As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criptografia de dados na AWS IoT FleetWise
<a name="data-encryption"></a>

A criptografia de dados se refere à proteção de dados em trânsito (enquanto viajam de e para a AWS FleetWise IoT e entre gateways e servidores) e em repouso (enquanto são armazenados em dispositivos locais ou em). Serviços da AWS Você pode proteger os dados em repouso usando criptografia do lado do cliente.

**nota**  
AWS O processamento de FleetWise borda da IoT expõe APIs que estão hospedadas em FleetWise gateways de AWS IoT e podem ser acessadas pela rede local. Eles APIs são expostos por meio de uma conexão TLS apoiada por um certificado de servidor de propriedade do conector IoT AWS Edge. FleetWise Para autenticação do cliente, eles APIs usam uma senha de controle de acesso. A chave privada do certificado do servidor e a senha de controle de acesso são armazenadas em disco. AWS O processamento de FleetWise borda da IoT depende da criptografia do sistema de arquivos para a segurança dessas credenciais em repouso.

Para obter mais informações sobre criptografia do lado do servidor e criptografia do lado do cliente, consulte os tópicos a seguir.

**Topics**
+ [Criptografia em repouso na AWS IoT FleetWise](encryption-at-rest.md)
+ [Gerenciamento de chaves na AWS IoT FleetWise](key-management.md)

# Criptografia em repouso na AWS IoT FleetWise
<a name="encryption-at-rest"></a>

AWS A IoT FleetWise armazena seus dados na AWS nuvem e em gateways.

## Dados em repouso na AWS nuvem
<a name="cloud-encryption-at-rest"></a>

AWS A IoT FleetWise armazena dados em outros Serviços da AWS que criptografam dados em repouso por padrão. A criptografia em repouso se integra com [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) para gerenciar a chave de criptografia usada para criptografar os valores das propriedades do seu ativo e agregar valores na IoT. AWS FleetWise Você pode optar por usar uma chave gerenciada pelo cliente para criptografar valores de propriedades de ativos e valores agregados na AWS IoT. FleetWise Você pode criar, gerenciar e visualizar sua chave de criptografia por meio de AWS KMS.

Você pode escolher uma chave gerenciada pelo cliente Chave pertencente à AWS ou uma chave gerenciada pelo cliente para criptografar seus dados.

### Como funciona
<a name="how-it-works"></a>

A criptografia em repouso se AWS KMS integra ao gerenciamento da chave de criptografia usada para criptografar seus dados.
+ Chave pertencente à AWS — Chave de criptografia padrão. AWS A IoT FleetWise possui essa chave. Você não pode visualizar, gerenciar ou usar essa chave em Conta da AWS. Você também não pode ver as operações na chave nos AWS CloudTrail registros. Você pode usar esta chave sem custo adicional.
+ Chave gerenciada pelo cliente – A chave é armazenada na sua conta e é você que a cria, detém e gerencia. Você tem controle total sobre a chave KMS. AWS KMS Taxas adicionais se aplicam.

### Chaves pertencentes à AWS
<a name="aws-owned-cmk"></a>

Chaves pertencentes à AWS não estão armazenados em sua conta. Elas fazem parte de uma coleção de chaves KMS que AWS possui e gerencia para uso em várias Contas da AWS. Serviços da AWS pode ser usado Chaves pertencentes à AWS para proteger seus dados. 

Você não pode visualizar, gerenciar Chaves pertencentes à AWS, usar ou auditar seu uso. No entanto, você não precisa realizar nenhuma ação nem alterar nenhum programa para proteger as chaves que criptografam seus dados.

Você não pagará nenhuma taxa se usar Chaves pertencentes à AWS, e elas não contam nas AWS KMS cotas da sua conta.

### Chaves gerenciadas pelo cliente
<a name="customer-managed-cmk"></a>

Chaves gerenciadas pelo cliente são chaves do KMS disponíveis na sua conta do que você cria, detém e gerencia. Você tem controle total sobre as chaves KMS, como as seguintes:
+ Estabelecer e manter políticas de chaves, políticas do IAM e concessões
+ Ativação e desativação das chaves
+ Alternar os materiais de criptografia das chaves
+ Adicionar tags da 
+ Criar aliases que se referem as chaves 
+ Agendá-las para exclusão



Você também pode usar o CloudTrail Amazon CloudWatch Logs para rastrear as solicitações que a AWS IoT FleetWise envia AWS KMS em seu nome. 

 Se você estiver usando chaves gerenciadas pelo cliente, deverá conceder FleetWise acesso de AWS IoT à chave KMS armazenada em sua conta. AWS A IoT FleetWise usa criptografia de envelope e hierarquia de chaves para criptografar dados. A chave de criptografia do AWS KMS é usada para criptografar a chave raiz dessa hierarquia de chaves. Para obter mais informações, consulte [Criptografia envelopada](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) no *Guia do desenvolvedor do AWS Key Management Service *. 

O exemplo de política a seguir concede FleetWise permissões de AWS IoT para usar sua AWS KMS chave.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "Service": "iotfleetwise.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}
```

------

**Importante**  
Ao adicionar as novas seções à sua política de chaves do KMS, não altere nenhuma seção existente na política. AWS A IoT não FleetWise pode realizar operações em seus dados se a criptografia estiver habilitada para AWS IoT FleetWise e se qualquer uma das afirmações a seguir for verdadeira:  
A chave KMS está desativada ou excluída.
A política de chave KMS não está configurada corretamente para o serviço.

### Usar dados de sistemas de visão com criptografia em repouso
<a name="vision-system-encryption"></a>

**nota**  
O recurso de dados de sistemas de visão está na versão de teste e está sujeito a alterações.

Se você tiver criptografia gerenciada pelo cliente com AWS KMS chaves habilitadas em sua FleetWise conta de AWS IoT e quiser usar dados do sistema de visão, redefina suas configurações de criptografia para serem compatíveis com tipos de dados complexos. Isso permite que a AWS IoT FleetWise estabeleça as permissões adicionais necessárias para os dados do sistema de visão.

**nota**  
O manifesto do decodificador poderá ficar preso em um status de validação se você não tiver redefinido as configurações de criptografia dos dados de sistemas de visão.

1. Use a operação [GetEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_GetEncryptionConfiguration.html)da API para verificar se a AWS KMS criptografia está ativada. Nenhuma ação adicional será necessária se o tipo de criptografia for `FLEETWISE_DEFAULT_ENCRYPTION`.

1. Se o tipo de criptografia for`KMS_BASED_ENCRYPTION`, use a operação da [PutEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_PutEncryptionConfiguration.html)API para redefinir o tipo de criptografia para`FLEETWISE_DEFAULT_ENCRYPTION`. 

   ```
   aws iotfleetwise put-encryption-configuration \
         --encryption-type FLEETWISE_DEFAULT_ENCRYPTION
   ```

1. Use a operação [PutEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_PutEncryptionConfiguration.html)da API para reativar o tipo de criptografia para`KMS_BASED_ENCRYPTION`. 

   ```
   aws iotfleetwise put-encryption-configuration \
           --encryption-type KMS_BASED_ENCRYPTION \
           --kms-key-id kms_key_id
   ```

Para ter mais informações sobre como habilitar a criptografia, consulte [Gerenciamento de chaves na AWS IoT FleetWise](key-management.md).

# Gerenciamento de chaves na AWS IoT FleetWise
<a name="key-management"></a>

**Importante**  
O acesso a determinados FleetWise recursos de AWS IoT está atualmente bloqueado. Para obter mais informações, consulte [AWS Disponibilidade de regiões e recursos na AWS IoT FleetWise](fleetwise-regions.md).

## AWS Gerenciamento de chaves na FleetWise nuvem de IoT
<a name="key-cloud"></a>

Por padrão, a AWS IoT FleetWise usa Chaves gerenciadas pela AWS para proteger seus dados no. Nuvem AWS Você pode atualizar suas configurações para usar uma chave gerenciada pelo cliente para criptografar dados na AWS FleetWise IoT. Você pode criar, gerenciar e visualizar sua chave de criptografia por meio de AWS Key Management Service (AWS KMS).

AWS A IoT FleetWise oferece suporte à criptografia do lado do servidor com chaves gerenciadas pelo cliente armazenadas AWS KMS para criptografar dados dos seguintes recursos.


****  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/iot-fleetwise/latest/developerguide/key-management.html)

**nota**  
Outros dados e recursos são criptografados usando a criptografia padrão com chaves gerenciadas pela AWS IoT FleetWise. Essa chave é criada e armazenada na conta de AWS IoT. FleetWise 

Para obter mais informações, consulte [O que é AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) no *Guia do AWS Key Management Service desenvolvedor*. 

## Habilitar criptografia usando chaves KMS (console)
<a name="CMK-setup"></a>

Para usar chaves gerenciadas pelo cliente com a AWS IoT FleetWise, você deve atualizar suas configurações de IoT AWS . FleetWise 

**Para ativar a criptografia usando chaves KMS (console)**

1. Abra o console [AWS de IoT. FleetWise ](https://console.aws.amazon.com/iotfleetwise/)

1. Acesse **Configurações**.

1. Em **Criptografia**, selecione **Editar** para abrir a página **Editar criptografia**. 

1.  Em **Tipo de chave de criptografia**, **escolha Escolher uma AWS KMS chave diferente**. Isso permite a criptografia com chaves gerenciadas pelo cliente armazenadas na AWS KMS.
**nota**  
Você só pode usar a criptografia de chave gerenciada pelo cliente para recursos de AWS IoT FleetWise . Isso inclui o catálogo de sinais, modelo do veículo (manifesto do modelo), manifesto do decodificador, veículo, frota e campanha.

1. Selecione a chave KMS com uma das seguintes opções:
   + **Para usar uma chave KMS existente** — Escolha o alias da chave KMS na lista. 
   + **Para criar uma nova chave KMS** — Escolha **Criar uma AWS KMS chave**.
**nota**  
Isso abre o AWS KMS console. Para obter mais informações sobre como criar uma chave KMS, consulte [Criação de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do desenvolvedor do AWS Key Management Service *.

1. Selecione **Salvar** para atualizar as configurações.

## Ativar criptografia usando chaves KMS (AWS CLI)
<a name="encryption-cli"></a>

Você pode usar a operação da [PutEncryptionConfiguration](https://docs.aws.amazon.com/iot-fleetwise/latest/APIReference/API_GetEncryptionConfiguration.html)API para ativar a criptografia para sua conta de AWS IoT FleetWise . O exemplo a seguir usa AWS CLI.

Para ativar a criptografia, execute o seguinte comando.
+ *kms\$1key\$1id*Substitua pela ID da chave KMS.

```
aws iotfleetwise put-encryption-configuration \
      --encryption-type KMS_BASED_ENCRYPTION \
      --kms-key-id kms_key_id
```

**Example resposta**  

```
{
 "kmsKeyId": "customer_kms_key_id",
 "encryptionStatus": "PENDING",
 "encryptionType": "KMS_BASED_ENCRYPTION"
}
```

## Política de chaves do KMS
<a name="CMK-policy"></a>

Depois de criar uma chave KMS, você deve, no mínimo, adicionar a seguinte declaração à sua política de chaves KMS para que ela funcione com a IoT AWS . FleetWise O principal FleetWise serviço de AWS IoT `iotfleetwise.amazonaws.com` na declaração de política de chaves do KMS permite que a AWS IoT acesse FleetWise a chave do KMS.

```
{
  "Sid": "Allow FleetWise to encrypt and decrypt data when customer managed KMS key based encryption is enabled",
  "Effect": "Allow",
  "Principal": {
    "Service": "iotfleetwise.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey*",
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:DescribeKey",
    "kms:CreateGrant",
    "kms:RetireGrant",
    "kms:RevokeGrant"
  ],
  "Resource": "*"
}
```

Como prática recomendada de segurança, adicione `aws:SourceArn` e `aws:SourceAccount` condicione as chaves à política de chaves do KMS. A chave de condição global do IAM `aws:SourceArn` ajuda a garantir que a AWS IoT FleetWise use a chave KMS somente para o recurso Amazon Resource Names () específico do serviço. ARNs

Se você definir o valor de`aws:SourceArn`, ele sempre deverá ser`arn:aws:iotfleetwise:us-east-1:account_id:*`. Isso permite que a chave KMS acesse todos os recursos de AWS FleetWise IoT para isso. Conta da AWS AWS A IoT FleetWise oferece suporte a uma chave KMS por conta para todos os recursos nela contidos. Região da AWS Usar qualquer outro valor para ou não usar o `SourceArn` caractere curinga (\$1) para o campo de recurso ARN impede que a AWS FleetWise IoT acesse a chave KMS.

O valor de `aws:SourceAccount` é o ID da sua conta, que é usado para restringir ainda mais a chave KMS para que ela só possa ser usada para sua conta específica. Se você adicionar `aws:SourceAccount` e `aws:SourceArn` condicionar chaves à chave KMS, certifique-se de que a chave não seja usada por nenhum outro serviço ou conta. Isso ajuda a evitar falhas.

A política a seguir inclui um principal de serviço (um identificador para um serviço), bem como `aws:SourceAccount` uma `aws:SourceArn` configuração para uso com base no Região da AWS e na ID da sua conta.

```
{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {
    "Service": "iotfleetwise.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "aws:SourceAccount": "AWS-account-ID"
    },
    "ArnLike": {
      "aws:SourceArn": "arn:aws:iotfleetwise:region:AWS-account-ID:*"
    }
  }
}
```

Para obter mais informações sobre a edição de uma política de chaves do KMS para uso com AWS a FleetWise IoT, [consulte Alterando uma política de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) no Guia *AWS Key Management Service do* desenvolvedor.

**Importante**  
Ao adicionar as novas seções à sua política de chaves do KMS, não altere nenhuma seção existente na política. AWS A IoT não FleetWise pode realizar operações em seus dados se a criptografia estiver habilitada para AWS IoT FleetWise e se qualquer uma das afirmações a seguir for verdadeira:  
A chave KMS está desativada ou excluída.
A política de chave KMS não está configurada corretamente para o serviço.

## Permissões para AWS KMS criptografia
<a name="encryption-permissions"></a>

Se você habilitou a AWS KMS criptografia, deverá especificar permissões na política de função para poder chamar a AWS IoT FleetWise APIs. A política a seguir permite acesso a todas as FleetWise ações de AWS IoT, bem como permissões AWS KMS específicas.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iotfleetwise:*",
        "kms:GenerateDataKey*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:DescribeKey"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
```

------

A declaração de política a seguir é necessária para que sua função invoque a criptografia APIs. Esta declaração de política permite `GetEncryptionConfiguration` ações `PutEncryptionConfiguration` e ações da AWS IoT FleetWise.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iotfleetwise:GetEncryptionConfiguration", 
        "iotfleetwise:PutEncryptionConfiguration",
        "kms:GenerateDataKey*",
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:DescribeKey"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
```

------

## Recuperação após a exclusão da AWS KMS chave
<a name="encryption-recovery"></a>

Se você excluir uma AWS KMS chave depois de ativar a criptografia com a AWS IoT FleetWise, deverá redefinir sua conta excluindo todos os dados antes de usar a IoT AWS novamente. FleetWise Você pode usar a lista e excluir as operações da API para limpar os recursos da sua conta. 

**Para limpar recursos em sua conta**

1. Use a lista APIs com o `listResponseScope` parâmetro definido como`METADATA_ONLY`. Isso fornece uma lista de recursos, incluindo nomes de recursos e outros metadados, como registros de data ARNs e hora.

1. Use delete APIs para remover recursos individuais.

Você deve limpar os recursos na seguinte ordem.

1. Campanhas

   1. Liste todas as campanhas com o `listResponseScope` parâmetro definido como`METADATA_ONLY`.

   1. Exclua as campanhas.

1. Frotas e veículos

   1. Liste todas as frotas com o `listResponseScope` parâmetro definido como. `METADATA_ONLY`

   1. Liste todos os veículos de cada frota com o `listResponseScope` parâmetro definido como`METADATA_ONLY`.

   1. Desassocie todos os veículos de cada frota.

   1. Exclua as frotas.

   1. Exclua os veículos.

1. Manifestos de decodificadores

   1. Liste todos os manifestos do decodificador com o `listResponseScope` parâmetro definido como. `METADATA_ONLY`

   1. Exclua todos os manifestos do decodificador.

1. Modelos de veículos (manifestos de modelos)

   1. Liste todos os modelos de veículos com o `listResponseScope` parâmetro definido como`METADATA_ONLY`.

   1. Exclua todos os modelos de veículos.

1. Modelos de estado

   1. Liste todos os modelos de estado com o `listResponseScope` parâmetro definido como`METADATA_ONLY`.

   1. Exclua todos os modelos de estado.

1. Catálogos de sinais

   1. Liste todos os catálogos de sinais.

   1. Exclua todos os catálogos de sinais.