Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Creación y administración de autorizadores personalizados
AWS IoT Core implementa esquemas de autenticación y autorización personalizados mediante el uso de recursos del autorizador. Cada autorizador está formado por los siguientes componentes:
-
Nombre: cadena única definida por el usuario que identifica al autorizador.
-
Función Lambda ARN: el nombre del recurso de Amazon (ARN) de la función Lambda que implementa la lógica de autorización y autenticación.
-
Nombre de clave del token: el nombre de la clave que se utiliza para extraer el token de HTTP los encabezados, los parámetros de consulta o el nombre de MQTT CONNECT usuario con el fin de realizar la validación de la firma. Este valor es obligatorio si la firma está habilitada en el autorizador.
-
Indicador de inhabilitación de firma (opcional): valor booleano que especifica si se debe deshabilitar el requisito de firma en las credenciales. Esto resulta útil en situaciones en las que no tiene sentido firmar las credenciales, como los esquemas de autenticación que utilizan un nombre de MQTT usuario y una contraseña. El valor predeterminado es
false
, por lo que la firma está habilitada de forma predeterminada. -
Clave pública de firma de token: la clave pública que AWS IoT Core se utiliza para validar la firma del token. Su longitud mínima es de 2048 bits. Este valor es obligatorio si la firma está habilitada en el autorizador.
Lambda cobra por el número de veces que se ejecuta la función de Lambda y por el tiempo que tarda en ejecutarse el código de la función. Para obtener más información acerca de los precios de Lambda, consulte Precios de Lambda
nota
Si deja habilitada la firma, puede evitar que clientes no reconocidos activen su Lambda de forma excesiva. Tenga esto en cuenta antes de deshabilitar el inicio de sesión en su autorizador.
nota
El límite de tiempo de espera de la función de Lambda para el autorizador personalizado es de 5 segundos.
Definición de la función de Lambda
Cuando AWS IoT Core invoca a su autorizador, activa la Lambda asociada al autorizador con un evento que contiene el siguiente objeto. JSON El JSON objeto de ejemplo contiene todos los campos posibles. No se incluye ningún campo que no sea relevante para la solicitud de conexión.
{ "token" :"aToken", "signatureVerified": Boolean, // Indicates whether the device gateway has validated the signature. "protocols": ["tls", "http", "mqtt"], // Indicates which protocols to expect for the request. "protocolData": { "tls" : { "serverName": "serverName" // The server name indication (SNI)
host_name
string. }, "http": { "headers": { "#{name}": "#{value}" }, "queryString": "?#{name}=#{value}" }, "mqtt": { "username": "myUserName", "password": "myPassword", // A base64-encoded string. "clientId": "myClientId" // Included in the event only when the device sends the value. } }, "connectionMetadata": { "id": UUID // The connection ID. You can use this for logging. }, }
La función de Lambda debe usar esta información para autenticar la conexión entrante y decidir qué acciones se permiten en la conexión. La función debe enviar una respuesta que contenga los siguientes valores.
-
isAuthenticated
: un valor booleano que indica si la solicitud se ha autenticado. -
principalId
: una cadena alfanumérica que actúa como identificador del token enviado por la solicitud de autorización personalizada. El valor debe ser una cadena alfanumérica entre 1 y 128 caracteres, y debe coincidir con este patrón de expresión regular (regex):([a-zA-Z0-9]){1,128}
. No se permite el uso de caracteres especiales que no sean alfanuméricos con el signo inprincipalId
AWS IoT Core. Consulte la documentación para obtener más información AWS servicios si se permiten caracteres especiales no alfanuméricos para el.principalId
-
policyDocuments
: una lista de formatos JSON AWS IoT Core documentos de política Para obtener más información sobre la creación AWS IoT Core políticas, consulteAWS IoT Core políticas. El número máximo de documentos de políticas es de 10. Cada documento de política puede contener un máximo de 2048 caracteres. -
disconnectAfterInSeconds
: un entero que especifica la duración máxima (en segundos) de la conexión al AWS IoT Core puerta de enlace. El valor mínimo es de 300 segundos y el máximo es de 86 400 segundos. El valor predeterminado es 86.400.nota
El valor de
disconnectAfterInSeconds
(devuelto por la función Lambda) se establece cuando se establece la conexión. Este valor no se puede modificar durante las siguientes invocaciones Lambda de actualización de políticas. -
refreshAfterInSeconds
: un entero que especifica el intervalo entre las actualizaciones de la política. Cuando pase este intervalo, AWS IoT Core invoca la función Lambda para permitir la actualización de las políticas. El valor mínimo es de 300 segundos y el máximo es de 86 400 segundos.
El siguiente JSON objeto contiene un ejemplo de una respuesta que la función Lambda puede enviar.
{ "isAuthenticated":true, //A Boolean that determines whether client can connect. "principalId": "xxxxxxxx", //A string that identifies the connection in logs. "disconnectAfterInSeconds": 86400, "refreshAfterInSeconds": 300, "policyDocuments": [ { "Version": "2012-10-17", "Statement": [ { "Action": "iot:Publish", "Effect": "Allow", "Resource": "arn:aws:iot:us-east-1:<your_aws_account_id>:topic/customauthtesting" } ] } ] }
El policyDocument
valor debe contener un valor válido AWS IoT Core documento de política. Para obtener más información acerca de AWS IoT Core políticas, consulteAWS IoT Core políticas. En WebSockets conexiones MQTT una TLS y MQTT otra vez, AWS IoT Core guarda en caché esta política durante el intervalo especificado en el valor del refreshAfterInSeconds
campo. En el caso de HTTP las conexiones, se invoca la función Lambda para cada solicitud de autorización, a menos que el dispositivo utilice conexiones HTTP persistentes (también denominadas HTTP keep-alive o reutilización de HTTP conexiones). Puede optar por habilitar el almacenamiento en caché al configurar el autorizador. Durante este intervalo, AWS IoT Core autoriza acciones en una conexión establecida contra esta política en caché sin volver a activar la función Lambda. Si se producen errores durante la autenticación personalizada, AWS IoT Core termina la conexión. AWS IoT Core también termina la conexión si ha estado abierta durante más tiempo que el valor especificado en el disconnectAfterInSeconds
parámetro.
A continuación se JavaScript incluye un ejemplo de una función Lambda de Node.js que busca una contraseña en el mensaje MQTT Connect con un valor de test
y devuelve una política que concede permiso para conectarse a AWS IoT Core con un nombre de cliente myClientName
y publique en un tema que contenga el mismo nombre de cliente. Si no encuentra la contraseña esperada, devuelve una política que deniega esas dos acciones.
// A simple Lambda function for an authorizer. It demonstrates // how to parse an MQTT password and generate a response. exports.handler = function(event, context, callback) { var uname = event.protocolData.mqtt.username; var pwd = event.protocolData.mqtt.password; var buff = new Buffer(pwd, 'base64'); var passwd = buff.toString('ascii'); switch (passwd) { case 'test': callback(null, generateAuthResponse(passwd, 'Allow')); break; default: callback(null, generateAuthResponse(passwd, 'Deny')); } }; // Helper function to generate the authorization response. var generateAuthResponse = function(token, effect) { var authResponse = {}; authResponse.isAuthenticated = true; authResponse.principalId = 'TEST123'; var policyDocument = {}; policyDocument.Version = '2012-10-17'; policyDocument.Statement = []; var publishStatement = {}; var connectStatement = {}; connectStatement.Action = ["iot:Connect"]; connectStatement.Effect = effect; connectStatement.Resource = ["arn:aws:iot:us-east-1:123456789012:client/myClientName"]; publishStatement.Action = ["iot:Publish"]; publishStatement.Effect = effect; publishStatement.Resource = ["arn:aws:iot:us-east-1:123456789012:topic/telemetry/myClientName"]; policyDocument.Statement[0] = connectStatement; policyDocument.Statement[1] = publishStatement; authResponse.policyDocuments = [policyDocument]; authResponse.disconnectAfterInSeconds = 3600; authResponse.refreshAfterInSeconds = 300; return authResponse; }
La función Lambda anterior devuelve lo siguiente JSON cuando recibe la contraseña esperada de test
en el mensaje MQTT Connect. Los valores de las principalId
propiedades password
y serán los valores del mensaje MQTT Connect.
{ "password": "
password
", "isAuthenticated": true, "principalId": "principalId
", "policyDocuments": [ { "Version": "2012-10-17", "Statement": [ { "Action": "iot:Connect", "Effect": "Allow", "Resource": "*" }, { "Action": "iot:Publish", "Effect": "Allow", "Resource": "arn:aws:iot:region
:accountId
:topic/telemetry/${iot:ClientId}" }, { "Action": "iot:Subscribe", "Effect": "Allow", "Resource": "arn:aws:iot:region
:accountId
:topicfilter/telemetry/${iot:ClientId}" }, { "Action": "iot:Receive", "Effect": "Allow", "Resource": "arn:aws:iot:region
:accountId
:topic/telemetry/${iot:ClientId}" } ] } ], "disconnectAfterInSeconds": 3600, "refreshAfterInSeconds": 300 }
Creación de un autorizador
Puede crear un autorizador mediante. CreateAuthorizerAPI En el siguiente ejemplo se describe el comando.
aws iot create-authorizer --authorizer-name MyAuthorizer --authorizer-function-arn arn:aws:lambda:us-west-2:<account_id>:function:MyAuthorizerFunction //The ARN of the Lambda function. [--token-key-name MyAuthorizerToken //The key used to extract the token from headers. [--token-signing-public-keys FirstKey= "-----BEGIN PUBLIC KEY----- [...insert your public key here...] -----END PUBLIC KEY-----" [--status ACTIVE] [--tags <value>] [--signing-disabled | --no-signing-disabled]
Puede utilizar el parámetro signing-disabled
para deshabilitar la validación de firmas en cada invocación de su autorizador. Le recomendamos encarecidamente que no deshabilite la firma a menos que sea necesario. La validación de firmas lo protege contra las invocaciones excesivas de su función de Lambda desde dispositivos desconocidos. No se puede actualizar el estado signing-disabled
de un autorizador una vez creado. Para cambiar este comportamiento, debe crear otro autorizador personalizado con un valor de parámetro signing-disabled
diferente.
Los valores de los parámetros tokenKeyName
y tokenSigningPublicKeys
son opcionales si se deshabilita la firma. Son valores obligatorios si la firma está habilitada.
Tras crear la función Lambda y el autorizador personalizado, debe conceder explícitamente la AWS IoT Core permiso de servicio para invocar la función en su nombre. Puede hacerlo con el siguiente comando.
aws lambda add-permission --function-name <lambda_function_name>
--principal iot.amazonaws.com --source-arn <authorizer_arn>
--statement-id Id-123 --action "lambda:InvokeFunction"
Probar los autorizadores
Puede usar el TestInvokeAuthorizerAPIpara probar los valores de invocación y retorno de su autorizador. Esto API le permite especificar los metadatos del protocolo y probar la validación de la firma en su autorizador.
En las siguientes pestañas se muestra cómo utilizar el AWS CLI para probar su autorizador.
El valor del parámetro token-signature
es el token firmado. Para obtener información sobre cómo obtener este valor, consulte Firmar el token.
Si el autorizador utiliza un nombre de usuario y una contraseña, puede transmitir esta información mediante el parámetro --mqtt-context
. Las siguientes pestañas muestran cómo utilizar el TestInvokeAuthorizer
API para enviar un JSON objeto que contiene un nombre de usuario, una contraseña y un nombre de cliente a su autorizador personalizado.
Los datos de usuario deben estar codificados en base64. El siguiente ejemplo muestra cómo codificar una contraseña en un entorno similar a Unix.
echo -n
PASSWORD
| base64
Administración de puntos de conexión
Puede administrar sus autorizadores mediante lo siguiente. APIs
-
ListAuthorizers: Muestra todos los autorizadores de tu cuenta.
-
DescribeAuthorizer: Muestra las propiedades del autorizador especificado. Estos valores incluyen la fecha de creación, la fecha de la última modificación y otros atributos.
-
SetDefaultAuthorizer: Especifica el autorizador predeterminado para su AWS IoT Core puntos finales de datos. AWS IoT Core usa este autorizador si un dispositivo no pasa AWS IoT Core credenciales y no especifica un autorizador. Para obtener más información sobre el uso AWS IoT Core credenciales, consulteAutenticación del cliente.
-
UpdateAuthorizer: Cambia el estado, el nombre de la clave del token o las claves públicas del autorizador especificado.
-
DeleteAuthorizer: elimina el autorizador especificado.
nota
No se puede actualizar el requisito de firma de un autorizador. Esto significa que no es posible deshabilitar el inicio de sesión en un autorizador existente que lo requiera. Tampoco se puede requerir el inicio de sesión en un autorizador existente que no lo requiera.