Utilisation AWS IoT Core avec les points de VPC terminaison de l'interface - AWS IoT Core
Création de VPC points de terminaison pour le plan de AWS IoT Core donnéesCréation de VPC points de terminaison pour le fournisseur AWS IoT Core d'identifiantsCréation d'un point de terminaison VPC d'interface AmazonConfiguration d'une zone hébergée privéeContrôle de l'accès à AWS IoT Core plus de points de VPC terminaisonLimitesDimensionnement des VPC points de terminaison avec AWS IoT CoreUtilisation de domaines personnalisés avec des points de VPC terminaisonDisponibilité des VPC points de terminaison pour AWS IoT Core

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation AWS IoT Core avec les points de VPC terminaison de l'interface

Avec AWS IoT Core, vous pouvez créer des points de terminaison de données IoT dans votre cloud privé virtuel (VPC) en utilisant des points de VPCterminaison d'interface. Les VPC points de terminaison d'interface sont AWS PrivateLink alimentés par une AWS technologie que vous pouvez utiliser pour accéder à des services exécutés à l'aide AWS d'adresses IP privées. Pour en savoir plus, consultez Amazon Virtual Private Cloud.

Pour connecter des appareils sur le terrain sur des réseaux distants, tels qu'un réseau d'entreprise, à votre AmazonVPC, reportez-vous aux options répertoriées dans la matrice de VPCconnectivité entre le réseau et Amazon.

Création de VPC points de terminaison pour le plan de AWS IoT Core données

Vous pouvez créer un VPC point de terminaison pour le plan API de AWS IoT Core données afin de connecter vos appareils à AWS IoT des services et à d'autres AWS services. Pour commencer à utiliser les VPC points de terminaison, créez un point de VPC terminaison d'interface et sélectionnez-le AWS IoT Core comme AWS service. Si vous utilisez leCLI, appelez d'abord describe-vpc-endpoint-servicespour vous assurer que vous choisissez une zone de disponibilité où elle AWS IoT Core est présente dans votre domicile Région AWS. Par exemple, dans us-east-1, cette commande ressemblerait à :

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.data
Note

La VPC fonctionnalité de création automatique d'un DNS enregistrement est désactivée. Pour vous connecter à ces points de terminaison, vous devez créer manuellement un DNS enregistrement privé. Pour plus d'informations sur les VPC DNS enregistrements privés, voir Privé DNS pour les points de terminaison de l'interface. Pour plus d'informations sur AWS IoT Core VPC les limitations, consultezLimites.

Pour connecter MQTT les clients aux interfaces des VPC terminaux :

  • Dans votre zone hébergée privée, créez un enregistrement d'alias pour chaque adresse IP d'elastic network interface du VPC point de terminaison. Si vous disposez de plusieurs interfaces réseau IPs pour plusieurs VPC points de terminaison, créez des DNS enregistrements pondérés avec des pondérations égales pour tous les enregistrements pondérés. Ces adresses IP sont disponibles dès l'DescribeNetworkInterfacesAPIappel lorsqu'elles sont filtrées par l'ID du VPC point de terminaison dans le champ de description.

Consultez les instructions détaillées ci-dessous pour créer un point de terminaison d'VPCinterface Amazon et configurer une zone hébergée privée pour le plan de AWS IoT Core données.

Création de VPC points de terminaison pour le fournisseur AWS IoT Core d'identifiants

Vous pouvez créer un VPC point de terminaison pour que le fournisseur AWS IoT Core d'informations d'identification connecte les appareils à l'aide de l'authentification basée sur un certificat client et obtienne des AWS informations d'identification temporaires au format AWS Signature Version 4. Pour commencer à utiliser les VPC points de terminaison pour le fournisseur AWS IoT Core d'informations d'identification, exécutez la create-vpc-endpointCLIcommande pour créer un point de VPC terminaison d'interface et sélectionnez le fournisseur AWS IoT Core d'informations d'identification comme service. AWS Pour vous assurer que vous choisissez une zone de disponibilité où elle AWS IoT Core est présente dans votre environnement Région AWS, vous devez d'abord exécuter la describe-vpc-endpoint-servicescommande. Par exemple, dans us-east-1, cette commande ressemblerait à :

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.credentials
Note

La VPC fonctionnalité de création automatique d'un DNS enregistrement est désactivée. Pour vous connecter à ces points de terminaison, vous devez créer manuellement un DNS enregistrement privé. Pour plus d'informations sur les VPC DNS enregistrements privés, voir Privé DNS pour les points de terminaison de l'interface. Pour plus d'informations sur AWS IoT Core VPC les limitations, consultezLimites.

Pour connecter HTTP les clients aux interfaces des VPC terminaux :

  • Dans votre zone hébergée privée, créez un enregistrement d'alias pour chaque adresse IP d'elastic network interface du VPC point de terminaison. Si vous disposez de plusieurs interfaces réseau IPs pour plusieurs VPC points de terminaison, créez des DNS enregistrements pondérés avec des pondérations égales pour tous les enregistrements pondérés. Ces adresses IP sont disponibles dès l'DescribeNetworkInterfacesAPIappel lorsqu'elles sont filtrées par l'ID du VPC point de terminaison dans le champ de description.

Consultez les instructions détaillées ci-dessous pour créer un point de terminaison d'VPCinterface Amazon et configurer une zone hébergée privée pour le fournisseur AWS IoT Core d'informations d'identification.

Création d'un point de terminaison VPC d'interface Amazon

Vous pouvez créer un point de VPC terminaison d'interface pour vous connecter aux AWS services alimentés par AWS PrivateLink. Utilisez la procédure suivante pour créer un point de VPC terminaison d'interface qui se connecte au plan de AWS IoT Core données ou au fournisseur AWS IoT Core d'informations d'identification. Pour plus d'informations, consultez la section Accès à un AWS service à l'aide d'un point de VPC terminaison d'interface.

Note

Les processus de création d'un point de terminaison d'VPCinterface Amazon pour le plan de AWS IoT Core données et le fournisseur AWS IoT Core d'informations d'identification sont similaires, mais vous devez apporter des modifications spécifiques au point de terminaison pour que la connexion fonctionne.

Pour créer un point de VPC terminaison d'interface à l'aide de la VPCconsole Endpoints

  1. Accédez à la console VPCEndpoints, sous Virtual private cloud dans le menu de gauche, choisissez Endpoints puis Create Endpoint.

  2. Dans la page Create Endpoint (Créer un point de terminaison, spécifiez les informations suivantes.

    • Choisissez AWS service s pour la catégorie de service .

    • Pour Nom du service, effectuez une recherche en saisissant le mot-clé iot. Dans la liste des services iot affichés, choisissez le point de terminaison.

      Si vous créez un VPC point de terminaison pour le plan de AWS IoT Core données, choisissez le point de API terminaison du plan de AWS IoT Core données pour votre région. Le format du nom du point de terminaison est com.amazonaws.region.iot.data.

      Si vous créez un VPC point de terminaison pour le fournisseur AWS IoT Core d'informations d'identification, choisissez le point de terminaison du fournisseur AWS IoT Core d'informations d'identification pour votre région. Le format du nom du point de terminaison est com.amazonaws.region.iot.credentials.

      Note

      Le nom du service pour le plan de AWS IoT Core données dans la région de Chine sera au format suivantcn.com.amazonaws.region.iot.data. La création de VPC points de terminaison pour le fournisseur AWS IoT Core d'informations d'identification n'est pas prise en charge dans la région de la Chine.

    • Pour VPCet les sous-réseaux, choisissez l'VPCendroit où vous souhaitez créer le point de terminaison, ainsi que les zones de disponibilité (AZs) dans lesquelles vous souhaitez créer le réseau de points de terminaison.

    • Pour le DNSnom d'activation, assurez-vous que l'option Activer pour ce point de terminaison n'est pas sélectionnée. Ni le plan AWS IoT Core de données ni le fournisseur AWS IoT Core d'informations d'identification ne prennent encore en charge les DNS noms privés.

    • Pour (Groupe de sécurité), sélectionnez les groupes de sécurité que vous souhaitez associer aux interfaces réseau des points de terminaison.

    • En option, vous pouvez ajouter ou supprimer des balises. Les balises sont des paires nom-valeur que vous utilisez pour associer à votre point de terminaison.

  3. Pour créer votre VPC point de terminaison, choisissez Create endpoint.

Après avoir créé le AWS PrivateLink point de terminaison, dans l'onglet Détails de votre point de terminaison, vous verrez une liste de DNS noms. Vous pouvez utiliser l'un des DNS noms que vous avez créés dans cette section pour configurer votre zone hébergée privée.

Configuration d'une zone hébergée privée

Vous pouvez utiliser l'un des DNS noms que vous avez créés dans la section précédente pour configurer votre zone hébergée privée.

Pour le plan AWS IoT Core de données

Le DNS nom doit être le nom de votre configuration de domaine ou votre IoT:Data-ATS point de terminaison. Un exemple DNS de nom peut être :xxx-ats.data.iot.region.amazonaws.com.

Pour le fournisseur AWS IoT Core d'informations d'identification

Le DNS nom doit être celui de votre iot:CredentialProvider point de terminaison. Un exemple DNS de nom peut être :xxxx.credentials.iot.region.amazonaws.com.

Note

Les processus de configuration de la zone hébergée privée pour le plan de AWS IoT Core données et le fournisseur AWS IoT Core d'informations d'identification sont similaires, mais vous devez apporter des modifications spécifiques au point de terminaison pour que la connexion fonctionne.

Créer une zone hébergée privée

Pour créer une zone hébergée privée à l'aide de la console Route 53

  1. Accédez à la console Zones hébergées Route 53 et choisissez Créer une zone hébergée.

  2. Dans la page Créer une zone hébergée, spécifiez les informations suivantes.

    • Pour Nom de domaine, entrez l'adresse du point de terminaison de votre iot:Data-ATS ou de votre point de terminaison iot:CredentialProvider. La AWS CLI commande suivante montre comment faire passer le point de terminaison via un réseau public :aws iot describe-endpoint --endpoint-type iot:Data-ATS, ouaws iot describe-endpoint --endpoint-type iot:CredentialProvider.

      Note

      Si vous utilisez des domaines personnalisés, consultez la section Utilisation de domaines personnalisés avec des VPC points de terminaison. Les domaines personnalisés ne sont pas pris en charge par le fournisseur AWS IoT Core d'identifiants.

    • Pour Type, choisissez Zone hébergée privée.

    • En option, vous pouvez ajouter ou supprimer des balises à associer à votre zone hébergée.

  3. Pour créer votre zone hébergée privée, choisissez Créer une zone hébergée.

Pour plus d’informations, consultez Création d’une zone hébergée privée.

Créer un enregistrement

Après avoir créé une zone hébergée privée, vous pouvez créer un enregistrement indiquant la DNS manière dont vous souhaitez que le trafic soit acheminé vers ce domaine.

Pour créer un enregistrement

  1. Dans la liste des zones hébergées affichée, choisissez la zone hébergée privée que vous avez créée précédemment et sur Créer un enregistrement.

  2. Utilisez la méthode d'assistance pour créer l'enregistrement. Si la console vous présente la méthode de Création rapide, choisissez Passer à l'assistant.

  3. Choisissez Routage simple pour Stratégie de routage, puis sur Suivant.

  4. Dans la page Configurer les enregistrements, choisissez Définir un enregistrement simple.

  5. Dans la page Définir un enregistrement simple :

    • Pour Nom de l'enregistrement, saisissez le point de terminaison iot:Data-ATS ou le point de terminaison iot:CredentialProvider. Cela doit être identique au nom de la zone hébergée privée.

    • Pour Type d'enregistrement, conservez la valeur à A - Routes traffic to an IPv4 address and some AWS resources.

    • Pour le trafic Value/Route to, choisissez Alias to VPC endpoint. Choisissez ensuite votre Région, puis Point de terminaison que vous avez créé précédemment, comme décrit dans la liste des points de terminaison Création d'un point de terminaison VPC d'interface Amazon affichés.

  6. Choisissez Définir un enregistrement simple pour créer votre enregistrement.

Contrôle de l'accès à AWS IoT Core plus de points de VPC terminaison

Vous pouvez restreindre l'accès aux appareils AWS IoT Core pour qu'il soit autorisé uniquement via le point de VPC terminaison en utilisant des clés contextuelles de VPC condition. AWS IoT Core prend en charge les clés de contexte VPC associées suivantes :

Note

AWS IoT Core ne prend pas en charge les politiques relatives aux points de terminaison pour les points de VPC terminaison.

Par exemple, la politique suivante accorde l'autorisation de se connecter à AWS IoT Core l'aide d'un ID client correspondant au nom de l'objet et de publier sur n'importe quelle rubrique préfixée par le nom de l'objet, à condition que l'appareil se connecte à un VPC point de terminaison avec un identifiant de point de VPC terminaison particulier. Cette stratégie refuserait les tentatives de connexion à votre point de terminaison de données IoT public.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-1a2b3c4d"
                }
            }
            
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*"
            ]
        }
    ]
}

Limites

VPCles points de terminaison ne sont actuellement pris en charge que pour les points de terminaison de AWS IoT Core données et les points de terminaison des fournisseurs AWS IoT Core d'informations d'identification. VPCles points de terminaison ne sont pas pris en charge pour les points de terminaison Federal Information Processing Standard (FIPS).

Limites des points de VPC terminaison de données IoT

Cette section couvre les limites des VPC points de terminaison de données IoT.

  • MQTTles périodes de maintien en vie sont limitées à 230 secondes. Les périodes de maintien en vie plus longues seront automatiquement réduites à 230 secondes.

  • Chaque VPC point de terminaison prend en charge 100 000 appareils connectés simultanément au total. Si vous avez besoin de plus de connexions, consultez Dimensionnement des VPC points de terminaison avec AWS IoT Core.

  • VPCles terminaux ne prennent en charge que IPv4 le trafic.

  • VPCles points de terminaison ne fourniront que ATSdes certificats, à l'exception des domaines personnalisés.

  • VPCles politiques relatives aux terminaux ne sont pas prises en charge.

  • Pour les VPC points de terminaison créés pour le plan de AWS IoT Core données, l'utilisation d'enregistrements publics DNS zonaux ou régionaux AWS IoT Core n'est pas prise en charge.

Limites des points de terminaison du fournisseur d'informations d'identification

Cette section couvre les limites des points de VPC terminaison des fournisseurs d'informations d'identification.

  • VPCles terminaux ne prennent en charge que IPv4 le trafic.

  • VPCles points de terminaison ne fourniront que ATSdes certificats.

  • VPCles politiques relatives aux terminaux ne sont pas prises en charge.

  • Les domaines personnalisés ne sont pas pris en charge pour les points de terminaison du fournisseur d'informations d'identification.

  • Pour les VPC points de terminaison créés pour le fournisseur AWS IoT Core d'informations d'identification, l'utilisation d'enregistrements publics zonaux ou régionaux AWS IoT Core n'est pas prise en charge. DNS

Dimensionnement des VPC points de terminaison avec AWS IoT Core

AWS IoT Core Les VPC points de terminaison d'interface sont limités à 100 000 appareils connectés via un seul point de terminaison d'interface. Si votre cas d'utilisation nécessite davantage de connexions simultanées au broker, nous vous recommandons d'utiliser plusieurs points de VPC terminaison et de router manuellement vos appareils sur les points de terminaison de votre interface. Lorsque vous créez DNS des enregistrements privés pour acheminer le trafic vers vos VPC points de terminaison, veillez à créer autant d'enregistrements pondérés que de points de VPC terminaison afin de répartir le trafic entre vos différents points de terminaison.

Utilisation de domaines personnalisés avec des points de VPC terminaison

Si vous souhaitez utiliser des domaines personnalisés avec des VPC points de terminaison, vous devez créer vos enregistrements de nom de domaine personnalisés dans une zone hébergée privée et créer des enregistrements de routage dans Route53. Pour plus d’informations, consultez Création d’une zone hébergée privée.

Note

Les domaines personnalisés ne sont pris en charge que pour les points de terminaison de AWS IoT Core données.

Disponibilité des VPC points de terminaison pour AWS IoT Core

AWS IoT Core Les VPC points de terminaison d'interface sont disponibles dans toutes les régions AWS IoT Core prises en charge. AWS IoT Core VPCLes points de terminaison d'interface pour le fournisseur AWS IoT Core d'informations d'identification ne sont pas pris en charge dans la région chinoise et. AWS GovCloud (US) Regions