Aprovisionamiento de dispositivos

AWS proporciona varias formas diferentes de aprovisionar un dispositivo e instalar certificados de cliente únicos en él. En esta sección se describe cada forma y cómo seleccionar la mejor para su solución de IoT. Estas opciones se describen en detalle en el documento técnico titulado Fabricación y aprovisionamiento de dispositivos con certificados X.509 en AWS IoT Core.

Seleccionar la opción que mejor se adapte a su situación

• Puede instalar certificados en dispositivos de IoT antes de que se entreguen

  Si puede instalar de forma segura certificados únicos de cliente en sus dispositivos de IoT antes de que se entreguen para que los utilice el usuario final, es recomendable utilizar el aprovisionamiento justo a tiempo (JITP) o el registro justo a tiempo (JITR).

  Al usar JITP y JITR, la entidad de certificación (CA) utilizada para firmar el certificado del dispositivo queda registrada AWS IoT y reconocida AWS IoT cuando el dispositivo se conecta por primera vez. El dispositivo se aprovisiona AWS IoT en su primera conexión mediante los detalles de su plantilla de aprovisionamiento.

  Para obtener más información sobre el aprovisionamiento de un solo objeto, el aprovisionamiento JITP, el aprovisionamiento JITR y el aprovisionamiento masivo de dispositivos con certificados únicos, consulte Aprovisionamiento de dispositivos que tienen certificados de dispositivo.

• Los usuarios finales o los instaladores pueden usar una aplicación para instalar certificados en sus dispositivos de IoT

  Si no puede instalar de forma segura certificados únicos de cliente en su dispositivo de IoT antes de entregarlos al usuario final, pero el usuario final o un instalador pueden usar una aplicación para registrar los dispositivos e instalar los certificados de dispositivo únicos, es recomendable utilizar el proceso de aprovisionamiento por usuario de confianza.

  El uso de un usuario de confianza, como un usuario final o un instalador con una cuenta conocida, puede simplificar el proceso de fabricación del dispositivo. En lugar de un certificado de cliente único, los dispositivos tienen un certificado temporal que permite al dispositivo conectarse solo AWS IoT durante 5 minutos. Durante ese periodo de 5 minutos, el usuario de confianza obtiene un certificado de cliente único con una vida útil más larga y lo instala en el dispositivo. La vida útil limitada del certificado de reclamación minimiza el riesgo de que el certificado se vea comprometido.

  Para obtener más información, consulte Aprovisionamiento por usuario de confianza.

• Los usuarios finales NO PUEDEN usar una aplicación para instalar certificados en sus dispositivos de IoT

  Si ninguna de las opciones anteriores funciona en su solución de IoT, el proceso de aprovisionamiento por reclamación es una opción. Con este proceso, sus dispositivos de IoT disponen de un certificado de reclamación que comparten otros dispositivos de la flota. La primera vez que un dispositivo se conecta con un certificado de reclamación, lo AWS IoT registra mediante su plantilla de aprovisionamiento y emite al dispositivo su certificado de cliente exclusivo para poder acceder a AWS IoTél posteriormente.

  Esta opción permite el aprovisionamiento automático de un dispositivo cuando se conecta a él AWS IoT, pero podría suponer un riesgo mayor en caso de que el certificado de reclamación se viera comprometido. Si un certificado de reclamación se ve comprometido, puede desactivarlo. La desactivación del certificado de reclamación impide que todos los dispositivos con ese certificado de reclamación se registren en el futuro. Sin embargo, la desactivación del certificado de reclamación no bloquea los dispositivos que ya se han aprovisionado.

  Para obtener más información, consulte Aprovisionamiento por reclamación.

Aprovisionamiento de dispositivos en AWS IoT

Al aprovisionar un dispositivo AWS IoT, debe crear recursos para que sus dispositivos AWS IoT puedan comunicarse de forma segura. Se pueden crear otros recursos que le ayuden a administrar su flota de dispositivos. Durante el proceso de aprovisionamiento se pueden crear los siguientes recursos:

• Un objeto de IoT.

  Las cosas de IoT son entradas en el registro de AWS IoT dispositivos. Cada objeto tiene un nombre único y un conjunto de atributos, y está asociado con un dispositivo físico. Los objetos se pueden definir usando un tipo de objeto o agruparse en grupos de objetos. Para obtener más información, consulte Administrar dispositivos con AWS IoT.

  Aunque no es necesario, la creación de objetos permite administrar la flota de dispositivos de manera más eficaz mediante la búsqueda de dispositivos por tipo de objeto, grupo de objetos y atributos de objetos. Para obtener más información, consulte Indexación de flotas.

  nota

  Para indexar los datos de estado de conectividad de su Thing, aprovisione su Thing y configúrelo de manera que el nombre de la Thing coincida con el ID de cliente utilizado en la solicitud de Connect.

• Un certificado X.509

  Los dispositivos utilizan certificados X.509 para realizar la autenticación mutua. AWS IoT Puede registrar un certificado existente o hacer que AWS IoT genere y registre uno nuevo para usted. Un certificado se asocia a un dispositivo asociándolo al objeto que representa el dispositivo. También debe copiar el certificado y la clave privada asociada en el dispositivo. Los dispositivos presentan el certificado al conectarse a AWS IoT. Para obtener más información, consulte Autenticación.

• Una política de IoT

  Las políticas de IoT definen qué operaciones puede realizar un dispositivo en AWS IoT. Las políticas de IoT se asocian a certificados de dispositivo. Cuando un dispositivo presenta el certificado AWS IoT, se le conceden los permisos especificados en la política. Para obtener más información, consulte Autorización. Cada dispositivo necesita un certificado para comunicarse con AWS IoT.

AWS IoT admite el aprovisionamiento automatizado de flotas mediante plantillas de aprovisionamiento. Las plantillas de aprovisionamiento describen los recursos necesarios para AWS IoT aprovisionar el dispositivo. Las plantillas contienen variables que permiten utilizar una plantilla para aprovisionar varios dispositivos. Cuando aprovisione un dispositivo, especifique valores para las variables específicas de este utilizando un diccionario o mapa. Para aprovisionar otro dispositivo, especifique nuevos valores en el diccionario.

Puede utilizar el aprovisionamiento automatizado tanto si sus dispositivos tienen certificados únicos (y su clave privada asociada) como si no.

API de aprovisionamiento de flotas

Existen varias categorías de API utilizadas en el aprovisionamiento de flotas:

• Estas funciones de plano de control crean y administran las plantillas de aprovisionamiento de flotas y configuran políticas de usuario de confianza.

  • CreateProvisioningPlantilla

  • CreateProvisioningTemplateVersion

  • DeleteProvisioningPlantilla

  • DeleteProvisioningTemplateVersion

  • DescribeProvisioningPlantilla

  • DescribeProvisioningTemplateVersion

  • ListProvisioningPlantillas

  • ListProvisioningTemplateVersions

  • UpdateProvisioningPlantilla

• Los usuarios de confianza pueden utilizar esta función de plano de control para generar una notificación de incorporación temporal. Esta reclamación temporal se pasa al dispositivo durante la configuración de wifi o un método similar.

  • CreateProvisioningReclamación

• La API MQTT utilizada durante el proceso de aprovisionamiento por los dispositivos con un certificado de notificación de aprovisionamiento incrustado en un dispositivo o pasado a él por un usuario de confianza.

  • CreateCertificateFromCsr

  • CreateKeysAndCertificate

  • RegisterThing