本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
中的靜態加密 AWS IoT SiteWise
AWS IoT SiteWise 會將您的資料存放在 AWS 雲端和 AWS IoT SiteWise Edge 閘道。
AWS 雲端中的靜態資料
AWS IoT SiteWise 會將資料存放在依預設加密靜態資料的 AWS 其他服務中。靜態加密與 AWS Key Management Service (AWS KMS) 整合,用於管理用來加密資產屬性值和彙總值的加密金鑰 AWS IoT SiteWise。您可以選擇使用客戶受管金鑰來加密資產屬性值和彙總值 AWS IoT SiteWise。您可以透過 建立、管理和檢視加密金鑰 AWS KMS。
您可以選擇 AWS 擁有的金鑰 來加密資料,或選擇客戶受管金鑰來加密資產屬性值和彙總值:
運作方式
靜態加密與 整合 AWS KMS ,用於管理用來加密資料的加密金鑰。
-
AWS 擁有的金鑰 – 預設加密金鑰。 AWS IoT SiteWise 擁有此金鑰。您無法在 AWS 帳戶中檢視此金鑰。您也無法在 AWS CloudTrail 日誌中查看金鑰的操作。您可以使用此金鑰,無需額外費用。
-
客戶受管金鑰 – 金鑰存放在您的帳戶中,您可以建立、擁有和管理該金鑰。您可以完全控制 KMS 金鑰。 AWS KMS 需支付額外費用。
AWS 擁有的金鑰
AWS 擁有的金鑰 不會存放在您的帳戶中。它們是 KMS 金鑰集合的一部分,這些金鑰 AWS 擁有和管理用於多個 AWS 帳戶。 AWS services 可以使用 AWS 擁有的金鑰 來保護您的資料。
您無法檢視、管理 AWS 擁有的金鑰、使用或稽核其使用。不過,您不需要進行任何工作或變更任何程式,即可保護加密資料的金鑰。
如果您使用 ,則無需支付月費或使用費 AWS 擁有的金鑰,也不會計入您帳戶的 AWS KMS 配額。
客戶受管金鑰
客戶受管金鑰為您在 帳戶中建立、擁有和管理的 KMS 金鑰。您可以完全控制這些 KMS 金鑰,例如:
-
建立和維護其金鑰政策、IAM 政策和授予
-
啟用和停用它們
-
輪換其密碼編譯材料
-
新增標籤
-
建立參考它們的別名
-
排程刪除它們
您也可以使用 CloudTrail 和 Amazon CloudWatch Logs 來追蹤 AWS KMS 代表您 AWS IoT SiteWise 傳送至 的請求。
如果您使用的是客戶受管金鑰,則需要授予您帳戶中存放的 KMS 金鑰的 AWS IoT SiteWise 存取權。 AWS IoT SiteWise 會使用信封加密和金鑰階層來加密資料。您的 AWS KMS 加密金鑰用於加密此金鑰階層的根金鑰。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的封套加密。
下列範例政策會代表您將 AWS IoT SiteWise 許可授予建立客戶受管金鑰。建立金鑰時,您需要允許 kms:CreateGrant和 kms:DescribeKey動作。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1603902045292", "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" } ] }
您建立之授予的加密內容會使用 aws:iotsitewise:subscriberId和 帳戶 ID。
SiteWise Edge 閘道上的靜態資料
AWS IoT SiteWise 閘道會將下列資料存放在本機檔案系統上:
-
OPC UA 來源組態資訊
-
來自連線 OPC UA 來源的一組 OPC UA 資料串流路徑
-
SiteWise Edge 閘道失去網際網路連線時快取的工業資料
SiteWise Edge 閘道在 Unix 檔案許可和全磁碟加密 (如果啟用) AWS IoT Greengrass AWS IoT Greengrass 上執行,以保護核心上的靜態資料。保護檔案系統和裝置是您的責任。
不過, AWS IoT Greengrass 會加密從 Secrets Manager 擷取之 OPC UA 伺服器秘密的本機複本。如需詳細資訊,請參閱《 AWS IoT Greengrass Version 1 開發人員指南》中的秘密加密。
如需 AWS IoT Greengrass 核心靜態加密的詳細資訊,請參閱《 AWS IoT Greengrass Version 1 開發人員指南》中的靜態加密。
