Flux de travail de mise en service groupée d’Amazon Sidewalk

Les sections suivantes vous présentent les concepts clés de mise en service groupée et son fonctionnement. Les étapes impliquées dans la mise en service groupée sont les suivantes :

1. Créez un profil d’appareil à l’aide d’AWS IoT Core pour Amazon Sidewalk.

2. Demandez à l’équipe Amazon Sidewalk de vous fournir une clé YubiHSM et de mettre à jour le profil de votre appareil avec le support technique d’usine.

3. Envoyez la clé YubiHSM à votre fabricant afin qu’AWS IoT Core pour Amazon Sidewalk puisse obtenir le journal de contrôle une fois les appareils fabriqués.

4. Créez une tâche d’importation et fournissez les numéros de série (SMSN) des appareils à intégrer à AWS IoT Core pour Amazon Sidewalk.

Composants de mise en service groupée

Les concepts suivants vous présentent certains composants clés de mise en service groupée et vous expliquent comment les utiliser dans le cadre de la mise en service groupée de vos appareils Sidewalk.

Clé YubiHSM

Amazon crée un ou plusieurs HSM (modules de sécurité matériels) pour chacun de vos produits Sidewalk. Chaque HSM possède un numéro de série unique, appelé clé YubiHSM, qui est imprimé sur le module matériel. Cette clé peut être achetée sur le site web de Yubico.

La clé est propre à chaque HSM et liée à chaque profil d’appareil que vous créez avec AWS IoT Core pour Amazon Sidewalk. Pour obtenir la clé YubiHSM, contactez l’équipe Amazon Sidewalk. Si vous envoyez la clé YubiHSM au fabricant, une fois les appareils Sidewalk fabriqués en usine, AWS IoT Core pour Amazon Sidewalk recevra un fichier journal de contrôle contenant les numéros de série des appareils. Il compare ensuite ces informations avec votre fichier CSV d’entrée pour l’intégration des appareils AWS IoT.

Clé d’attestation de l’appareil (DAK)

Lorsqu’un terminal Sidewalk rejoint le réseau Sidewalk, il doit être mis en service avec un certificat d’appareil Sidewalk. Les certificats utilisés pour configurer votre appareil incluent un certificat spécifique à l’appareil privé et les certificats d’appareil public, qui correspondent à la chaîne de certificats Sidewalk. Lorsque vos appareils Sidewalk sont fabriqués, le YubiHSM signe les certificats des appareils.

Vous trouverez ci-dessous un exemple de fichier JSON contenant les certificats de l’appareil et les clés privées. Pour en savoir plus, consultez Obtenir les fichiers JSON de l’appareil pour la mise en service.

{
  "p256R1": "grg8izXoVvQ86cPVm0GMyWuZYHEBbbH ... DANKkOKoNT3bUGz+/f/pyTE+xMRdIUBZ1Bw==",
  "eD25519": "grg8izXoVvQ86cPVm0GMyWuZYHEBbbHD ... UiZmntHiUr1GfkTOFMYqRB+Aw==",
  "metadata": {    
    "devicetypeid": "fe98",
    
    ...

    "devicePrivKeyP256R1": "3e704bf8d319b3a475179f1d68c60737b28c708f845d0198f2d00d00c88ee018",
    "devicePrivKeyEd25519": "17dacb3a46ad9a42d5c520ca5f47f0167f59ce54d740aa13918465faf533b8d0"
  },
  "applicationServerPublicKey": "5ce29b89c2e3ce6183b41e75fe54e45f61b8bb320efbdd2abd7aefa5957a316b"
}

La clé d’attestation de l’appareil (DAK) est une clé privée que vous obtenez lors de la création du profil de votre appareil. Elle correspond au certificat de produit, qui est un certificat unique délivré pour chaque produit Sidewalk. Lorsque vous contactez l’équipe Amazon Sidewalk, vous recevez la chaîne de certificats Sidewalk, la clé YubiHSM et un HSM mis en service avec la clé d’attestation du dispositif du produit (DAK).

Le profil de votre appareil est également mis à jour avec la nouvelle clé d’attestation de l’appareil (DAK) et avec le support d’usine activé. Les informations de métadonnées DAK du profil de l’appareil fournissent des informations telles que le nom du DAK, l’ID du certificat, l’APID (identifiant du produit annoncé), si le support d’usine est activé et le nombre maximum de signatures que le DAK peut signer.

Identifiant du produit annoncé (ApId)

Le paramètre ApId est une chaîne alphanumérique qui identifie le produit annoncé. Ce champ doit être spécifié lorsque vous souhaitez utiliser un profil d’appareil donné pour les appareils Sidewalk que vous mettez en service de manière groupée. AWS IoT Core pour Amazon Sidewalk génère ensuite le DAK et vous le fournit via la clé YubiHSM. Les informations DAK associées seront présentées dans le profil de l’appareil.

Pour obtenir le ApId, après avoir récupéré les informations relatives au profil d’appareil que vous avez créé, contactez l’équipe d’assistance Amazon Sidewalk. Vous pouvez obtenir les informations du profil de l’appareil à partir de la console AWS IoT, à l’aide de l’opération d’API GetDeviceProfile ou de la commande CLI get-device-profile.

Comment fonctionne la mise en service groupée

Cet organigramme montre comment fonctionne la mise en service groupée avec AWS IoT Core pour Amazon Sidewalk.

La procédure suivante illustre les différentes étapes du processus de mise en service groupée.

1. Créer un profil d’appareil pour l’appareil Sidewalk

   Avant d’apporter votre terminal à l’usine, créez d’abord un profil d’appareil. Vous pouvez utiliser ce profil pour mettre en service des appareils individuels, comme décrit dans Ajoutez le profil de votre appareil et le terminal Sidewalk.

2. Demandez une assistance d’usine pour votre profil

   Lorsque vous serez prêt à envoyer votre appareil à l’usine, demandez à l’équipe Amazon Sidewalk de vous fournir la clé YubiHSM et d’obtenir une assistance technique pour le profil de votre appareil.

3. Obtenir un profil DAK et un profil pris en charge en usine

   L’équipe d’assistance Amazon Sidewalk mettra ensuite à jour le profil de votre appareil à l’aide de la clé d’attestation du produit (DAK) et du soutien d’usine. Le profil de votre appareil sera automatiquement mis à jour avec un identifiant de produit annoncé (ApID), un nouveau DAK et des informations de certificat, telles que l’identifiant du certificat. Les appareils Sidewalk qui utilisent ce profil sont qualifiés pour la mise en service groupée.

4. Envoyer la clé YubiHSM au fabricant (CM)

   Votre terminal étant désormais qualifié, vous pouvez envoyer votre clé YubiHSM au fabricant sous contrat (CM) pour démarrer le processus de fabrication. Pour plus d’informations, consultez la section Fabrication d’appareils Amazon Sidewalk dans la documentation Amazon Sidewalk.

5. Fabriquez des appareils et envoyez des journaux de contrôle et des numéros de série

   Le CM fabrique les appareils et génère des journaux de contrôle. Le CM vous fournit également un fichier CSV contenant une liste des appareils à fabriquer et leurs numéros de série de fabrication (SMSN) sur Sidewalk. Le code suivant montre un exemple de journal de contrôle. Il contient les numéros de série de l’appareil, l’APID et les certificats publics de l’appareil.

   {
       "controlLogs": [
       {
           "version": "4-0-1",
           "device": 
           {
               "serialNumber": "device1",
               "productIdentifier": {
                   "advertisedProductId": "abCD"        
                },
                "sidewalkData": {
                   "SidewalkED25519CertificateChain": "...",          
                   "SidewalkP256R1CertificateChain": "..."        
                }
            }    
         }
      ]
   }

6. Transmission des informations du journal de contrôle à AWS IoT Core pour Amazon Sidewalk

   Le cloud Amazon Sidewalk récupère les informations du journal de contrôle auprès du fabricant et les transmet à AWS IoT Core pour Amazon Sidewalk. Les appareils peuvent ensuite être créés avec leurs numéros de série.

7. Vérifiez que le numéro de série correspond et commencez la mise en service groupée

   Lorsque vous utilisez la console AWS IoT ou l’opération d’API AWS IoT Core pour Amazon Sidewalk StartWirelessDeviceImportTask, AWS IoT Core pour Amazon Sidewalk compare le numéro de série de fabrication Sidewalk (SMSN) de chaque appareil obtenu auprès d’Amazon Sidewalk avec les numéros de série correspondants dans votre fichier CSV. Si ces informations correspondent, il lance le processus de mise en service groupée et crée les appareils à importer dans AWS IoT Core pour Amazon Sidewalk.