Configuration - AWS IoT Core

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration

Avant d'utiliser Device Advisor pour la première fois, effectuez les tâches suivantes :

Création d’un objet IoT

Tout d'abord, créez un objet IoT et associez un certificat. Pour un didacticiel sur la création d'objets, voir Création d'un d'objet.

Créer un rôle IAM à utiliser comme rôle de périphérique

Note

Vous pouvez rapidement créer le rôle d'appareil à l'aide de la console Device Advisor. Pour savoir comment configurer le rôle de votre appareil avec la console Device Advisor, consultez Commencer à utiliser Device Advisor dans la console.

  1. Accédez à la AWS Identity and Access Management console et connectez-vous à celle que Compte AWS vous utilisez pour tester Device Advisor.

  2. Dans le panneau de navigation de gauche, choisissez Politiques.

  3. Choisissez Créer une politique.

  4. Sous Review Policy (Examiner une politique), procédez comme suit :

    1. Pour Service, choisissez loT.

    2. Sous Actions, effectuez l'une des opérations suivantes :

      • (Recommandé) Sélectionnez les actions en fonction de la politique associée à l'objet ou au certificat IoT que vous avez créé dans la section précédente.

      • Recherchez les actions suivantes dans Filter action (Action de filtrage) et sélectionnez-les :

        • Connect

        • Publish

        • Subscribe

        • Receive

        • RetainPublish

    3. Sous Ressources, limitez le client, le sujet et les ressources du sujet. Restreindre ces ressources constitue une bonne pratique de sécurité. Pour limiter les ressources, procédez comme suit :

      1. Choisissez Spécifier l'ARN de la ressource client pour l'action Connect.

      2. Choisissez Ajouter un ARN, puis effectuez l'une des opérations suivantes :

        Note

        Le clientId est l'ID du client MQTT que votre appareil utilise pour interagir avec Device Advisor.

        • Spécifiez la Région, accountID, et le clientID dans l'éditeur visuel ARN.

        • Entrez manuellement les Amazon Resource Names (ARN) des rubriques IoT avec lesquels vous souhaitez exécuter vos scénarios de test.

      3. Choisissez Ajouter.

      4. Choisissez Specify topic resource ARN for the Receive and one more action. (Spécifiez l’ARN de la ressource de sujet pour la réception et une autre action)

      5. Choisissez Ajouter un ARN, puis effectuez l'une des opérations suivantes :

        Note

        Le topic name (nom de rubrique) est lz rubrique MQTT sur lequel votre appareil publie des messages.

        • Spécifiez la Région, accountID, et le Topic name dans l'éditeur visuel ARN.

        • Saisissez manuellement les ARN des sujets IoT avec lesquels vous souhaitez exécuter vos scénarios de test.

      6. Choisissez Ajouter.

      7. Choisissez Spécifier l'ARN de la ressource TopicFilter pour l'action Subscribe.

      8. Choisissez Ajouter un ARN, puis effectuez l'une des opérations suivantes :

        Note

        Le topic name (nom de rubrique) est la rubrique MQTT à laquelle votre appareil est abonné.

        • Spécifiez la Région, accountID, et le Topic name dans l'éditeur visuel ARN.

        • Saisissez manuellement les ARN des sujets IoT avec lesquels vous souhaitez exécuter vos scénarios de test.

      9. Choisissez Ajouter.

  5. Choisissez Suivant : Balises.

  6. Choisissez Suivant : Vérification.

  7. Sous Review policy, (Examiner une politique), saisissez un Nom pour votre politique.

  8. Choisissez Créer une politique.

  9. Dans le panneau de navigation de gauche, choisissez Rôles.

  10. Choisissez Create Role (Créer un rôle).

  11. Sous Select trusted entity (Sélectionner une entité de confiance) , choisissez Custom trust policy. (Stratégie de confiance personnalisée)

  12. Entrez la politique de confiance suivante dans le champ Custom trust policy (Politique de confiance personnalisée) Ajoutez les clés de condition globale aws:SourceArn et aws:SourceAccount à la politique pour vous protéger contre le problème de l’adjoint confus.

    Important

    Votre aws:SourceArn doit se conformer à la section format: arn:aws:iotdeviceadvisor:region:account-id:*. Assurez-vous que region correspond à votre AWS IoT région et que account-id correspond à votre numéro de compte client. Pour plus d’informations, consultez Prévention du problème de l’adjoint confus entre services.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAwsIoTCoreDeviceAdvisor", "Effect": "Allow", "Principal": { "Service": "iotdeviceadvisor.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:iotdeviceadvisor:*:111122223333:suitedefinition/*" } } } ] }
  13. Choisissez Suivant.

  14. Choisissez la politique que vous avez créée à l'étape 4.

  15. (Facultatif) Sous Définir la limite d'autorisations, choisissez Utiliser une limite des autorisations pour contrôler les autorisations de rôle maximales, puis sélectionnez la stratégie que vous avez créée.

  16. Choisissez Suivant.

  17. Entrez un nom de rôle et une description.

  18. Sélectionnez Créer un rôle.

Créez une politique gérée par le client pour qu'un utilisateur IAM puisse utiliser Device Advisor

  1. Connectez-vous à la console IAM à l'adresse https://console.aws.amazon.com/iam/. Si vous y êtes invité, saisissez vos informations d'identification AWS .

  2. Dans le panneau de navigation de gauche, choisissez Politiques.

  3. Choisissez Create policy (Créer une politique), puis choisissez l'onglet JSON.

  4. Ajoutez les autorisations nécessaires pour utiliser Device Advisor. Le document de politique se trouve dans la rubrique Bonnes pratiques en matière de sécurité.

  5. Choisissez Review Policy (Examiner une stratégie).

  6. Saisissez un Name (Nom) et une Description.

  7. Choisissez Create Policy (Créer une stratégie).

Création d'un utilisateur IAM pour utiliser Device Advisor

Note

Nous vous recommandons de créer un utilisateur IAM à utiliser lorsque vous exécutez des tests Device Advisor. L'exécution de tests Device Advisor par un utilisateur administrateur peut présenter des risques de sécurité et n'est donc pas recommandée.

  1. Accédez à la console IAM à l'adresse https://console.aws.amazon.com/iam/ Si vous y êtes invité, entrez vos informations d'identification AWS pour vous connecter.

  2. Dans le volet de navigation de gauche, choisissez Utilisateurs.

  3. Sélectionnez Ajouter un utilisateur.

  4. Entrez un nom d'utilisateur.

  5. Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui y accède AWS.

    Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.

    Quel utilisateur a besoin d’un accès programmatique ? Pour Méthode

    Identité de la main-d’œuvre

    (Utilisateurs gérés dans IAM Identity Center)

    Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées aux AWS CLI AWS SDK ou AWS aux API.

    Suivez les instructions de l’interface que vous souhaitez utiliser.

    IAM Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées aux AWS CLI AWS SDK ou AWS aux API. Suivez les instructions de la section Utilisation d'informations d'identification temporaires avec AWS les ressources du Guide de l'utilisateur IAM.
    IAM

    (Non recommandé)

    Utilisez des informations d'identification à long terme pour signer les AWS CLI demandes programmatiques adressées aux AWS SDK ou AWS aux API.

    Suivez les instructions de l’interface que vous souhaitez utiliser.

  6. Sélectionnez Next: Permissions (Étape suivante : autorisations).

  7. Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

  8. Entrez le nom de la politique gérée par le client que vous avez créée dans la zone de recherche. Cochez ensuite la case Nom de la stratégie.

  9. Choisissez Suivant : Balises.

  10. Choisissez Next: Review (Suivant : Vérification).

  11. Choisissez Create user.

  12. Choisissez Close (Fermer).

Device Advisor a besoin d'accéder à vos AWS ressources (objets, certificats et terminaux) en votre nom. Votre utilisateur IAM doit disposer des autorisations nécessaires. Device Advisor publiera également des journaux sur Amazon CloudWatch si vous associez la politique d'autorisation nécessaire à votre utilisateur IAM.

Configurer votre appareil

Device Advisor utilise l'extension TLS d'indication de nom de serveur (SNI) pour appliquer les configurations TLS. Les appareils doivent utiliser cette extension lorsqu'ils se connectent et transmettent un nom de serveur identique à celui du point de terminaison de test Device Advisor.

Device Advisor autorise la connexion TLS lorsqu'un test est en cours Running. Il refuse la connexion TLS avant et après chaque test. C'est pourquoi nous vous recommandons d'utiliser le mécanisme de nouvelle tentative de connexion de l'appareil pour une expérience de test entièrement automatisée avec Device Advisor. Vous pouvez exécuter des suites de tests qui incluent plusieurs scénarios de test, telles que TLS connect, MQTT connect et MQTT publish. Si vous exécutez plusieurs scénarios de test, nous recommandons que votre appareil essaie de se connecter à notre point de terminaison de test toutes les cinq secondes. Vous pouvez ensuite automatiser l'exécution de plusieurs scénarios de test en séquence.

Note

Pour préparer le logiciel de votre appareil à des fins de test, nous vous recommandons d'utiliser un SDK auquel vous pouvez vous connecter AWS IoT Core. Vous devez ensuite mettre à jour le SDK avec le point de terminaison de test Device Advisor fourni pour votre Compte AWS.

Device Advisor prend en charge deux types de points de terminaison : les points de terminaison au niveau du compte et au niveau de l'appareil. Choisissez le point de terminaison qui correspond le mieux à votre cas d’utilisation. Pour exécuter simultanément plusieurs suites de tests pour différents appareils, utilisez un point de terminaison au niveau de l'appareil.

Exécutez la commande suivante pour obtenir le point de terminaison au niveau de l'appareil :

Pour les clients MQTT utilisant des certificats client X.509 :

aws iotdeviceadvisor get-endpoint --thing-arn your-thing-arn

or

aws iotdeviceadvisor get-endpoint --certificate-arn your-certificate-arn

Pour les WebSocket clients MQTT over utilisant la version 4 de Signature :

aws iotdeviceadvisor get-endpoint --device-role-arn your-device-role-arn --authentication-method SignatureVersion4

Pour exécuter une suite de tests à la fois, choisissez un point de terminaison au niveau du compte. Exécutez la commande suivante pour obtenir le point de terminaison au niveau du compte :

aws iotdeviceadvisor get-endpoint