Gerenciamento de chaves na AWS IoT FleetWise

AWS Gerenciamento de chaves na FleetWise nuvem de IoT

Por padrão, a AWS IoT FleetWise usa Chaves gerenciadas pela AWS para proteger seus dados no. Nuvem AWS Você pode atualizar suas configurações para usar uma chave gerenciada pelo cliente para criptografar dados na AWS FleetWise IoT. Você pode criar, gerenciar e visualizar sua chave de criptografia por meio de AWS Key Management Service (AWS KMS).

AWS A IoT FleetWise oferece suporte à criptografia do lado do servidor com chaves gerenciadas pelo cliente armazenadas AWS KMS para criptografar dados para os seguintes recursos.

Para obter mais informações, consulte O que é AWS Key Management Service? no Guia do AWS Key Management Service desenvolvedor.

Habilitar criptografia usando chaves KMS (console)

Para usar chaves gerenciadas pelo cliente com a AWS IoT FleetWise, você deve atualizar suas configurações de IoT AWS . FleetWise

Ativar criptografia usando chaves KMS (AWS CLI)

Você pode usar a operação da PutEncryptionConfigurationAPI para ativar a criptografia para sua conta de AWS IoT FleetWise . O exemplo a seguir usa AWS CLI.

Para ativar a criptografia, execute o seguinte comando.

aws iotfleetwise put-encryption-configuration —kms-key-id KMS key id —encryption-type KMS_BASED_ENCRYPTION

{
 "kmsKeyId": "customer_kms_key_id",
 "encryptionStatus": "PENDING",
 "encryptionType": "KMS_BASED_ENCRYPTION"
}

Política de chaves do KMS

Depois de criar uma chave KMS, você deve, no mínimo, adicionar a seguinte declaração à sua política de chaves KMS para que ela funcione com a IoT AWS . FleetWise O principal FleetWise serviço de AWS IoT iotfleetwise.amazonaws.com na declaração de política de chaves do KMS permite que a AWS IoT acesse FleetWise a chave do KMS.

{
  "Sid": "Allow FleetWise to encrypt and decrypt data when customer managed KMS key based encryption is enabled",
  "Effect": "Allow",
  "Principal": {
    "Service": "iotfleetwise.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey*",
    "kms:Decrypt",
    "kms:DescribeKey",
    "kms:CreateGrant",
    "kms:RetireGrant",
    "kms:RevokeGrant"
  ],
  "Resource": "*"
}

Como prática recomendada de segurança, adicione aws:SourceArn e aws:SourceAccount condicione as chaves à política de chaves do KMS. A chave de condição global do IAM aws:SourceArn ajuda a garantir que a AWS IoT FleetWise use a chave KMS somente para o recurso Amazon Resource Names () específico do serviço. ARNs

Se você definir o valor deaws:SourceArn, ele sempre deverá serarn:aws:iotfleetwise:us-east-1:account_id:*. Isso permite que a chave KMS acesse todos os recursos de AWS FleetWise IoT para isso. Conta da AWS AWS A IoT FleetWise oferece suporte a uma chave KMS por conta para todos os recursos nela contidos. Região da AWS Usar qualquer outro valor para oSourceArn, ou não usar o caractere curinga (*) para o campo de recurso ARN, impede que a AWS FleetWise IoT acesse a chave KMS.

O valor de aws:SourceAccount é o ID da sua conta, que é usado para restringir ainda mais a chave KMS para que ela só possa ser usada para sua conta específica. Se você adicionar aws:SourceAccount e aws:SourceArn condicionar chaves à chave KMS, certifique-se de que a chave não seja usada por nenhum outro serviço ou conta. Isso ajuda a evitar falhas.

A política a seguir inclui um principal de serviço (um identificador para um serviço), bem como aws:SourceAccount uma aws:SourceArn configuração para uso com base no Região da AWS e na ID da sua conta.

{
  "Sid": "Allow use of the key",
  "Effect": "Allow",
  "Principal": {
    "Service": "iotfleetwise.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey*",
    "kms:DescribeKey",
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
        "aws:SourceAccount": "AWS-account-ID"
              },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:iotfleetwise:region:AWS-account-ID:*"
    }
  }
}

Para obter mais informações sobre a edição de uma política de chaves do KMS para uso com AWS a FleetWise IoT, consulte Alterando uma política de chaves no Guia AWS Key Management Service do desenvolvedor.

Permissões para AWS KMS criptografia

Se você ativou a AWS KMS criptografia, deverá especificar permissões na política de função para poder chamar a AWS IoT FleetWise APIs. A política a seguir permite acesso a todas as FleetWise ações de AWS IoT, bem como permissões AWS KMS específicas.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iotfleetwise:*",
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

A declaração de política a seguir é necessária para que sua função invoque a criptografia APIs. Esta declaração de política permite GetEncryptionConfiguration ações PutEncryptionConfiguration e ações da AWS IoT FleetWise.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iotfleetwise:GetEncryptionConfiguration", 
        "iotfleetwise:PutEncryptionConfiguration",
        "kms:GenerateDataKey*",
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

Recuperação após a exclusão da AWS KMS chave

Se você excluir uma AWS KMS chave depois de ativar a criptografia com a AWS IoT FleetWise, deverá redefinir sua conta excluindo todos os dados antes de usar a IoT AWS novamente. FleetWise Você pode usar a lista e excluir as operações da API para limpar os recursos da sua conta.

Você deve limpar os recursos na seguinte ordem.