デバイスプロビジョニング

AWS には、デバイスをプロビジョニングし、一意のクライアント証明書をデバイスにインストールするさまざまな方法が用意されています。このセクションでは、各方法と、IoT ソリューションに最適な方法を選択する方法について説明します。これらのオプションについては、「Device Manufacturing and Provisioning with X.509 Certificates in AWS IoT Core」(IoTCore における X.509 証明書を使ったデバイス製造およびプロビジョニング) というタイトルのホワイトペーパーで詳しく説明しています。

状況に最も適したオプションを選択してください

• 証明書は、配送前に IoT デバイスにインストールできます。

  エンドユーザーが使用できるように配信する前に IoT デバイスに一意のクライアント証明書を安全にインストールできる場合は、just-in-timeプロビジョニング (JITP) またはjust-in-time登録 (JITR) を使用します。

  JITP と JITR を使用すると、デバイス証明書の署名に使用される認証局 (CA) は に登録 AWS IoT され、デバイスが最初に接続 AWS IoT したときに によって認識されます。デバイスは、プロビジョニングテンプレートの詳細を使用して、最初の接続 AWS IoT で にプロビジョニングされます。

  一意の証明書を持つデバイスの単一のモノ、JITP、JITR、およびバルクプロビジョニングの詳細については、「デバイス証明書があるデバイスのプロビジョニング」を参照してください。

• エンドユーザーまたはインストーラは、アプリケーションを使用して IoT デバイスに証明書をインストールできます

  エンドユーザーに配信される前に IoT デバイスに一意のクライアント証明書を安全にインストールできないが、エンドユーザーまたはインストーラがアプリケーションを使用してデバイスを登録し、一意のデバイス証明書をインストールできる場合は、信頼できるユーザープロセスによるプロビジョニングを使用する必要があります。

  エンドユーザーや既知のアカウントを持つインストーラなどの信頼できるユーザーを使用すると、デバイスの製造プロセスを簡素化できます。デバイスには、一意のクライアント証明書の代わりに、デバイスが に 5 分間 AWS IoT だけ接続できるようにする一時的な証明書があります。この 5 分間で、信頼されたユーザーは有効期限の長い一意のクライアント証明書を取得し、デバイスにインストールします。クレーム証明書には有効期限があるため、証明書のセキュリティが侵害された場合のリスクを最小限は最小限に抑えられます。

  詳細については、「信頼されたユーザーによるプロビジョニング」を参照してください。

• エンドユーザーは、アプリケーションを使用して IoT デバイスに証明書をインストールすることはできません

  上記のオプションのいずれも IoT ソリューションで機能しない場合は、クレームプロセスによるプロビジョニングを使用します。このプロセスでは、IoT デバイスには、フリート内の他のデバイスによって共有されるクレーム証明書があります。デバイスがクレーム証明書に初めて接続すると、 はプロビジョニングテンプレートを使用してデバイス AWS IoT を登録し、 への後続のアクセスのために一意のクライアント証明書をデバイスに発行します AWS IoT。

  このオプションは、デバイスが に接続するときにデバイスの自動プロビジョニングを有効にしますが AWS IoT、クレーム証明書が侵害された場合に大きなリスクが生じる可能性があります。クレーム証明書のセキュリティが侵害された場合は、証明書を無効化できます。クレーム証明書を無効化すると、そのクレーム証明書を持つすべてのデバイスが今後登録されなくなります。ただし、クレーム証明書を無効にしても、既にプロビジョニングされているデバイスはブロックされません。

  詳細については、「クレームによるプロビジョニング」を参照してください。

AWS IoT のデバイスをプロビジョニングする

でデバイスをプロビジョニングするときは AWS IoT、デバイスと が安全に AWS IoT 通信できるように リソースを作成する必要があります。デバイスフリートの管理に役立つその他のリソースを作成できます。プロビジョニングプロセスでは、次のリソースを作成できます。

• IoT モノ。

  IoT のモノは、 AWS IoT デバイスレジストリのエントリです。各モノには一意の名前と属性のセットがあり、物理デバイスに関連付けられています。モノはモノの種類を使用して定義することも、モノグループにグループ化することもできます。詳細については、「によるデバイスの管理 AWS IoT」を参照してください。

  必須ではありませんが、モノを作成することで、モノの種類、モノグループ、およびモノ属性でデバイスを検索し、デバイスフリートをより効率的に管理できます。詳細については、「フリートインデックス作成」を参照してください。

  注記

  Fleet Hub がモノの接続ステータスデータのインデックスを作成するには、モノをプロビジョニングし、モノの名前が Connect リクエストで使用されるクライアント ID と一致するように設定します。

• X.509 証明書。

  デバイスは X.509 証明書を使用して、 との相互認証を実行します AWS IoT。既存の証明書を登録するか、 に新しい証明書 AWS IoT を生成して登録させることができます。証明書を、デバイスを表すモノにアタッチすることで、デバイスと関連付けることができます。また、証明書および関連付けられたプライベートキーをデバイスにコピーする必要もあります。デバイスは、 に接続するときに証明書を提示します AWS IoT。詳細については、「認証」を参照してください。

• IoT ポリシー。

  IoT ポリシーは、デバイスが AWS IoT で実行できるオペレーションを定義します。IoT ポリシーはデバイス証明書にアタッチされます。デバイスが証明書を に提示すると AWS IoT、ポリシーで指定されたアクセス許可が付与されます。詳細については、「認証」を参照してください。各デバイスには、 AWS IoT と通信する証明書が必要です。

AWS IoT は、プロビジョニングテンプレートを使用した自動フリートプロビジョニングをサポートします。プロビジョニングテンプレートは、デバイスのプロビジョニング AWS IoT に必要な リソースを記述します。テンプレートには、1 つのテンプレートを使用して複数のデバイスをプロビジョニングできる変数が含まれています。デバイスをプロビジョニングするときは、ディクショナリまたはマップを使用して、デバイスに固有の変数の値を指定します。別のデバイスをプロビジョニングするには、ディクショナリに新しい値を指定します。

デバイスに固有の証明書 (および関連するプライベートキー) があるかどうかにかかわらず、自動プロビジョニングを使用できます。

フリートプロビジョニング API

フリートプロビジョニングで使用されるAPIには、いくつかのカテゴリがあります。

• これらのコントロールプレーン機能は、フリートのプロビジョニングテンプレートを作成および管理し、信頼できるユーザーポリシーを設定します。

  • CreateProvisioningTemplate

  • CreateProvisioningTemplateVersion

  • DeleteProvisioningTemplate

  • DeleteProvisioningTemplateVersion

  • DescribeProvisioningTemplate

  • DescribeProvisioningTemplateVersion

  • ListProvisioningTemplates

  • ListProvisioningTemplateVersions

  • UpdateProvisioningTemplate

• 信頼されたユーザーは、このコントロールプレーン機能を使用して、一時的なオンボーディング要求を生成できます。この一時的なクレームは、Wi-Fi 設定または同様の方法を通じてデバイスに渡されます。

  • CreateProvisioningClaim

• プロビジョニング処理中に使用される MQTT API。プロビジョニング要求証明書が埋め込まれているデバイスによって使用され、信頼されたユーザーによってそのデバイスに渡されます。

  • CreateCertificateFromCsr

  • CreateKeysAndCertificate

  • RegisterThing