本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 中的靜態加密 AWS IoT SiteWise
<a name="encryption-at-rest"></a>

AWS IoT SiteWise 會將您的資料存放在 AWS 雲端和 AWS IoT SiteWise Edge 閘道。

## AWS 雲端中的靜態資料
<a name="cloud-encryption-at-rest"></a>

AWS IoT SiteWise 會將資料存放在依預設加密靜態資料的 AWS 其他服務中。靜態加密與 AWS Key Management Service (AWS KMS) 整合，用於管理用來加密資產屬性值和彙總值的加密金鑰 AWS IoT SiteWise。您可以選擇使用客戶受管金鑰來加密資產屬性值和彙總值 AWS IoT SiteWise。您可以透過 建立、管理和檢視加密金鑰 AWS KMS。

您可以選擇 AWS 擁有的金鑰 來加密您的資料，或選擇客戶受管金鑰來加密資產屬性值和彙總值：

### 運作方式
<a name="how-it-works"></a>

靜態加密與 整合 AWS KMS ，用於管理用來加密資料的加密金鑰。
+ AWS 擁有的金鑰 – 預設加密金鑰。 AWS IoT SiteWise 擁有此金鑰。您無法在 AWS 帳戶中檢視此金鑰。您也無法在 AWS CloudTrail 日誌中查看金鑰的操作。您可以使用此金鑰，無需額外費用。
+ 客戶受管金鑰 – 金鑰存放在您的帳戶中，由您建立、擁有和管理。您可以完全控制 KMS 金鑰。 AWS KMS 需支付額外費用。

### AWS 擁有的金鑰
<a name="aws-owned-cmk"></a>

AWS 擁有的金鑰 不會存放在您的帳戶中。它們是 KMS 金鑰集合的一部分，這些金鑰 AWS 擁有和管理以在多個 AWS 帳戶中使用。 AWS services 可以使用 AWS 擁有的金鑰 來保護您的資料。

 您無法檢視、管理 AWS 擁有的金鑰、使用或稽核其使用方式。不過，您不需要進行任何工作或變更任何程式，即可保護加密資料的金鑰。

 如果您使用 ，則無需支付月費或使用費 AWS 擁有的金鑰，也不會計入您帳戶的 AWS KMS 配額。

### 客戶自管金鑰
<a name="customer-managed-cmk"></a>

客戶自管金鑰為您在 帳戶中建立、擁有和管理的 KMS 金鑰。您可以完全控制這些 KMS 金鑰，如下所示：
+ 建立和維護其金鑰政策、IAM 政策和授權
+ 啟用和停用它們
+ 輪換其密碼編譯資料
+ 新增 標籤
+ 建立參考它們的別名 
+ 排程刪除它們



您也可以使用 CloudTrail 和 Amazon CloudWatch Logs 來追蹤 AWS KMS 代表您 AWS IoT SiteWise 傳送到 的請求。

 如果您使用客戶受管金鑰，則需要授予您帳戶中存放之 KMS 金鑰的 AWS IoT SiteWise 存取權。 AWS IoT SiteWise 會使用信封加密和金鑰階層來加密資料。您的 AWS KMS 加密金鑰用於加密此金鑰階層的根金鑰。如需詳細資訊，請參閱《AWS Key Management Service 開發人員指南》中的[封套加密](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping)。

 下列範例政策會代表您授予建立客戶受管金鑰的 AWS IoT SiteWise 許可。建立金鑰時，您需要允許 `kms:CreateGrant`和 `kms:DescribeKey`動作。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Stmt1603902045292",
      "Action": [
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

------

 您建立之授權的加密內容會使用您的 `aws:iotsitewise:subscriberId`和 帳戶 ID。

## SiteWise Edge 閘道上的靜態資料
<a name="gateway-encryption-at-rest"></a>

AWS IoT SiteWise 閘道會將下列資料存放在本機檔案系統上：
+ OPC UA 來源組態資訊
+ 來自連線 OPC UA 來源的一組 OPC UA 資料串流路徑
+ SiteWise Edge 閘道失去網際網路連線時快取的工業資料

SiteWise Edge 閘道會在 Unix 檔案許可和全磁碟加密 （如果啟用） 上執行 on AWS IoT Greengrass. AWS IoT Greengrass relies，以保護核心上的靜態資料。保護檔案系統和裝置是您的責任。

不過， AWS IoT Greengrass 會加密從 Secrets Manager 擷取的 OPC UA 伺服器秘密的本機副本。如需詳細資訊，請參閱《 *AWS IoT Greengrass Version 1 開發人員指南*》中的[秘密加密](https://docs.aws.amazon.com/greengrass/v1/developerguide/secrets.html#secrets-encryption)。

如需 AWS IoT Greengrass 核心上靜態加密的詳細資訊，請參閱《 *AWS IoT Greengrass Version 1 開發人員指南*》中的[靜態加密](https://docs.aws.amazon.com/greengrass/v1/developerguide/encryption-at-rest.html)。