静态加密 - Amazon IoT SiteWise
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

静态加密

Amazon IoT SiteWise 将您的数据存储在 Amazon 云和网关上。

Amazon 云中的静态数据

Amazon IoT SiteWise 将数据存储在默认加密静态数据的其他 Amazon 服务中。静态加密集成Amazon Key Management Service (Amazon KMS),管理用于加密您的资产属性值和汇总值的加密密钥Amazon IoT SiteWise。您可以选择使用客户托管密钥加密中的资产属性值和聚合值Amazon IoT SiteWise。您可以通过创建、管理和查看您的加密密钥Amazon KMS。

您可以选择加密您的数据,也可以选择客户管理的密钥来加密您的资产属性值和聚合值:Amazon 拥有的密钥

工作原理

静态加密集成管理Amazon KMS用于加密数据的加密密钥。

  • Amazon 拥有的密钥— 默认加密密钥。 Amazon IoT SiteWise拥有这个密钥。您无法在Amazon账户中查看此密钥。您也无法在Amazon CloudTrail日志中看到对密钥的操作。您可免费使用此密钥不收取额外费用。

  • 客户托管密钥 — 密钥存储在账户中,由您创建、拥有和管理。您对 KMS 密钥拥有全部控制权。将Amazon KMS收取额外费用。

Amazon 拥有的密钥

Amazon 拥有的密钥未存储在您的账户中。它们是Amazon拥有和管理的用于多个Amazon账户的 KMS 密钥集合的一部分。 Amazon服务可用于Amazon 拥有的密钥保护您的数据。

您无法查看、管理Amazon 拥有的密钥、使用或审计其使用情况。但是,您无需执行任何工作或更改任何计划即可保护用于加密数据的密钥。

如果您使用,无需支付月费或使用费Amazon 拥有的密钥,它们不会计入账户的Amazon KMS配额。

客户托管密钥

客户托管密钥是在您的 账户中由您创建、拥有和管理的 KMS 密钥。您可以完全控制这些 KMS 密钥,例如:

  • 建立和维护他们的密钥策略、IAM 策略和授予

  • 启用和禁用它们

  • 轮换他们的加密材料

  • 添加标签

  • 创建引用它们的别名

  • 安排它们删除

您还可以使用 CloudTrail 和 Amaz CloudWatch on Logs 来跟踪Amazon KMS代表您Amazon IoT SiteWise发送到的请求。

如果您使用客户托管密钥,则需要授予对存储在账户中的 KMS 密钥的Amazon IoT SiteWise访问权限。 Amazon IoT SiteWise使用封装加密和密钥层次结构加密数据。您的 Amazon KMS 加密密钥用于加密此密钥层次结构的根密钥。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的信封加密

以下示例策略授予代表您创建客户托管密钥的Amazon IoT SiteWise权限。创建密钥时,需要允许kms:CreateGrantkms:DescribeKey操作。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1603902045292", "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" } ] }

您创建的授权的加密上下文使用您的aws:iotsitewise:subscriberId和账户 ID。

网关上的静态数据

Amazon IoT SiteWise 网关将以下数据存储在本地文件系统上:

  • OPC-UA 源配置信息

  • 来自已连接 OPC-UA 源的 OPC-UA 数据流路径集

  • 网关失去 Internet 连接时缓存的工业数据

Amazon IoT SiteWise 网关运行在 Amazon IoT Greengrass 上。Amazon IoT Greengrass 依赖于 Unix 文件权限和全磁盘加密(如果启用)来保护核心上的静态数据。您负责确保文件系统和设备的安全性。

但是,Amazon IoT Greengrass会加密从密钥管理器检索到的 OPC-UA 服务器密钥的本地副本。有关更多信息,请参阅《Amazon IoT Greengrass Version 1开发者指南》中的密钥加密

有关Amazon IoT Greengrass内核静态加密的更多信息,请参阅Amazon IoT Greengrass Version 1开发者指南中的静态加密