Mise en service des appareils

AWS propose plusieurs méthodes différentes pour approvisionner un appareil et y installer des certificats clients uniques. Cette section décrit chaque méthode et explique comment sélectionner celle qui convient le mieux à votre solution IoT. Ces options sont décrites en détail dans le livre blanc intitulé Device Manufacturing and Provisioning with X.509 Certificates in AWS IoT Core.

Sélectionnez l’option qui convient le mieux à votre situation

• Vous pouvez installer des certificats sur les appareils IoT avant qu’ils ne soient délivrés

  Si vous pouvez installer en toute sécurité des certificats client uniques sur vos appareils IoT avant qu’ils ne soient fournis à l’utilisateur final, vous devez utiliser la mise en service juste à temps (JITP) ou l’enregistrement juste à temps (JITR).

  À l'aide de JITP et JITR, l'autorité de certification (CA) utilisée pour signer le certificat de l'appareil est enregistrée AWS IoT et reconnue AWS IoT lors de la première connexion de l'appareil. L'appareil est approvisionné AWS IoT lors de sa première connexion à l'aide des détails de son modèle de provisionnement.

  Pour plus d’informations sur le single thing, le JITP, le JITR et la mise en service groupé d’appareils dotés de certificats uniques, veuillez consulter Mise en service d'appareils disposant de certificats d'appareils.

• Les utilisateurs finaux ou les installateurs peuvent utiliser une application pour installer des certificats sur leurs appareils IoT

  Si vous ne pouvez pas installer de manière sécurisée des certificats clients uniques sur votre appareil IoT avant qu’ils ne soient fournis à l’utilisateur final, mais que l’utilisateur final ou un installateur peut utiliser une application pour enregistrer les appareils et installer les certificats d’appareils uniques, vous devez utiliser le processus de mise en service par un utilisateur de confiance.

  L’utilisation d’un utilisateur de confiance, tel qu’un utilisateur final ou un installateur possédant un compte connu, peut simplifier le processus de fabrication des appareils. Au lieu d'un certificat client unique, les appareils disposent d'un certificat temporaire qui leur permet de se connecter AWS IoT pendant 5 minutes seulement. Au cours de cette fenêtre de 5 minutes, l’utilisateur de confiance obtient un certificat client unique avec une durée de vie plus longue et l’installe sur l’appareil. La durée de vie limitée du certificat de réclamation minimise le risque de compromission du certificat.

  Pour plus d’informations, consultez Allocation par utilisateur approuvé.

• Les utilisateurs finaux NE PEUVENT PAS utiliser une application pour installer des certificats sur leurs appareils IoT

  Si aucune des options précédentes ne fonctionne dans votre solution IoT, la mise en service par processus de demande est une option. Dans le cadre de ce processus, vos appareils IoT disposent d’un certificat de réclamation qui est partagé par les autres appareils de la flotte. La première fois qu'un appareil se connecte à un certificat de réclamation, AWS IoT enregistre l'appareil à l'aide de son modèle de provisionnement et délivre à l'appareil son certificat client unique pour un accès ultérieur. AWS IoT

  Cette option permet le provisionnement automatique d'un appareil lorsqu'il se connecte AWS IoT, mais peut présenter un risque plus important en cas de compromission d'un certificat de réclamation. Si un certificat de demande est compromis, vous pouvez le désactiver. La désactivation du certificat de demande empêche l’enregistrement futur de tous les appareils dotés de ce certificat de demande. Toutefois, la désactivation du certificat de demande ne bloque pas les appareils déjà mis en service.

  Pour plus d’informations, consultez Allocation par revendication.

Mise en service d’appareils dans AWS IoT

Lorsque vous approvisionnez un appareil AWS IoT, vous devez créer des ressources pour que vos appareils AWS IoT puissent communiquer en toute sécurité. D'autres ressources peuvent être créées pour vous aider à gérer votre flotte d'appareils. Les ressources suivantes peuvent être créées au cours du processus de mise en service :

• Un objet IoT.

  Les objets IoT sont des entrées dans le registre des AWS IoT appareils. Chaque objet a un nom et un ensemble d'attributs uniques, et est associé à un appareil physique. Les objets peuvent être définis à l'aide d'un type d'objet ou regroupées en groupes d'objets. Pour plus d’informations, consultez Gestion des appareils avec AWS IoT.

  Bien qu'elle ne soit pas nécessaire, la création d'un objet vous permet de gérer votre flotte d'appareils plus efficacement en recherchant les appareils par type d'objet, groupe d'objets et attributs d'objet. Pour plus d’informations, consultez Indexation de la flotte.

  Note

  Pour indexer les données d'état de connectivité de votre objet, approvisionnez votre objet et configurez-le de manière à ce que le nom de l'objet corresponde à l'ID client utilisé dans la demande Connect.

• Un certificat X.509.

  Les appareils utilisent des certificats X.509 pour effectuer une authentification mutuelle avec AWS IoT. Vous pouvez enregistrer un certificat existant ou faire AWS IoT générer et enregistrer un nouveau certificat pour vous. Vous associez un certificat à un appareil en l'attachant à l'objet qui représente l'appareil. Vous devez également copier le certificat et la clé privée associée sur l'appareil. Les appareils présentent le certificat lors de la connexion à AWS IoT. Pour plus d’informations, consultez Authentification.

• Une stratégie IoT.

  Les stratégies IoT définissent les opérations qu’un appareil peut effectuer dans AWS IoT. Les stratégies IoT sont attachées aux certificats des appareils. Lorsqu'un appareil présente le certificat à AWS IoT, il reçoit les autorisations spécifiées dans la politique. Pour plus d’informations, consultez Autorisation. Chaque appareil a besoin d'un certificat pour communiquer avec AWS IoT.

AWS IoT prend en charge le provisionnement automatique de la flotte à l'aide de modèles de provisionnement. Les modèles de provisionnement décrivent les ressources nécessaires AWS IoT pour approvisionner votre appareil. Les modèles contiennent des variables qui vous permettent d'utiliser un modèle pour mettre en service plusieurs appareils. Lorsque vous allouez un appareil, vous spécifiez des valeurs pour les variables spécifiques à l'appareil à l'aide d'un dictionnaire ou d'une carte. Pour mettre en service un autre appareil, spécifiez de nouvelles valeurs dans le dictionnaire.

Vous pouvez utiliser l'allocation automatisée, que vos appareils disposent de certificats uniques (et de leur clé privée associée) ou non.

API de mise en service de flotte

Il existe plusieurs catégories d'API utilisées dans le provisionnement de flotte :

• Ces fonctions de plan de contrôle créent et gèrent les modèles de provisionnement de flotte et configurent les stratégies des utilisateurs approuvés.

  • CreateProvisioningModèle

  • CreateProvisioningTemplateVersion

  • DeleteProvisioningModèle

  • DeleteProvisioningTemplateVersion

  • DescribeProvisioningModèle

  • DescribeProvisioningTemplateVersion

  • ListProvisioningModèles

  • ListProvisioningTemplateVersions

  • UpdateProvisioningModèle

• Les utilisateurs approuvés peuvent utiliser cette fonction de plan de contrôle pour générer une demande d'intégration temporaire. Cette demande temporaire est transmise à l'appareil lors de la configuration Wi-Fi ou d’une méthode similaire.

  • CreateProvisioningRéclamation

• API MQTT utilisée au cours du processus de provisionnement par des périphériques avec un certificat de demande de provisionnement incorporé dans un périphérique ou transmis par un utilisateur approuvé.

  • CreateCertificateFromCsr

  • CreateKeysAndCertificate

  • RegisterThing