Configuration des paramètres TLS dans les configurations de domaine - AWS IoT Core

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des paramètres TLS dans les configurations de domaine

AWS IoT Core fournit des politiques de sécurité prédéfinies vous permettant de personnaliser vos paramètres TLS (Transport Layer Security) pour TLS 1.2 et TLS 1.3 dans les configurations de domaine. Une politique de sécurité est une combinaison de protocoles TLS et de leurs chiffrements qui déterminent les protocoles et chiffrements pris en charge lors des négociations TLS entre un client et un serveur. Grâce aux politiques de sécurité prises en charge, vous pouvez gérer les paramètres TLS de vos appareils avec plus de flexibilité, appliquer le plus grand nombre de mesures de up-to-date sécurité lors de la connexion de nouveaux appareils et maintenir des configurations TLS cohérentes pour les appareils existants.

Le tableau suivant décrit les stratégies de sécurité pouvant être spécifiées pour des points de terminaison d'API régionale.

Nom de la politique de sécurité Soutenu Régions AWS
IoT SecurityPolicy _TLS13_1_3_2022_10 Tout Régions AWS
IoT SecurityPolicy _TLS13_1_2_2022_10 Tout Régions AWS
IoT SecurityPolicy _TLS12_1_2_2022_10 Tout Régions AWS
IoT SecurityPolicy _TLS12_1_0_2016_01 ap-est-1, ap-nord-est-2, ap-sud-1, ap-southeast-2, ca-central-1, cn-nord-1, cn-nord-ouest-1, eu-nord-1, eu-ouest-2, eu-ouest-3, me-sud-1, sa-est-1, us-est-2, us-ouest-1 us-gov-west us-gov-west
IoT SecurityPolicy _TLS12_1_0_2015_01 ap-northeast-1, ap-southeast-1, eu-central-1, eu-west-1, us-east-1, us-west-2

Les noms des politiques de sécurité AWS IoT Core incluent des informations de version basées sur l'année et le mois de leur publication. Si vous créez un nouveau domaine, il n'est pas nécessaire de mettre à niveau IoTSecurityPolicy_TLS13_1_2_2022_10. Pour un tableau complet des politiques de sécurité avec des détails sur les protocoles, les ports TCP et les chiffrements, voir Politiques de sécurité. AWS IoT Core ne prend pas en charge les politiques de sécurité personnalisées. Pour plus d’informations, consultez Sûreté des transports dans AWS IoT Core.

Pour configurer les paramètres TLS dans les configurations de domaine, vous pouvez utiliser la AWS IoT console ou le AWS CLI.

Configurer les paramètres TLS dans les configurations de domaine (console)

Pour configurer les paramètres TLS à l'aide de la console AWS IoT
  1. Connectez-vous à la AWS IoT console AWS Management Console et ouvrez-la.

  2. Pour configurer les paramètres TLS lorsque vous créez une nouvelle configuration de domaine, procédez comme suit.

    1. Dans le volet de navigation de gauche, choisissez Paramètres, puis, dans la section Configurations de domaine, choisissez Créer une configuration de domaine.

    2. Sur la page Créer une configuration de domaine, dans la section Paramètres de domaine personnalisés - facultatif, choisissez une politique de sécurité dans Sélectionner une stratégie de sécurité.

    3. Suivez le widget et terminez le reste des étapes. Choisissez Créer une configuration de domaine.

  3. Pour mettre à jour les paramètres TLS dans une configuration de domaine existante, procédez comme suit.

    1. Dans le volet de navigation de gauche, choisissez Paramètres, puis, sous Configurations de domaine, choisissez une configuration de domaine.

    2. Sur la page des détails de configuration du domaine, choisissez Modifier. Ensuite, dans la section Paramètres de domaine personnalisés - facultatif, sous Sélectionner une politique de sécurité, choisissez une politique de sécurité.

    3. Choisissez Mettre à jour la configuration du domaine.

Pour plus d'informations, consultez les sections Création d'une configuration de domaine et Gestion des configurations de domaine.

Configurer les paramètres TLS dans les configurations de domaine (CLI)

Vous pouvez utiliser les commandes CLI create-domain-configuration et update-domain-configuration pour configurer vos paramètres TLS dans les configurations de domaine.

  1. Pour spécifier les paramètres TLS à l'aide de la commande CLI create-domain-configuration:

    aws iot create-domain-configuration \ --domain-configuration-name domainConfigurationName \ --tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10

    Le résultat de cette commande peut ressembler à ce qui suit :

    { "domainConfigurationName": "test", "domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9" }

    Si vous créez une nouvelle configuration de domaine sans spécifier la politique de sécurité, la valeur par défaut sera : IoTSecurityPolicy_TLS13_1_2_2022_10.

  2. Pour décrire les paramètres TLS à l'aide de la commande CLI describe-domain-configuration:

    aws iot describe-domain-configuration \ --domain-configuration-name domainConfigurationName

    Cette commande peut renvoyer les détails de configuration du domaine qui incluent les paramètres TLS, comme suit :

    { "tlsConfig": { "securityPolicy": "IoTSecurityPolicy_TLS13_1_2_2022_10" }, "domainConfigurationStatus": "ENABLED", "serviceType": "DATA", "domainType": "AWS_MANAGED", "domainName": "d1234567890abcdefghij-ats.iot.us-west-2.amazonaws.com", "serverCertificates": [], "lastStatusChangeDate": 1678750928.997, "domainConfigurationName": "test", "domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9" }
  3. Pour mettre à jour les paramètres TLS à l'aide de la commande CLI update-domain-configuration :

    aws iot update-domain-configuration \ --domain-configuration-name domainConfigurationName \ --tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10

    Le résultat de cette commande peut ressembler à ce qui suit :

    { "domainConfigurationName": "test", "domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9" }
  4. Pour mettre à jour les paramètres TLS de votre point de terminaison ATS, exécutez la commande CLI update-domain-configuration. Le nom de configuration de domaine de votre point de terminaison ATS estiot:Data-ATS.

    aws iot update-domain-configuration \ --domain-configuration-name "iot:Data-ATS" \ --tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10

    La sortie de la commande ressemble à ce qui suit :

    { "domainConfigurationName": "iot:Data-ATS", "domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/iot:Data-ATS" }

Pour plus d'informations, consultez CreateDomainConfigurationet UpdateDomainConfigurationdans le Guide de référence des AWS API.