionConfiguration 작업을 허용합니다.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iotfleetwise:GetEncryptionConfiguration", 
        "iotfleetwise:PutEncryptionConfiguration",
        "kms:GenerateDataKey*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:DescribeKey"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

AWS KMS 키 삭제 후 복구

AWS IoT FleetWise로 암호화를 활성화한 후 AWS KMS 키를 삭제하는 경우 AWS IoT FleetWise를 다시 사용하기 전에 모든 데이터를 삭제하여 계정을 재설정해야 합니다. 목록 및 삭제 API 작업을 사용하여 계정의 리소스를 정리할 수 있습니다.

계정의 리소스를 정리하려면

  1. listResponseScope 파라미터가 로 설정된 목록 APIs를 사용합니다METADATA_ONLY. 이는 리소스 이름 및 ARNs 및 타임스탬프와 같은 기타 메타데이터를 포함한 리소스 목록을 제공합니다.

  2. 삭제 APIs 사용하여 개별 리소스를 제거합니다.

다음 순서로 리소스를 정리해야 합니다.

  1. Campaigns

    1. listResponseScope 파라미터가 로 설정된 모든 캠페인을 나열합니다METADATA_ONLY.

    2. 캠페인을 삭제합니다.

  2. 플릿 및 차량

    1. listResponseScope 파라미터가 로 설정된 모든 플릿을 나열합니다METADATA_ONLY.

    2. listResponseScope 파라미터가 로 설정된 각 플릿의 모든 차량을 나열합니다METADATA_ONLY.

    3. 각 플릿에서 모든 차량의 연결을 해제합니다.

    4. 플릿을 삭제합니다.

    5. 차량을 삭제합니다.

  3. 디코더 매니페스트

    1. listResponseScope 파라미터가 로 설정된 모든 디코더 매니페스트를 나열합니다METADATA_ONLY.

    2. 모든 디코더 매니페스트를 삭제합니다.

  4. 차량 모델(모델 매니페스트)

    1. listResponseScope 파라미터가 로 설정된 모든 차량 모델을 나열합니다METADATA_ONLY.

    2. 모든 차량 모델을 삭제합니다.

  5. 상태 템플릿

    1. listResponseScope 파라미터가 로 설정된 모든 상태 템플릿을 나열합니다METADATA_ONLY.

    2. 모든 상태 템플릿을 삭제합니다.

  6. 신호 카탈로그

    1. 모든 신호 카탈로그를 나열합니다.

    2. 모든 신호 카탈로그를 삭제합니다.