静态加密 - Amazon IoT SiteWise
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

静态加密

Amazon IoT SiteWise 将您的数据存储在 Amazon 云和网关上。

Amazon 云中的静态数据

Amazon IoT SiteWise 将数据存储在默认加密静态数据的其他 Amazon 服务中。静态加密与Amazon Key Management Service(Amazon KMS) 用于管理用于加密您的资产属性值和聚合值的加密密钥Amazon IoT SiteWise。您可以选择使用客户托管密钥来加密资产属性值和汇总值Amazon IoT SiteWise。您可以通过创建、管理和查看您的加密密钥Amazon KMS。

你可以选择一个Amazon 拥有的密钥要加密您的数据,或者选择客户管理的密钥来加密您的资产属性值和汇总值:

工作原理

静态加密与Amazon KMS用于管理用于加密数据的加密密钥。

  • Amazon 拥有的密钥— 默认加密密钥。Amazon IoT SiteWise拥有这把钥匙。你无法在你的账户中查看这个密钥Amazon账户。你也看不到对密钥的操作Amazon CloudTrail日志。您无需支付额外费用即可使用此钥匙。

  • 客户管理的密钥-密钥存储在您的账户中,由您创建、拥有和管理。您可以完全控制 KMS 密钥。额外Amazon KMS需收费。

Amazon 拥有的密钥

Amazon 拥有的密钥未存储在您的账户中。它们是 KMS 密钥集合的一部分Amazon拥有并管理用于多个Amazon账户。Amazon服务可以使用Amazon 拥有的密钥以保护您的数据。

你无法查看、管理、使用Amazon 拥有的密钥,或者审计其使用情况。但是,您无需做任何工作或更改任何程序来保护加密数据的密钥。

如果您使用,则无需支付月费或使用费Amazon 拥有的密钥,而且它们不算在内Amazon KMS您账户的配额。

客户托管密钥

客户托管密钥是在您的 账户中由您创建、拥有和管理的 KMS 密钥。您可以完全控制这些 KMS 密钥,例如:

  • 制定和维护他们的关键策略、IAM 策略和资助

  • 启用和禁用它们

  • 轮换他们的加密材料

  • 添加标签

  • 创建引用它们的别名

  • 安排将其删除

你也可以使用 CloudTrail 和亚马逊 CloudWatch 用于跟踪请求的日志Amazon IoT SiteWise发送到Amazon KMS代表你。

如果您使用的是客户托管密钥,则需要授予Amazon IoT SiteWise访问存储在您账户中的 KMS 密钥。Amazon IoT SiteWise使用信封加密和密钥层次结构来加密数据。您的 Amazon KMS 加密密钥用于加密此密钥层次结构的根密钥。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的信封加密

以下示例策略授权Amazon IoT SiteWise代表您创建客户托管密钥的权限。创建密钥时,需要允许kms:CreateGrantkms:DescribeKey行动。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1603902045292", "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" } ] }

您创建的授权的加密上下文使用您的aws:iotsitewise:subscriberId和账户 ID。

网关上的静态数据

Amazon IoT SiteWise 网关将以下数据存储在本地文件系统上:

  • OPC-UA 源配置信息

  • 来自已连接 OPC-UA 源的 OPC-UA 数据流路径集

  • 网关失去 Internet 连接时缓存的工业数据

Amazon IoT SiteWise 网关运行在 Amazon IoT Greengrass 上。Amazon IoT Greengrass 依赖于 Unix 文件权限和全磁盘加密(如果启用)来保护核心上的静态数据。您负责确保文件系统和设备的安全性。

但是,Amazon IoT Greengrass确实会加密从 Secrets Manager 检索到的 OPC-UA 服务器密钥的本地副本。有关更多信息,请参阅秘密加密Amazon IoT Greengrass Version 1开发者指南

有关静态加密的更多信息,请访问Amazon IoT Greengrass内核,请参阅静态加密Amazon IoT Greengrass Version 1开发者指南