Schlüsselverwaltung für das Greengrass Core-Gerät - AWS IoT Greengrass

AWS IoT Greengrass Version 1 trat am 30. Juni 2023 in die erweiterte Lebensphase ein. Weitere Informationen finden Sie in der AWS IoT Greengrass V1 Wartungsrichtlinie. Nach diesem Datum AWS IoT Greengrass V1 werden keine Updates mehr veröffentlicht, die Funktionen, Verbesserungen, Bugfixes oder Sicherheitspatches bieten. Geräte, die auf laufen, werden AWS IoT Greengrass V1 nicht gestört und funktionieren weiterhin und stellen eine Verbindung zur Cloud her. Wir empfehlen Ihnen dringend, zu migrieren AWS IoT Greengrass Version 2, da dies wichtige neue Funktionen und Unterstützung für zusätzliche Plattformen bietet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schlüsselverwaltung für das Greengrass Core-Gerät

Es liegt in der Verantwortung des Kunden, die sichere Speicherung von kryptografischen (öffentlichen und privaten) Schlüsseln auf dem Greengrass-Kerngerät zu gewährleisten. AWS IoT Greengrass verwendet öffentliche und private Schlüssel für die folgenden Szenarien:

  • Der IoT-Clientschlüssel wird zusammen mit dem IoT-Zertifikat verwendet, um den Transport Layer Security (TLS) Handshake zu authentifizieren, wenn ein Greengrass-Kern eine Verbindung zu AWS IoT Core herstellt. Weitere Informationen finden Sie unter Geräteauthentifizierung und -autorisierung für AWS IoT Greengrass.

    Anmerkung

    Der Schlüssel und das Zertifikat werden auch als der private Core-Schlüssel und das Core-Gerätezertifikat bezeichnet.

  • Der MQTT-Serverschlüssel wird mit dem MQTT-Serverzertifikat zur Authentifizierung von TLS-Verbindungen zwischen Kern- und Clientgeräten verwendet. Weitere Informationen finden Sie unter Geräteauthentifizierung und -autorisierung für AWS IoT Greengrass.

  • Der lokale Secrets Manager verwendet auch den IoT-Clientschlüssel, um den Datenschlüssel zu schützen, der zum Verschlüsseln lokaler Geheimnisse verwendet wird. Sie können jedoch Ihren eigenen privaten Schlüssel angeben. Weitere Informationen finden Sie unter Secrets-Verschlüsselung.

Ein Greengrass-Kern unterstützt den privaten Schlüsselspeicher mithilfe von Dateisystemberechtigungen, Hardwaresicherheitsmodulen oder beiden. Wenn Sie auf dem Dateisystem basierende private Schlüssel verwenden, sind Sie für die sichere Speicherung auf dem Kerngerät verantwortlich.

Auf einem Greengrass-Kern wird der Speicherort Ihrer privaten Schlüssel im crypto-Abschnitt der config.json-Datei angegeben. Wenn Sie den Kern so konfigurieren, dass er einen vom Kunden bereitgestellten Schlüssel für das MQTT-Serverzertifikat verwendet, liegt es in Ihrer Verantwortung, den Schlüssel zu rotieren. Weitere Informationen finden Sie unter AWS IoT Greengrass Kernsicherheitsprinzipale.

Bei Client-Geräten liegt es in Ihrer Verantwortung, den TLS-Stack auf dem neuesten Stand zu halten und private Schlüssel zu schützen. Private Schlüssel werden mit Gerätezertifikaten verwendet, um TLS-Verbindungen mit dem AWS IoT Greengrass-Service zu authentifizieren.