Se utiliza con puntos finales de interfaz AWS IoT Core VPC - AWS IoT Core
Creación de VPC puntos finales para el plano de datos AWS IoT CoreCreación de VPC puntos de enlace para el proveedor de AWS IoT Core credencialesCreación de un punto final VPC de interfaz de AmazonConfiguración de una zona alojada privadaControlar el acceso a más de los AWS IoT Core puntos finales VPCLimitacionesEscalar los puntos finales con VPC AWS IoT CoreUsa dominios personalizados con puntos de conexión VPCDisponibilidad de puntos VPC finales para AWS IoT Core

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Se utiliza con puntos finales de interfaz AWS IoT Core VPC

Con AWS IoT Core, puede crear puntos de enlace de datos de IoT dentro de su nube privada virtual (VPC) mediante puntos de enlace de interfazVPC. Los VPC puntos finales de la interfaz funcionan con una AWS tecnología que puede utilizar para acceder a los servicios que se ejecutan AWS mediante direcciones IP privadas. AWS PrivateLink Para obtener más información, consulte Amazon Virtual Private Cloud.

Para conectar dispositivos sobre el terreno en redes remotas, como una red corporativa, a tu AmazonVPC, consulta las opciones que aparecen en la matriz de VPCconectividad de la red a Amazon.

Creación de VPC puntos finales para el plano de datos AWS IoT Core

Puede crear un VPC punto final para el plano de AWS IoT Core datos API para conectar sus dispositivos a AWS IoT servicios y otros AWS servicios. Para empezar con los VPC puntos de conexión, cree un VPC punto de conexión de interfaz y selecciónelo AWS IoT Core como AWS servicio. Si utiliza elCLI, primero llame describe-vpc-endpoint-servicespara asegurarse de que está eligiendo una zona de disponibilidad en la que AWS IoT Core esté presente en la suya. Región de AWS Por ejemplo, en us-east-1, este comando tendría el siguiente aspecto:

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.data
nota

La VPC función de creación automática de un DNS registro está desactivada. Para conectarse a estos puntos finales, debe crear manualmente un DNS registro privado. Para obtener más información sobre los VPC DNS registros privados, consulte Privados DNS para los puntos finales de la interfaz. Para obtener más información sobre AWS IoT Core VPC las limitaciones, consulteLimitaciones.

Para conectar MQTT los clientes a las interfaces de VPC punto final:

  • Dentro de la zona alojada privada, cree un registro de alias para cada IP de interfaz de red elástica del VPC punto final. Si tiene varias interfaces de red IPs para varios VPC puntos finales, cree DNS registros ponderados con la misma ponderación en todos los registros ponderados. Estas direcciones IP están disponibles en la DescribeNetworkInterfacesAPIllamada cuando se filtran por el ID del VPC punto final en el campo de descripción.

Consulte las instrucciones detalladas que aparecen a continuación para crear un punto final de la VPC interfaz de Amazon y configurar una zona alojada privada para el plano de AWS IoT Core datos.

Creación de VPC puntos de enlace para el proveedor de AWS IoT Core credenciales

Puede crear un VPC punto final para que el proveedor de AWS IoT Core credenciales conecte los dispositivos mediante la autenticación basada en certificados de cliente y obtenga AWS credenciales temporales en AWS el formato Signature Version 4. Para empezar con los VPC puntos de conexión para el proveedor de AWS IoT Core credenciales, ejecute el create-vpc-endpointCLIcomando para crear un VPC punto de enlace de interfaz y seleccione el proveedor de AWS IoT Core credenciales como servicio. AWS Para asegurarse de elegir una zona de disponibilidad que AWS IoT Core esté presente en la suya Región de AWS, ejecute primero el comando. describe-vpc-endpoint-services Por ejemplo, en us-east-1, este comando tendría el siguiente aspecto:

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.credentials
nota

La VPC función de creación automática de un DNS registro está desactivada. Para conectarse a estos puntos finales, debe crear manualmente un DNS registro privado. Para obtener más información sobre los VPC DNS registros privados, consulte Privados DNS para los puntos finales de la interfaz. Para obtener más información sobre AWS IoT Core VPC las limitaciones, consulteLimitaciones.

Para conectar HTTP los clientes a las interfaces de VPC punto final:

  • Dentro de la zona alojada privada, cree un registro de alias para cada IP de interfaz de red elástica del VPC punto final. Si tiene varias interfaces de red IPs para varios VPC puntos finales, cree DNS registros ponderados con la misma ponderación en todos los registros ponderados. Estas direcciones IP están disponibles en la DescribeNetworkInterfacesAPIllamada cuando se filtran por el ID del VPC punto final en el campo de descripción.

Consulte las instrucciones detalladas que aparecen a continuación para crear un punto final de la VPC interfaz de Amazon y configurar una zona alojada privada para el proveedor de AWS IoT Core credenciales.

Creación de un punto final VPC de interfaz de Amazon

Puede crear un VPC punto final de interfaz para conectarse a AWS los servicios impulsados por AWS PrivateLink. Utilice el siguiente procedimiento para crear un VPC punto final de interfaz que se conecte al plano de AWS IoT Core datos o al proveedor de AWS IoT Core credenciales. Para obtener más información, consulte Acceder a un AWS servicio mediante un VPC punto final de interfaz.

nota

Los procesos para crear un punto final de la VPC interfaz de Amazon para el plano de AWS IoT Core datos y el proveedor de AWS IoT Core credenciales son similares, pero debe realizar cambios específicos para que la conexión funcione.

Para crear un punto final de interfaz mediante VPCla consola de VPC Endpoint

  1. Vaya a la consola de VPCEndpoints, en Nube privada virtual en el menú de la izquierda, elija Endpoints y, a continuación, Create Endpoints.

  2. En la página Crear punto de conexión, especifique la siguiente información.

    • Elija Servicio de AWS en Categoría de servicio.

    • En Nombre del servicio, busque introduciendo la palabra clave iot. En la lista de servicios de iot que se muestra, elija el punto de conexión.

      Si crea un VPC punto final para el plano de AWS IoT Core datos, elija el API punto final del plano de AWS IoT Core datos para su región. El punto de conexión tendrá el formato com.amazonaws.region.iot.data.

      Si crea un VPC punto final para el proveedor de AWS IoT Core credenciales, elija el punto final del proveedor de AWS IoT Core credenciales para su región. El punto de conexión tendrá el formato com.amazonaws.region.iot.credentials.

      nota

      El nombre del servicio para el plano de AWS IoT Core datos en la región de China tendrá este formato. cn.com.amazonaws.region.iot.data En la región de China no se admite la AWS IoT Core creación de VPC puntos finales para el proveedor de credenciales.

    • Para las subredes VPCy las subredes, elija el VPC lugar en el que desea crear el punto final y las zonas de disponibilidad (AZs) en las que desea crear la red de puntos finales.

    • En el DNS nombre de activación, asegúrese de que no esté seleccionada la opción Activar para este punto final. Ni el plano de AWS IoT Core datos ni el proveedor de AWS IoT Core credenciales admiten DNS nombres privados todavía.

    • En Grupo de seguridad, elija los grupos de seguridad que deban asociarse a las interfaces de red de punto de conexión.

    • Puede agregar o eliminar etiquetas si lo desea. Las etiquetas son pares de nombre-valor que se utilizan para asociar al punto de conexión.

  3. Para crear su VPC punto final, elija Crear punto final.

Después de crear el AWS PrivateLink punto final, en la pestaña Detalles del punto final, verá una lista de DNS nombres. Puedes usar uno de los DNS nombres que creaste en esta sección para configurar tu zona alojada privada.

Configuración de una zona alojada privada

Puede usar uno de estos DNS nombres que creó en la sección anterior para configurar su zona alojada privada.

Para el plano AWS IoT Core de datos

El DNS nombre debe ser el nombre de la configuración del dominio o el IoT:Data-ATS punto final. Un DNS nombre de ejemplo puede ser:xxx-ats.data.iot.region.amazonaws.com.

Para el AWS IoT Core proveedor de credenciales

El DNS nombre debe ser su iot:CredentialProvider punto final. Un DNS nombre de ejemplo puede ser:xxxx.credentials.iot.region.amazonaws.com.

nota

Los procesos para configurar la zona alojada privada para el plano de AWS IoT Core datos y el proveedor de AWS IoT Core credenciales son similares, pero debe realizar cambios específicos del punto final para que la conexión funcione.

Creación de una zona alojada privada

Para crear una zona alojada privada a través de la consola de Route 53

  1. Vaya a la consola Zonas alojadas de Route 53 y elija Crear zona alojada.

  2. En la página Crear zona alojada, especifique la siguiente información.

    • En Nombre de dominio, introduzca la dirección del punto de conexión de su punto de conexión iot:Data-ATS o iot:CredentialProvider. El siguiente AWS CLI comando muestra cómo hacer que el punto final pase por una red pública:aws iot describe-endpoint --endpoint-type iot:Data-ATS, oaws iot describe-endpoint --endpoint-type iot:CredentialProvider.

      nota

      Si usa dominios personalizados, consulte Uso de dominios personalizados con VPC puntos de enlace. Los dominios personalizados no son compatibles con el proveedor de AWS IoT Core credenciales.

    • En la lista Tipo, elija Zona alojada privada.

    • Si lo desea, puede agregar o eliminar etiquetas para asociarlas a su zona alojada.

  3. Para crear su zona alojada privada, seleccione Crear zona alojada.

Para obtener información, consulte Crear una zona alojada privada.

Crear un registro

Una vez que haya creado una zona alojada privada, puede crear un registro que indique DNS cómo desea que se dirija el tráfico a ese dominio.

Para crear un registro

  1. En la lista de zonas alojadas que se muestra, elija la zona alojada privada que ha creado anteriormente y elija Crear registro.

  2. Utilice el método del asistente para crear el registro. Si la consola presenta el método Creación rápida, elija Cambiar al asistente.

  3. En Enrutamiento sencillo, elija Política de enrutamiento y, a continuación, elija Siguiente.

  4. En Configurar registros, elija Definir un registro simple.

  5. En la página Definir un registro simple:

    • En Nombre del registro, introduzca el punto de conexión iot:Data-ATS o el punto de conexión iot:CredentialProvider. Debe ser el mismo que el nombre de la zona alojada privada.

    • En Tipo de registro, mantenga el valor como A - Routes traffic to an IPv4 address and some AWS resources.

    • En Valor/Enrutar el tráfico hacia, elige Alias al punto final. VPC A continuación, elija su Región y elija el punto de conexión que creó anteriormente, tal y como se describe en Creación de un punto final VPC de interfaz de Amazon de la lista de puntos de conexión que se muestra.

  6. Elija Definir un registro simple para crear su registro.

Controlar el acceso a más de los AWS IoT Core puntos finales VPC

Puede restringir el acceso al dispositivo para que solo se permita AWS IoT Core a través del VPC punto final mediante claves de contexto de VPC condición. AWS IoT Core admite las siguientes claves de contexto VPC relacionadas:

nota

AWS IoT Core no admite las políticas de puntos finales para los puntos VPC finales.

Por ejemplo, la siguiente política concede permiso para conectarse AWS IoT Core mediante un ID de cliente que coincida con el nombre de la cosa y para publicar en cualquier tema con el prefijo del nombre de la cosa, siempre que el dispositivo se conecte a un VPC punto final con un ID de punto final concretoVPC. Esta política denegaría los intentos de conexión a su punto de conexión de datos de IoT público.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-1a2b3c4d"
                }
            }
            
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*"
            ]
        }
    ]
}

Limitaciones

VPCActualmente, los puntos finales solo se admiten para los puntos finales de AWS IoT Core datos y los puntos finales de los proveedores de AWS IoT Core credenciales. VPCLos puntos finales no son compatibles con los puntos finales de la Norma Federal de Procesamiento de Información (). FIPS

Limitaciones de los puntos VPC finales de datos de IoT

En esta sección se describen las limitaciones de los VPC puntos finales de datos de IoT.

  • MQTTlos períodos de mantenimiento activo están limitados a 230 segundos. Los períodos keep-alive que superen esa cantidad se reducirán automáticamente a 230 segundos.

  • Cada VPC terminal admite un total de 100 000 dispositivos conectados simultáneamente. Si necesita más conexiones, consulte Escalar los puntos finales con VPC AWS IoT Core.

  • VPCLos puntos finales solo admiten IPv4 tráfico.

  • VPClos puntos finales solo entregarán ATScertificados, excepto en el caso de los dominios personalizados.

  • VPCno se admiten las políticas de puntos finales.

  • En el caso de VPC los puntos finales que se crean para el plano de AWS IoT Core datos, AWS IoT Core no admite el uso de registros públicos DNS zonales o regionales.

Limitaciones de los puntos de conexión de los proveedores de credenciales

En esta sección se describen las limitaciones de los puntos finales de los proveedores de credenciales. VPC

  • VPClos puntos finales solo admiten tráficoIPv4.

  • VPClos puntos finales solo entregarán ATScertificados.

  • VPCno se admiten las políticas de puntos finales.

  • Los dominios personalizados no son compatibles con los puntos de conexión de los proveedores de credenciales.

  • En el caso de VPC los puntos finales que se crean para el proveedor de AWS IoT Core credenciales, AWS IoT Core no admite el uso de registros públicos zonales o regionales. DNS

Escalar los puntos finales con VPC AWS IoT Core

AWS IoT Core Los VPC puntos finales de la interfaz están limitados a 100 000 dispositivos conectados en un único punto final de la interfaz. Si su caso práctico requiere más conexiones simultáneas con el intermediario, le recomendamos utilizar varios puntos de conexión y enrutar manualmente los dispositivos a través de los VPC puntos de conexión de la interfaz. Al crear DNS registros privados para enrutar el tráfico a sus VPC puntos de conexión, asegúrese de crear tantos registros ponderados como puntos de conexión tenga para distribuir el tráfico entre VPC sus múltiples puntos de conexión.

Usa dominios personalizados con puntos de conexión VPC

Si desea utilizar dominios personalizados con VPC puntos de enlace, debe crear sus registros de nombres de dominio personalizados en una zona alojada privada y crear registros de enrutamiento en Route53. Para obtener información, consulte Crear una zona alojada privada.

nota

Los dominios personalizados solo se admiten para AWS IoT Core los puntos finales de datos.

Disponibilidad de puntos VPC finales para AWS IoT Core

AWS IoT Core Los VPC puntos finales de interfaz están disponibles en todas las regiones AWS IoT Core compatibles. AWS IoT Core VPCLos puntos finales de interfaz para el proveedor de AWS IoT Core credenciales no son compatibles en la región de China y. AWS GovCloud (US) Regions