Device VPC Advisor-Endpunkte ()AWS PrivateLink - AWS IoT Core
Überlegungen zu Endpunkten AWS IoT Core Device Advisor VPCErstellen Sie einen VPC Schnittstellenendpunkt für AWS IoT Core Device AdvisorKontrolle des Zugriffs auf AWS IoT Core Device Advisor mehrere VPC Endpunkte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Device VPC Advisor-Endpunkte ()AWS PrivateLink

Sie können eine private Verbindung zwischen Ihrem Endpunkt VPC und dem AWS IoT Core Device Advisor Testendpunkt (Datenebene) herstellen, indem Sie einen VPCSchnittstellenendpunkt erstellen. Sie können diesen Endpunkt verwenden, um zu überprüfen, ob AWS IoT Geräte zuverlässig und sicher miteinander verbunden sind, AWS IoT Core bevor Sie sie in der Produktion einsetzen. Die vorgefertigten Tests von Device Advisor helfen Ihnen dabei, Ihre Gerätesoftware anhand von Best Practices für die Verwendung von TLSMQTT, Device Shadow und AWS IoT Jobs zu validieren.

AWS PrivateLinkversorgt die Schnittstellenendpunkte, die mit Ihren IoT-Geräten verwendet werden. Mit diesem Dienst können Sie privat auf den AWS IoT Core Device Advisor Testendpunkt zugreifen, ohne dass ein Internet-Gateway, ein NAT Gerät, eine VPN Verbindung oder eine AWS Direct Connect Verbindung erforderlich ist. Instances in Ihrem VPC That Send TCP and MQTT Packets benötigen keine öffentlichen IP-Adressen, um mit AWS IoT Core Device Advisor Testendpunkten zu kommunizieren. Der Verkehr zwischen Ihnen VPC und AWS IoT Core Device Advisor geht nicht weg AWS Cloud. Jegliche TLS MQTT Kommunikation zwischen IoT-Geräten und Device Advisor-Testfällen bleibt innerhalb der Ressourcen in Ihrem AWS-Konto.

Jeder Schnittstellenendpunkt wird durch eine oder mehrere Elastic Network-Schnittstellen in Ihren Subnetzen dargestellt.

Weitere Informationen zur Verwendung von VPC Schnittstellenendpunkten finden Sie unter VPCSchnittstellenendpunkte (AWS PrivateLink) im VPCAmazon-Benutzerhandbuch.

Überlegungen zu Endpunkten AWS IoT Core Device Advisor VPC

Lesen Sie die Eigenschaften und Einschränkungen der Schnittstellenendpunkte im VPCAmazon-Benutzerhandbuch, bevor Sie VPC Schnittstellen-Endpunkte einrichten. Beachten Sie Folgendes, bevor Sie fortfahren:

  • AWS IoT Core Device Advisor unterstützt derzeit Aufrufe an den Device Advisor-Testendpunkt (Datenebene) von Ihrem VPC aus. Ein Message Broker verwendet Kommunikation auf Datenebene, um Daten zu senden und zu empfangen. Dies geschieht mit Hilfe von TLS MQTT UND-Paketen. VPCEndpunkte für die AWS IoT Core Device Advisor Verbindung Ihres AWS IoT Geräts mit Device Advisor-Testendpunkten. APIAktionen auf der Steuerungsebene werden von diesem VPC Endpunkt nicht verwendet. Verwenden Sie die Konsole, eine oder eine AWS Befehlszeilenschnittstelle über das öffentliche InternetAPIs, um eine AWS SDK Testsuite oder eine andere Steuerungsebene zu erstellen oder auszuführen.

  • Die folgenden AWS-Regionen VPC Support-Endpunkte für AWS IoT Core Device Advisor:

    • USA Ost (Nord-Virginia)

    • USA West (Oregon)

    • Asien-Pazifik (Tokio)

    • Europa (Irland)

  • Device Advisor unterstützt MQTT X.509-Clientzertifikate und RSA Serverzertifikate.

  • VPCEndpunktrichtlinien werden derzeit nicht unterstützt.

  • Anweisungen zum Erstellen von Ressourcen, die VPC Endgeräte verbinden, finden Sie unter Voraussetzungen für VPC Endgeräte. Sie müssen private Subnetze erstellenVPC, um Endgeräte verwenden zu können AWS IoT Core Device Advisor VPC.

  • Es gibt Kontingente für Ihre AWS PrivateLink Ressourcen. Weitere Informationen finden Sie unter AWS PrivateLink -Kontingente.

  • VPCEndgeräte unterstützen nur IPv4 Datenverkehr.

Erstellen Sie einen VPC Schnittstellenendpunkt für AWS IoT Core Device Advisor

Um mit VPC Endpunkten zu beginnen, erstellen Sie einen VPC Schnittstellenendpunkt. Wählen Sie AWS IoT Core Device Advisor als Nächstes als. AWS-Service Wenn Sie den verwenden AWS CLI, rufen Sie an, describe-vpc-endpoint-servicesum zu bestätigen, dass er AWS IoT Core Device Advisor sich in einer Availability Zone in Ihrem befindet AWS-Region. Vergewissern Sie sich, dass die dem Endpunkt zugeordnete Sicherheitsgruppe die TCPProtokollkommunikation MQTT und den TLS Datenverkehr zulässt. Verwenden Sie zum Beispiel in der Region USA Ost (Nord-Virginia) den folgenden Befehl: 

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.deviceadvisor.iot

Sie können einen VPC Endpunkt für die AWS IoT Core Verwendung des folgenden Dienstnamens erstellen:

  • com.amazonaws.region.deviceadvisor.iot

Standardmäßig DNS ist privat für den Endpunkt aktiviert. Dadurch wird sichergestellt, dass der Standard-Testendpunkt weiterhin in Ihren privaten Subnetzen verwendet wird. Um Ihren Endpunkt auf Konto- oder Geräteebene zu erhalten, verwenden Sie die Konsole AWS CLI oder einen AWS SDK. Wenn Sie beispielsweise get-endpoint in einem öffentlichen Subnetz oder im öffentlichen Internet ausführen, können Sie Ihren Endpunkt abrufen und ihn verwenden, um eine Verbindung zu Device Advisor herzustellen. Weitere Informationen finden Sie unter Zugreifen auf einen Service über einen Schnittstellenendpunkt im VPCAmazon-Benutzerhandbuch.

Um MQTT Clients mit den VPC Endpunktschnittstellen zu verbinden, erstellt der AWS PrivateLink Service DNS Datensätze in einer privaten, gehosteten Zone, die an Ihre angehängt istVPC. Diese DNS Aufzeichnungen leiten die Anfragen des AWS IoT Geräts an den VPC Endpunkt weiter.

Kontrolle des Zugriffs auf AWS IoT Core Device Advisor mehrere VPC Endpunkte

Sie können den Gerätezugriff auf Endpunkte einschränken AWS IoT Core Device Advisor und den Zugriff nur über VPC Endpunkte zulassen, indem Sie VPC Bedingungskontextschlüssel verwenden. AWS IoT Core unterstützt die folgenden VPC verwandten Kontextschlüssel:

Anmerkung

AWS IoT Core Device Advisor unterstützt derzeit keine VPCEndpunktrichtlinien.

Die folgende Richtlinie gewährt die Erlaubnis, AWS IoT Core Device Advisor mithilfe einer Client-ID, die dem Namen des Dings entspricht, eine Verbindung herzustellen. Außerdem veröffentlicht sie zu jedem Thema, dem der Dingname vorangestellt ist. Die Richtlinie ist abhängig davon, dass das Gerät eine Verbindung zu einem VPC Endpunkt mit einer bestimmten VPC Endpunkt-ID herstellt. Diese Richtlinie verweigert Verbindungsversuche zu Ihrem öffentlichen AWS IoT Core Device Advisor -Testendpunkt. 

{
"Version": "2012-10-17",
    "Statement": [
        {
"Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
            ],
            "Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-1a2b3c4d"
                }
            }
            
        },
        {
"Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*"
            ]
        }
    ]
}