支援終止通知：2026 年 10 月 7 日 AWS 將停止 的支援 AWS IoT Greengrass Version 1。2026 年 10 月 7 日之後，您將無法再存取 AWS IoT Greengrass V1 資源。如需詳細資訊，請造訪[從 遷移 AWS IoT Greengrass Version 1](https://docs.aws.amazon.com/greengrass/v2/developerguide/migrate-from-v1.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 資料加密
<a name="data-encryption"></a>

AWS IoT Greengrass 使用加密來保護傳輸中 （透過網際網路或本機網路） 和靜態 （存放在 中） 的資料 AWS 雲端。

 AWS IoT Greengrass 環境中的裝置通常會收集傳送至 AWS 服務的資料，以供進一步處理。如需其他服務資料加密的詳細資訊 AWS ，請參閱該服務的安全文件。

**Topics**
+ [傳輸中加密](encryption-in-transit.md)
+ [靜態加密](encryption-at-rest.md)
+ [Greengrass 核心裝置的金鑰管理](key-management.md)

# 傳輸中加密
<a name="encryption-in-transit"></a>

AWS IoT Greengrass 有三種通訊模式，其中的資料正在傳輸中：
+ [透過網際網路傳輸資料](#data-in-transit-internet)。 Greengrass 核心與 AWS IoT Greengrass 網際網路之間的通訊會加密。
+ [透過區域網路傳輸資料](#data-in-transit-local-network)。 透過本機網路的 Greengrass 核心和用戶端裝置之間的通訊會加密。
+ [核心裝置上的資料](#data-in-transit-locally)。 Greengrass 核心裝置上的元件之間的通訊不會加密。

## 透過網際網路傳輸資料
<a name="data-in-transit-internet"></a>

AWS IoT Greengrass 使用 Transport Layer Security (TLS) 來加密透過網際網路的所有通訊。傳送到 的所有資料 AWS 雲端 都會使用 MQTT 或 HTTPS 通訊協定透過 TLS 連線傳送，因此預設是安全的。 AWS IoT Greengrass 會使用 AWS IoT 傳輸安全模型。如需詳細資訊，請參閱《 *AWS IoT Core 開發人員指南*》中的[傳輸安全性](https://docs.aws.amazon.com/iot/latest/developerguide/transport-security.html)。

## 透過區域網路傳輸資料
<a name="data-in-transit-local-network"></a>

AWS IoT Greengrass 使用 TLS 來加密 Greengrass 核心和用戶端裝置之間透過本機網路進行的所有通訊。如需詳細資訊，請參閱[區域網路通訊支援的密碼套件](gg-sec.md#gg-cipher-suites)。

保護區域網路和私有金鑰是您的責任。<a name="customer-responsibility-device-security"></a>

對於 Greengrass 核心裝置，您須負責：  
+ 使用最新的安全性修補程式，持續更新核心。
+ 使用最新的安全性修補程式，持續更新系統程式庫。
+ 保護私有金鑰。如需詳細資訊，請參閱[Greengrass 核心裝置的金鑰管理](key-management.md)。

對於用戶端裝置，您有責任：  
+ 將 TLS 堆疊保持在最新狀態。
+ 保護私有金鑰。

## 核心裝置上的資料
<a name="data-in-transit-locally"></a>

AWS IoT Greengrass 不會加密在 Greengrass 核心裝置上本機交換的資料，因為資料不會離開裝置。這包括使用者定義的 Lambda 函數、連接器、 AWS IoT Greengrass 核心 SDK 和系統元件之間的通訊，例如串流管理員。

# 靜態加密
<a name="encryption-at-rest"></a>

AWS IoT Greengrass 存放您的資料：
+ [中的靜態資料 AWS 雲端](#data-at-rest-cloud)。 此資料已加密。
+ [Greengrass 核心上的靜態資料](#data-at-rest-device)。 此資料不會加密 （秘密的本機副本除外）。

## 中的靜態資料 AWS 雲端
<a name="data-at-rest-cloud"></a>

AWS IoT Greengrass 會加密存放在 中的客戶資料 AWS 雲端。此資料使用 管理的 AWS KMS 金鑰進行保護 AWS IoT Greengrass。

## Greengrass 核心上的靜態資料
<a name="data-at-rest-device"></a>

AWS IoT Greengrass 依賴 Unix 檔案許可和全磁碟加密 （如果啟用） 來保護核心上的靜態資料。保護檔案系統和裝置是您的責任。

不過， AWS IoT Greengrass 會加密從中擷取之秘密的本機副本 AWS Secrets Manager。如需詳細資訊，請參閱[秘密金鑰加密](secrets.md#secrets-encryption)。

# Greengrass 核心裝置的金鑰管理
<a name="key-management"></a>

客戶有責任確保安全儲存 Greengrass 核心裝置上的加密 (公有和私有) 金鑰。 AWS IoT Greengrass 在下列情況下使用公有金鑰和私有金鑰：
+ IoT 用戶端金鑰會搭配 IoT 憑證在 Greengrass 核心連接至 AWS IoT Core時，驗證 Transport Layer Security (TLS) 交握。如需詳細資訊，請參閱[的裝置身分驗證和授權 AWS IoT Greengrass](device-auth.md)。
**注意**  
金鑰和憑證也稱為核心私有金鑰和核心裝置憑證。
+ MQTT 伺服器金鑰是使用 MQTT 伺服器憑證來驗證核心和用戶端裝置之間的 TLS 連線。如需詳細資訊，請參閱[的裝置身分驗證和授權 AWS IoT Greengrass](device-auth.md)。
+ 本機 Secrets Manager 也會使用 IoT 用戶端金鑰來保護用來加密本機秘密的資料金鑰，但您可以提供自己的私有金鑰。如需詳細資訊，請參閱[秘密金鑰加密](secrets.md#secrets-encryption)。

Greengrass 核心支援使用檔案系統許可的私有金鑰儲存體、[硬體安全模組](hardware-security.md)，或兩者。如果您使用以檔案系統為基礎的私有金鑰，您必須負責將其安全儲存於核心裝置上。

在 Greengrass 核心上，您私有金鑰的位置會在 `config.json` 檔案的 `crypto` 區段中指定。如果您將核心設定為使用客戶提供的 MQTT 伺服器憑證金鑰，則您必須負責輪換金鑰。如需詳細資訊，請參閱[AWS IoT Greengrass 核心安全主體](gg-sec.md#gg-principals)。

對於用戶端裝置，您有責任將 TLS 堆疊保持在最新狀態並保護私有金鑰。私有金鑰會與裝置憑證搭配使用，以驗證 AWS IoT Greengrass 服務的 TLS 連線。