本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 静态加密 AWS IoT SiteWise
<a name="encryption-at-rest"></a>

AWS IoT SiteWise 将您的数据存储在 AWS 云端和 AWS IoT SiteWise 边缘网关上。

## AWS 云端静态数据
<a name="cloud-encryption-at-rest"></a>

AWS IoT SiteWise 将数据存储在默认情况下对静态数据进行加密的其他 AWS 服务中。静态加密与 AWS Key Management Service (AWS KMS) 集成，用于管理加密密钥，该密钥用于加密您的资产属性值和聚合中的值 AWS IoT SiteWise。您可以选择使用客户托管密钥加密 AWS IoT SiteWise中的资产属性值和聚合值。您可以通过 AWS KMS创建、管理和查看您的加密密钥。

您可以选择一个 AWS 拥有的密钥 来加密您的数据，也可以选择客户管理的密钥来加密您的资产属性值和汇总值：

### 工作原理
<a name="how-it-works"></a>

静态加密与集成， AWS KMS 用于管理用于加密数据的加密密钥。
+ AWS 拥有的密钥 — 默认加密密钥。 AWS IoT SiteWise 拥有这把钥匙。您无法在 AWS 账户中查看此密钥。您也无法在 AWS CloudTrail 日志中查看对密钥的操作。使用此密钥不会产生额外的费用。
+ 客户托管密钥 - 此密钥存储在您的账户中，由您创建、拥有和管理。您对 KMS 密钥拥有完全控制权。需 AWS KMS 支付额外费用。

### AWS 拥有的密钥
<a name="aws-owned-cmk"></a>

AWS 拥有的密钥 未存储在您的账户中。它们是 KMS 密钥集合的一部分，这些密钥 AWS 拥有并管理，可在多个 AWS 账户中使用。 AWS 服务可以 AWS 拥有的密钥 用来保护您的数据。

 您无法查看、管理 AWS 拥有的密钥、使用或审核其使用情况。但是无需执行任何工作或更改任何计划即可保护用于加密数据的密钥。

 如果您使用，则无需支付月费或使用费 AWS 拥有的密钥，也不会计入您账户的 AWS KMS 配额。

### 客户管理密钥
<a name="customer-managed-cmk"></a>

客户管理密钥是在您的账户中由您创建、拥有和管理的 KMS 密钥。您可以完全控制这些 KMS 密钥，例如：
+ 制定和维护密钥策略、IAM 策略和授权
+ 启用和禁用 KMS 密钥
+ 轮换 KMS 密钥的加密材料
+ 添加 标签
+ 创建引用 KMS 密钥的别名 
+ 安排删除 KMS 密钥



您还可以使用 CloudTrail 和 Amaz CloudWatch on Logs 来跟踪 AWS KMS 代表您 AWS IoT SiteWise 发送的请求。

 如果您使用的是客户托管密钥，则需要授予对存储在您账户中的 KMS 密钥的 AWS IoT SiteWise 访问权限。 AWS IoT SiteWise 使用信封加密和密钥层次结构来加密数据。您的 AWS KMS 加密密钥用于加密此密钥层次结构的根密钥。有关更多信息，请参阅《AWS Key Management Service 开发人员指南》**中的[信封加密](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping)。

 以下示例策略授予代表您创建客户托管密钥的 AWS IoT SiteWise 权限。创建密钥时，需要允许 `kms:CreateGrant` 和 `kms:DescribeKey` 操作。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Stmt1603902045292",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

------

 您创建的授权的加密上下文使用您的 `aws:iotsitewise:subscriberId` 和账户 ID。

## SiteWise 边缘网关上的静态数据
<a name="gateway-encryption-at-rest"></a>

AWS IoT SiteWise 网关在本地文件系统上存储以下数据：
+ OPC UA 源配置信息
+ 来自已连接 OPC UA 源的 OPC UA 数据流路径集
+ 当 SiteWise Edge 网关失去与互联网的连接时，工业数据会被缓存

SiteWise 边缘网关在上运行 AWS IoT Greengrass。 AWS IoT Greengrass 依靠 Unix 文件权限和全盘加密（如果启用）来保护核心上的静态数据。您负责确保文件系统和设备的安全性。

但是， AWS IoT Greengrass 确实会加密从 Secrets Manager 检索到的 OPC UA 服务器密钥的本地副本。有关更多信息，请参阅 *AWS IoT Greengrass Version 1 开发人员指南*中的[密钥加密](https://docs.aws.amazon.com/greengrass/v1/developerguide/secrets.html#secrets-encryption)。

有关 AWS IoT Greengrass 内核静态加密的更多信息，请参阅《*AWS IoT Greengrass Version 1 开发人员指南*》中的[静态](https://docs.aws.amazon.com/greengrass/v1/developerguide/encryption-at-rest.html)加密。