Gerätebereitstellung

AWS bietet verschiedene Möglichkeiten, ein Gerät bereitzustellen und eindeutige Client-Zertifikate darauf zu installieren. In diesem Abschnitt werden die einzelnen Möglichkeiten beschrieben und erläutert, wie Sie die beste für Ihre IoT-Lösung auswählen. Diese Optionen werden im Whitepaper mit dem Titel Herstellung und Bereitstellung von Geräten mit X.509-Zertifikaten in AWS IoT Core ausführlich beschrieben.

Wählen Sie die für Sie geeignete Option aus.

• Sie können Zertifikate auf IoT-Geräten installieren, bevor sie geliefert werden.

  Wenn Sie eindeutige Client-Zertifikate sicher auf Ihren IoT-Geräten installieren können, bevor sie an die Endbenutzer geliefert werden, sollten Sie das Just-in-Time-Provisioning (JITP) oder die Just-in-Time-Registrierung (JITR) verwenden.

  Mithilfe von JITP und JITR wird die Zertifizierungsstelle (CA), die zum Signieren des Gerätezertifikats verwendet wird, bei ihr registriert AWS IoT und erkannt, AWS IoT wenn das Gerät zum ersten Mal eine Verbindung herstellt. Das Gerät wird AWS IoT bei seiner ersten Verbindung mithilfe der Details seiner Bereitstellungsvorlage bereitgestellt.

  Weitere Informationen zur Single-Thing-, JITP-, JITR- und Massenbereitstellung von Geräten mit eindeutigen Zertifikaten finden Sie unter Bereitstellen von Geräten mit Gerätezertifikaten.

• Endbenutzer oder Installateure können eine App verwenden, um Zertifikate auf ihren IoT-Geräten zu installieren.

  Wenn Sie eindeutige Client-Zertifikate nicht sicher auf Ihrem IoT-Gerät installieren können, bevor sie an die Endbenutzer geliefert werden, die Endbenutzer oder Installateure jedoch eine App verwenden können, um die Geräte zu registrieren und die eindeutigen Gerätezertifikate zu installieren, sollten Sie die Bereitstellung durch vertrauenswürdige Benutzer verwenden.

  Die Verwendung von vertrauenswürdigen Benutzern, z. B. Endbenutzern oder Installateuren mit bekanntem Konto, kann den Geräteherstellungsprozess vereinfachen. Anstatt eines eindeutigen Client-Zertifikats verfügen Geräte über ein temporäres Zertifikat, mit dem das Gerät nur 5 Minuten AWS IoT lang eine Verbindung herstellen kann. Während dieses 5-minütigen Zeitfensters erhalten vertrauenswürdige Benutzer ein eindeutiges Client-Zertifikat mit einer längeren Lebensdauer, das sie auf dem Gerät installieren können. Durch die begrenzte Gültigkeitsdauer des Antragszertifikats wird das Risiko kompromittierter Zertifikate minimiert.

  Weitere Informationen finden Sie unter Bereitstellung durch vertrauenswürdigen Benutzer.

• Endbenutzer können KEINE App verwenden, um Zertifikate auf ihren IoT-Geräten zu installieren.

  Wenn keine der vorherigen Optionen in Ihrer IoT-Lösung funktioniert, ist für Sie die Bereitstellung durch Anspruch eine Option. Mit diesem Prozess verfügen Ihre IoT-Geräte über ein Antragszertifikat, das gemeinsam von anderen Geräten in der Flotte genutzt wird. Wenn ein Gerät zum ersten Mal eine Verbindung mit einem Antragszertifikat herstellt, AWS IoT registriert es das Gerät mithilfe seiner Bereitstellungsvorlage und stellt dem Gerät sein eindeutiges Client-Zertifikat für den späteren Zugriff AWS IoT aus.

  Diese Option ermöglicht die automatische Bereitstellung eines Geräts, wenn es eine Verbindung herstellt AWS IoT, könnte jedoch ein größeres Risiko darstellen, wenn das Antragszertifikat kompromittiert wird. Wenn ein Antragszertifikat kompromittiert wird, können Sie das Zertifikat deaktivieren. Durch die Deaktivierung des Antragszertifikats wird verhindert, dass in Zukunft Geräte mit diesem Antragszertifikat registriert werden. Durch die Deaktivierung des Antragszertifikats werden jedoch keine Geräte blockiert, die bereits bereitgestellt wurden.

  Weitere Informationen finden Sie unter Bereitstellung durch Anspruch.

Bereitstellen von Geräten in AWS IoT

Wenn Sie ein Gerät mit bereitstellen AWS IoT, müssen Sie Ressourcen einrichten, damit Ihre Geräte und Geräte sicher kommunizieren AWS IoT können. Weitere Ressourcen können erstellt werden, um Ihnen bei der Verwaltung Ihrer Geräteflotte zu helfen. Die folgenden Ressourcen können während des Bereitstellungsprozesses erstellt werden:

• Ein IoT-Objekt

  IoT-Dinge sind Einträge in der AWS IoT Geräteregistrierung. Jedes Objekt hat einen eindeutigen Namen und einen Satz von Attributen und ist mit einem physischen Gerät verbunden. Objekte können mit einem Objekttyp definiert oder in Objektgruppen gruppiert werden. Weitere Informationen finden Sie unter Geräte verwalten mit AWS IoT.

  Obwohl nicht erforderlich, ermöglicht es das Erstellen eines Objekts, Ihre Geräteflotte effektiver zu verwalten, indem Sie Geräte nach Objekttyp, Objektgruppe und Objektattributen suchen. Weitere Informationen finden Sie unter -Flottenindizierung.

  Anmerkung

  Um die Konnektivitätsstatusdaten Ihres Dings zu indizieren, stellen Sie Ihr Ding bereit und konfigurieren Sie es so, dass der Name des Dings mit der Client-ID übereinstimmt, die in der Connect-Anfrage verwendet wurde.

• Ein X.509-Zertifikat.

  Geräte verwenden X.509-Zertifikate für die gegenseitige Authentifizierung mit AWS IoT. Sie können ein vorhandenes Zertifikat registrieren oder ein neues Zertifikat für Sie AWS IoT generieren und registrieren lassen. Sie ordnen einem Gerät ein Zertifikat zu, indem Sie es an das Objekt anhängen, das für das Gerät steht. Sie müssen auch das Zertifikat und den zugehörigen privaten Schlüssel auf das Gerät kopieren. Geräte legen das Zertifikat vor, wenn sie eine Verbindung herstellen AWS IoT. Weitere Informationen finden Sie unter Authentifizierung.

• Eine IoT-Richtlinie.

  IoT-Richtlinien definieren, welche Operationen ein Gerät in AWS IoT ausführen kann. IoT-Richtlinien sind an Gerätezertifikate angehängt. Wenn ein Gerät das Zertifikat vorlegt AWS IoT, werden ihm die in der Richtlinie angegebenen Berechtigungen gewährt. Weitere Informationen finden Sie unter Autorisierung. Jedes Gerät benötigt ein Zertifikat für die Kommunikation mit AWS IoT.

AWS IoT unterstützt die automatisierte Flottenbereitstellung mithilfe von Bereitstellungsvorlagen. Bereitstellungsvorlagen beschreiben die Ressourcen, die für die Bereitstellung AWS IoT Ihres Geräts erforderlich sind. Vorlagen enthalten Variablen, mit denen Sie eine Vorlage zum Bereitstellen mehrerer Geräte verwenden können. Wenn Sie ein Gerät bereitstellen, geben Sie Werte für die für das Gerät spezifischen Variablen mithilfe eines Wörterbuchs oder einer Karte an. Um ein anderes Gerät bereitzustellen, geben Sie neue Werte im Wörterbuch an.

Sie können die automatisierte Bereitstellung verwenden, unabhängig davon, ob Ihre Geräte über eindeutige Zertifikate (und den zugehörigen privaten Schlüssel) verfügen.

Flottenbereitstellungs-APIs

Es gibt mehrere Kategorien von APIs, die bei der Flottenbereitstellung verwendet werden:

• Diese Funktionen der Steuerungsebene erstellen und verwalten die Flottenbereitstellungsvorlagen und konfigurieren vertrauenswürdige Benutzerrichtlinien.

  • CreateProvisioningVorlage

  • CreateProvisioningTemplateVersion

  • DeleteProvisioningSchablone

  • DeleteProvisioningTemplateVersion

  • DescribeProvisioningSchablone

  • DescribeProvisioningTemplateVersion

  • ListProvisioningVorlagen

  • ListProvisioningTemplateVersions

  • UpdateProvisioningVorlage

• Vertrauenswürdige Benutzer können diese Funktion der Steuerungsebene verwenden, um einen temporären Onboarding-Antrag zu generieren. Dieser temporäre Antrag wird während der WLAN-Konfiguration oder einer ähnlichen Methode an das Gerät übergeben.

  • CreateProvisioningAnspruch

• Die MQTT-API, die während des Bereitstellungsprozesses von Geräten verwendet wird, deren Bereitstellungsantragszertifikat in einem Gerät eingebettet ist oder von einem vertrauenswürdigen Benutzer an es übergeben wird.

  • CreateCertificateFromCsr

  • CreateKeysAndCertificate

  • RegisterThing