As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciamento de chaves na AWS IoT FleetWise
Importante
O acesso a determinados FleetWise recursos de AWS IoT está atualmente bloqueado. Para obter mais informações, consulte AWS Disponibilidade de regiões e recursos na AWS IoT FleetWise.
AWS Gerenciamento de chaves na FleetWise nuvem de IoT
Por padrão, a AWS IoT FleetWise usa Chaves gerenciadas pela AWS para proteger seus dados no. Nuvem AWS Você pode atualizar suas configurações para usar uma chave gerenciada pelo cliente para criptografar dados na AWS FleetWise IoT. Você pode criar, gerenciar e visualizar sua chave de criptografia por meio de AWS Key Management Service (AWS KMS).
AWS A IoT FleetWise oferece suporte à criptografia do lado do servidor com chaves gerenciadas pelo cliente armazenadas AWS KMS para criptografar dados dos seguintes recursos.
| AWS Recurso de IoT FleetWise | Tipo de dados | Campos criptografados em repouso com chaves gerenciadas pelo cliente |
|---|---|---|
| Catálogo de sinais | description | |
| Atributo |
descrição,allowedValues,defaultValue, min, max |
|
| Actuator |
descriçãoallowedValues, min, max |
|
| Sensor |
descriçãoallowedValues, min, max |
|
| Modelo do veículo (manifesto do modelo) | description | |
| Manifesto do decodificador | description | |
| CanInterface |
protocolName, protocolVersion |
|
| ObdInterface |
requestMessageId, dtcRequestInterval Segundos, hasTransmissionEcu,obdStandard, pidRequestInterval Segundos, useExtendedIds |
|
| CanSignal |
fator, isBigEndian,isSigned, comprimentomessageId, deslocamento, startBit |
|
| ObdSignal |
byteLength, offset, pid pidResponseLength, escalabilidade,,serviceMode, startByte bitMaskLength bitRightShift |
|
| Veículo | attributes | |
| Campaign | description | |
| conditionBasedCollectionEsquema |
expressão conditionLanguageVersion, minimumTriggerInterval Senhora, triggerMode |
|
| TimeBasedCollectionScheme |
periodMs |
|
| Modelo de estado | description |
nota
Outros dados e recursos são criptografados usando a criptografia padrão com chaves gerenciadas pela AWS IoT FleetWise. Essa chave é criada e armazenada na conta de AWS IoT. FleetWise
Para obter mais informações, consulte O que é AWS Key Management Service? no Guia do AWS Key Management Service desenvolvedor.
Ativar criptografia usando KMS chaves (console)
Para usar chaves gerenciadas pelo cliente com a AWS IoT FleetWise, você deve atualizar suas configurações de IoT AWS . FleetWise
Para ativar a criptografia usando KMS chaves (console)
-
Abra o console AWS de IoT. FleetWise
-
Acesse Configurações.
-
Em Criptografia, selecione Editar para abrir a página Editar criptografia.
-
Em Tipo de chave de criptografia, escolha Escolher uma AWS KMS chave diferente. Isso permite a criptografia com chaves gerenciadas pelo cliente armazenadas na AWS KMS.
nota
Você só pode usar a criptografia de chave gerenciada pelo cliente para recursos de AWS IoT FleetWise . Isso inclui o catálogo de sinais, modelo do veículo (manifesto do modelo), manifesto do decodificador, veículo, frota e campanha.
-
Escolha sua KMS chave com uma das seguintes opções:
-
Para usar uma KMS chave existente — Escolha seu alias de KMS chave na lista.
-
Para criar uma nova KMS chave, escolha Criar uma AWS KMS chave.
nota
Isso abre o AWS KMS console. Para obter mais informações sobre como criar uma KMS chave, consulte Criação de chaves no Guia do AWS Key Management Service desenvolvedor.
-
-
Selecione Salvar para atualizar as configurações.
Ativar criptografia usando KMS chaves (AWS CLI)
Você pode usar a PutEncryptionConfigurationAPIoperação para ativar a criptografia para sua conta de AWS IoT FleetWise . O exemplo a seguir usa AWS CLI.
Para ativar a criptografia, execute o seguinte comando.
-
KMS key idSubstitua pelo ID da KMS chave.
aws iotfleetwise put-encryption-configuration —kms-key-idKMS key id—encryption-type KMS_BASED_ENCRYPTION
exemplo Retorno
{ "kmsKeyId": "customer_kms_key_id", "encryptionStatus": "PENDING", "encryptionType": "KMS_BASED_ENCRYPTION" }
Política de chave do KMS
Depois de criar uma KMS chave, você deve, no mínimo, adicionar a seguinte declaração à sua política de KMS chaves para que ela funcione com a AWS IoT FleetWise. O principal FleetWise serviço de AWS IoT iotfleetwise.amazonaws.com na declaração de política principal permite que a AWS IoT acesse FleetWise a KMS chave. KMS
{ "Sid": "Allow FleetWise to encrypt and decrypt data when customer managed KMS key based encryption is enabled", "Effect": "Allow", "Principal": { "Service": "iotfleetwise.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt", "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant", "kms:RevokeGrant" ], "Resource": "*" }
Como prática recomendada de segurança, adicione aws:SourceArn e aws:SourceAccount condicione as chaves à política de KMS chaves. A chave de condição IAM global aws:SourceArn ajuda a garantir que a AWS IoT FleetWise use a KMS chave somente para o recurso Amazon Resource Names () específico do serviço. ARNs
Se você definir o valor deaws:SourceArn, ele sempre deverá serarn:aws:iotfleetwise:us-east-1:account_id:*. Isso permite que a KMS chave acesse todos os FleetWise recursos de AWS IoT para isso. Conta da AWS AWS A IoT FleetWise oferece suporte a uma KMS chave por conta para todos os recursos dessa chave. Região da AWS Usar qualquer outro valor para oSourceArn, ou não usar o caractere curinga (*) para o campo de ARN recurso, impede que a AWS FleetWise IoT acesse KMS a chave.
O valor de aws:SourceAccount é o ID da sua conta, que é usado para restringir ainda mais a KMS chave, de forma que ela só possa ser usada para sua conta específica. Se você adicionar aws:SourceAccount e aws:SourceArn condicionar chaves à KMS chave, certifique-se de que ela não seja usada por nenhum outro serviço ou conta. Isso ajuda a evitar falhas.
A política a seguir inclui um principal de serviço (um identificador para um serviço), bem como aws:SourceAccount uma aws:SourceArn configuração para uso com base no Região da AWS e na ID da sua conta.
{ "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "Service": "iotfleetwise.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*", "kms:DescribeKey", ], "Resource": "*", "Condition": { "StringLike": { "aws:SourceAccount": "AWS-account-ID" }, "ArnLike": { "aws:SourceArn": "arn:aws:iotfleetwise:region:AWS-account-ID:*" } } }
Para obter mais informações sobre como editar uma política de KMS chaves para uso com a AWS IoT FleetWise, consulte Alterar uma política de chaves no Guia do AWS Key Management Service desenvolvedor.
Importante
Ao adicionar as novas seções à sua política de KMS chaves, não altere nenhuma seção existente na política. AWS A IoT não FleetWise pode realizar operações em seus dados se a criptografia estiver habilitada para AWS IoT FleetWise e se qualquer uma das afirmações a seguir for verdadeira:
-
A KMS chave está desativada ou excluída.
-
A política de KMS chaves não está configurada corretamente para o serviço.
Permissões para AWS KMS criptografia
Se você habilitou a AWS KMS criptografia, deverá especificar permissões na política de função para poder chamar a AWS IoT FleetWise APIs. A política a seguir permite acesso a todas as FleetWise ações de AWS IoT, bem como permissões AWS KMS específicas.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iotfleetwise:*", "kms:GenerateDataKey*", "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "*" ] } ] }
A declaração de política a seguir é necessária para que sua função invoque a criptografiaAPIs. Esta declaração de política permite GetEncryptionConfiguration ações PutEncryptionConfiguration e ações da AWS IoT FleetWise.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iotfleetwise:GetEncryptionConfiguration", "iotfleetwise:PutEncryptionConfiguration", "kms:GenerateDataKey*", "kms:Decrypt", "kms:DescribeKey" ], "Resource": [ "*" ] } ] }
