本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
静态加密
Amazon IoT SiteWise 将您的数据存储在 Amazon 云和网关上。
Amazon 云中的静态数据
Amazon IoT SiteWise 将数据存储在默认加密静态数据的其他 Amazon 服务中。静态加密与Amazon Key Management Service(Amazon KMS) 用于管理用于加密您的资产属性值和聚合值的加密密钥Amazon IoT SiteWise。您可以选择使用客户托管密钥来加密资产属性值和汇总值Amazon IoT SiteWise。您可以通过创建、管理和查看您的加密密钥Amazon KMS。
你可以选择一个Amazon 拥有的密钥要加密您的数据,或者选择客户管理的密钥来加密您的资产属性值和汇总值:
工作原理
静态加密与Amazon KMS用于管理用于加密数据的加密密钥。
-
Amazon 拥有的密钥— 默认加密密钥。Amazon IoT SiteWise拥有这把钥匙。你无法在你的账户中查看这个密钥Amazon账户。你也看不到对密钥的操作Amazon CloudTrail日志。您无需支付额外费用即可使用此钥匙。
-
客户管理的密钥-密钥存储在您的账户中,由您创建、拥有和管理。您可以完全控制 KMS 密钥。额外Amazon KMS需收费。
Amazon 拥有的密钥
Amazon 拥有的密钥未存储在您的账户中。它们是 KMS 密钥集合的一部分Amazon拥有并管理用于多个Amazon账户。Amazon服务可以使用Amazon 拥有的密钥以保护您的数据。
你无法查看、管理、使用Amazon 拥有的密钥,或者审计其使用情况。但是,您无需做任何工作或更改任何程序来保护加密数据的密钥。
如果您使用,则无需支付月费或使用费Amazon 拥有的密钥,而且它们不算在内Amazon KMS您账户的配额。
客户托管密钥
客户托管密钥是在您的 账户中由您创建、拥有和管理的 KMS 密钥。您可以完全控制这些 KMS 密钥,例如:
-
制定和维护他们的关键策略、IAM 策略和资助
-
启用和禁用它们
-
轮换他们的加密材料
-
添加标签
-
创建引用它们的别名
-
安排将其删除
你也可以使用 CloudTrail 和亚马逊 CloudWatch 用于跟踪请求的日志Amazon IoT SiteWise发送到Amazon KMS代表你。
如果您使用的是客户托管密钥,则需要授予Amazon IoT SiteWise访问存储在您账户中的 KMS 密钥。Amazon IoT SiteWise使用信封加密和密钥层次结构来加密数据。您的 Amazon KMS 加密密钥用于加密此密钥层次结构的根密钥。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的信封加密。
以下示例策略授权Amazon IoT SiteWise代表您创建客户托管密钥的权限。创建密钥时,需要允许kms:CreateGrant
和kms:DescribeKey
行动。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1603902045292", "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Effect": "Allow", "Resource": "*" } ] }
您创建的授权的加密上下文使用您的aws:iotsitewise:subscriberId
和账户 ID。
网关上的静态数据
Amazon IoT SiteWise 网关将以下数据存储在本地文件系统上:
-
OPC-UA 源配置信息
-
来自已连接 OPC-UA 源的 OPC-UA 数据流路径集
-
网关失去 Internet 连接时缓存的工业数据
Amazon IoT SiteWise 网关运行在 Amazon IoT Greengrass 上。Amazon IoT Greengrass 依赖于 Unix 文件权限和全磁盘加密(如果启用)来保护核心上的静态数据。您负责确保文件系统和设备的安全性。
但是,Amazon IoT Greengrass确实会加密从 Secrets Manager 检索到的 OPC-UA 服务器密钥的本地副本。有关更多信息,请参阅秘密加密在Amazon IoT Greengrass Version 1开发者指南。
有关静态加密的更多信息,请访问Amazon IoT Greengrass内核,请参阅静态加密在Amazon IoT Greengrass Version 1开发者指南。