本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
静态加密
Amazon IoT SiteWise 将您的数据存储在 Amazon 云和网关上。
Amazon 云中的静态数据
Amazon IoT SiteWise 将数据存储在默认加密静态数据的其他 Amazon 服务中。静态加密集成Amazon Key Management Service (Amazon KMS),管理用于加密您的资产属性值和汇总值的加密密钥Amazon IoT SiteWise。您可以选择使用客户托管密钥加密中的资产属性值和聚合值Amazon IoT SiteWise。您可以通过创建、管理和查看您的加密密钥Amazon KMS。
您可以选择加密您的数据,也可以选择客户管理的密钥来加密您的资产属性值和聚合值:Amazon 拥有的密钥
工作原理
静态加密集成管理Amazon KMS用于加密数据的加密密钥。
-
Amazon 拥有的密钥— 默认加密密钥。 Amazon IoT SiteWise拥有这个密钥。您无法在Amazon账户中查看此密钥。您也无法在Amazon CloudTrail日志中看到对密钥的操作。您可免费使用此密钥不收取额外费用。
-
客户托管密钥 — 密钥存储在账户中,由您创建、拥有和管理。您对 KMS 密钥拥有全部控制权。将Amazon KMS收取额外费用。
Amazon 拥有的密钥
Amazon 拥有的密钥未存储在您的账户中。它们是Amazon拥有和管理的用于多个Amazon账户的 KMS 密钥集合的一部分。 Amazon服务可用于Amazon 拥有的密钥保护您的数据。
您无法查看、管理Amazon 拥有的密钥、使用或审计其使用情况。但是,您无需执行任何工作或更改任何计划即可保护用于加密数据的密钥。
如果您使用,无需支付月费或使用费Amazon 拥有的密钥,它们不会计入账户的Amazon KMS配额。
客户托管密钥
客户托管密钥是在您的 账户中由您创建、拥有和管理的 KMS 密钥。您可以完全控制这些 KMS 密钥,例如:
-
建立和维护他们的密钥策略、IAM 策略和授予
-
启用和禁用它们
-
轮换他们的加密材料
-
添加标签
-
创建引用它们的别名
-
安排它们删除
您还可以使用 CloudTrail 和 Amaz CloudWatch on Logs 来跟踪Amazon KMS代表您Amazon IoT SiteWise发送到的请求。
如果您使用客户托管密钥,则需要授予对存储在账户中的 KMS 密钥的Amazon IoT SiteWise访问权限。 Amazon IoT SiteWise使用封装加密和密钥层次结构加密数据。您的 Amazon KMS 加密密钥用于加密此密钥层次结构的根密钥。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的信封加密。
以下示例策略授予代表您创建客户托管密钥的Amazon IoT SiteWise权限。创建密钥时,需要允许kms:CreateGrant
和kms:DescribeKey
操作。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1603902045292", "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" } ] }
您创建的授权的加密上下文使用您的aws:iotsitewise:subscriberId
和账户 ID。
网关上的静态数据
Amazon IoT SiteWise 网关将以下数据存储在本地文件系统上:
-
OPC-UA 源配置信息
-
来自已连接 OPC-UA 源的 OPC-UA 数据流路径集
-
网关失去 Internet 连接时缓存的工业数据
Amazon IoT SiteWise 网关运行在 Amazon IoT Greengrass 上。Amazon IoT Greengrass 依赖于 Unix 文件权限和全磁盘加密(如果启用)来保护核心上的静态数据。您负责确保文件系统和设备的安全性。
但是,Amazon IoT Greengrass会加密从密钥管理器检索到的 OPC-UA 服务器密钥的本地副本。有关更多信息,请参阅《Amazon IoT Greengrass Version 1开发者指南》中的密钥加密。
有关Amazon IoT Greengrass内核静态加密的更多信息,请参阅Amazon IoT Greengrass Version 1开发者指南中的静态加密。