Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

静态加密

Amazon IoT SiteWise 将您的数据存储在 Amazon 云端和 Amazon IoT SiteWise 边缘网关上。

Amazon 云端静态数据

Amazon IoT SiteWise 将数据存储在默认情况下对静态数据进行加密的其他 Amazon 服务中。静态加密与 Amazon Key Management Service (Amazon KMS) 集成，用于管理加密密钥，该密钥用于加密您的资产属性值和聚合中的值 Amazon IoT SiteWise。您可以选择使用客户托管密钥加密 Amazon IoT SiteWise中的资产属性值和聚合值。您可以通过 Amazon KMS创建、管理和查看您的加密密钥。

您可以选择一个 Amazon 拥有的密钥 来加密您的数据，也可以选择客户管理的密钥来加密您的资产属性值和汇总值：

工作方式

静态加密与集成， Amazon KMS 用于管理用于加密数据的加密密钥。

Amazon 拥有的密钥

Amazon 拥有的密钥 未存储在您的账户中。它们是 KMS 密钥集合的一部分，这些密钥 Amazon 拥有并管理，可在多个 Amazon 账户中使用。 Amazon 服务可以 Amazon 拥有的密钥 用来保护您的数据。

您无法查看、管理 Amazon 拥有的密钥、使用或审核其使用情况。但是无需执行任何工作或更改任何计划即可保护用于加密数据的密钥。

如果您使用，则无需支付月费或使用费 Amazon 拥有的密钥，也不会计入您账户的 Amazon KMS 配额。

客户管理密钥

客户管理密钥是在您的账户中由您创建、拥有和管理的 KMS 密钥。您可以完全控制这些 KMS 密钥，例如：

您还可以使用 CloudTrail 和 Amaz CloudWatch on Logs 来跟踪 Amazon KMS 代表您 Amazon IoT SiteWise 发送的请求。

如果您使用的是客户托管密钥，则需要授予对存储在您账户中的 KMS 密钥的 Amazon IoT SiteWise 访问权限。 Amazon IoT SiteWise 使用信封加密和密钥层次结构来加密数据。您的 Amazon KMS 加密密钥用于加密此密钥层次结构的根密钥。有关更多信息，请参阅 开发人员指南 中的Amazon Key Management Service 信封加密。

以下示例策略授予代表您创建客户托管密钥的 Amazon IoT SiteWise 权限。创建密钥时，需要允许 kms:CreateGrant 和 kms:DescribeKey 操作。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1603902045292",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

您创建的授权的加密上下文使用您的 aws:iotsitewise:subscriberId 和账户 ID。

SiteWise 边缘网关上的静态数据

Amazon IoT SiteWise 网关在本地文件系统上存储以下数据：

SiteWise 边缘网关在上运行 Amazon IoT Greengrass。 Amazon IoT Greengrass 依靠 Unix 文件权限和全盘加密（如果启用）来保护核心上的静态数据。您负责确保文件系统和设备的安全性。

但是， Amazon IoT Greengrass 确实会加密从 Secrets Manager 检索到的 OPC-UA 服务器密钥的本地副本。有关更多信息，请参阅 Amazon IoT Greengrass Version 1 开发人员指南中的密钥加密。

有关 Amazon IoT Greengrass 内核静态加密的更多信息，请参阅《Amazon IoT Greengrass Version 1 开发人员指南》中的静态加密。