メニュー
AWS IoT
開発者ガイド

AWS IoT の Security and Identity

接続された各デバイスには、メッセージブローカーまたは Thing Shadows サービスにアクセスするための認証情報が必要です。AWS IoT からのすべてのトラフィックは Transport Layer Security (TLS) を介して暗号化する必要があります。デバイス認証情報は、メッセージブローカーにデータをセキュアに送信するために、安全な場所に保管する必要があります。AWS クラウドのセキュリティメカニズムは、AWS IoT と他のデバイスの間、または AWS サービス間を移動するデータを保護します。

 Security and Identity の概要
  • お客様は、デバイス認証情報(X.509 証明書、AWS 認証情報)と AWS IoT ポリシーの管理を担当します。また、各デバイスへの一意の ID の割り当て、デバイスまたはデバイスグループに対するアクセス権限の管理も担当します。

  • デバイスは、AWS IoT 接続モデルに従ってセキュアな接続を介して、選択された ID(X.509 証明書、IAM ユーザー/グループ、または Amazon Cognito ID)を使用して接続します。

  • AWS IoT メッセージブローカーは、お客様のアカウントでのすべてのアクションを認証し、必要な権限を付与します。メッセージブローカーの役割は、デバイスを認証し、デバイスデータをセキュアに取り込み、ポリシーを使用してデバイスに付与されたアクセス権限を遵守することです。

  • AWS IoT ルールエンジンは、定義されたルールに従って、他のデバイスと他の AWS サービスにデバイスデータを転送します。また、AWS アクセス管理システムを活用して、その最終的なターゲットにデータをセキュアに転送します。

トランスポートセキュリティ

AWS IoT メッセージブローカーと Thing Shadows サービスでは、TLS とのすべての通信は暗号化されます。TLS は、AWS IoT でサポートされているアプリケーションプロトコル(MQTT、HTTP)の機密性を確保するために使用されます。TLS は、多くのプログラミング言語とオペレーティングシステムで使用できます。

MQTT 用に、TLS はデバイスとブローカーとの間の接続を暗号化します。TLS クライアント認証は、AWS IoT によってデバイスの識別に使用されます。HTTP 用に、TLS はデバイスとブローカーとの間の接続を暗号化します。認証は AWS 署名バージョン 4 に委任されます。

TLS 暗号スイートのサポート

AWS IoT では、以下の暗号スイートがサポートされています。

  • ECDHE-ECDSA-AES128-GCM-SHA256(推奨)

  • ECDHE-RSA-AES128-GCM-SHA256(推奨)

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-ECDSA-AES256- GCM-SHA384

  • ECDHE-RSA-AES256- GCM-SHA384

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA

  • ECDHE-ECDSA-AES256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA256

  • AES128-SHA

  • AES256-GCM-SHA384

  • AES256-SHA256

  • AES256-SHA​

このページの内容: