Buat hal IoT Membuat IAM peran untuk digunakan sebagai peran perangkat Membuat kebijakan yang dikelola khusus bagi IAM pengguna untuk menggunakan Device Advisor Buat IAM pengguna untuk menggunakan Device Advisor Konfigurasikan perangkat Anda

Pengaturan

Sebelum Anda menggunakan Device Advisor untuk pertama kalinya, selesaikan tugas-tugas berikut:

Buat hal IoT

Pertama, buat IoT dan lampirkan sertifikat ke benda itu. Untuk tutorial tentang cara membuat sesuatu, lihat Create a thing object.

Membuat IAM peran untuk digunakan sebagai peran perangkat

catatan

Anda dapat dengan cepat membuat peran perangkat dengan konsol Device Advisor. Untuk mempelajari cara mengatur peran perangkat dengan konsol Device Advisor, lihat Memulai Device Advisor di konsol.

Buka AWS Identity and Access Management konsol dan masuk ke yang Akun AWS Anda gunakan untuk pengujian Device Advisor.
Di panel navigasi kiri, pilih Kebijakan.
Pilih Buat kebijakan.
Di bawah Create policy, lakukan hal berikut:
1. Untuk Layanan, pilih IoT.
2. Di bawah Tindakan, lakukan salah satu hal berikut:
  - (Disarankan) Pilih tindakan berdasarkan kebijakan yang dilampirkan pada hal IoT atau sertifikat yang Anda buat di bagian sebelumnya.
  - Cari tindakan berikut di kotak tindakan Filter dan pilih:
    - Connect
    - Publish
    - Subscribe
    - Receive
    - RetainPublish
3. Di bawah Sumber Daya, batasi sumber daya klien, topik, dan topik. Membatasi sumber daya ini adalah praktik terbaik keamanan. Untuk membatasi sumber daya, lakukan hal berikut:
  1. Pilih Tentukan sumber daya klien ARN untuk tindakan Connect.
  2. Pilih Tambah ARN, lalu lakukan salah satu dari berikut ini:
    
    catatan
    clientIdIni adalah ID MQTT klien yang digunakan perangkat Anda untuk berinteraksi dengan Device Advisor.
    - Tentukan Region, AccountID, dan clientID di editor visual. ARN
    - Masukkan Amazon Resource Names (ARNs) secara manual dari topik IoT yang ingin Anda jalankan dengan kasus pengujian.
  3. Pilih Tambahkan.
  4. Pilih Tentukan sumber topik ARN untuk Menerima dan satu tindakan lagi.
  5. Pilih Tambah ARN, lalu lakukan salah satu dari berikut ini:
    
    catatan
    Nama topik adalah MQTT topik tempat perangkat Anda memublikasikan pesan.
    - Tentukan nama Wilayah, AccountID, dan Topik di editor visual. ARN
    - Masukkan topik IoT secara manual yang ingin Anda jalankan dengan kasus uji. ARNs
  6. Pilih Tambahkan.
  7. Pilih Tentukan topicFilter sumber daya ARN untuk tindakan Berlangganan.
  8. Pilih Tambah ARN, lalu lakukan salah satu dari berikut ini:
    
    catatan
    Nama topik adalah MQTT topik yang digunakan perangkat Anda.
    - Tentukan nama Wilayah, AccountID, dan Topik di editor visual. ARN
    - Masukkan topik IoT secara manual yang ingin Anda jalankan dengan kasus uji. ARNs
  9. Pilih Tambahkan.
Pilih Selanjutnya: Tag.
Pilih Berikutnya: Tinjau.
Di bawah Kebijakan peninjauan, masukkan Nama untuk kebijakan Anda.
Pilih Buat kebijakan.
Di panel navigasi kiri, Pilih Peran.
Pilih Buat Peran.
Di bawah Pilih entitas tepercaya, pilih Kebijakan kepercayaan khusus.

Masukkan kebijakan kepercayaan berikut ke dalam kotak Kebijakan kepercayaan kustom. Untuk melindungi dari masalah wakil yang membingungkan, tambahkan kunci konteks kondisi global aws:SourceArn dan aws:SourceAccount ke kebijakan.

penting

Anda aws:SourceArn harus mematuhi format: arn:aws:iotdeviceadvisor:region:account-id:*. Pastikan yang region cocok dengan AWS IoT Wilayah Anda dan account-id cocok dengan ID akun pelanggan Anda. Untuk informasi lebih lanjut, lihat Pencegahan Deputi Bingung Lintas Layanan.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAwsIoTCoreDeviceAdvisor",
            "Effect": "Allow",
            "Principal": {
                "Service": "iotdeviceadvisor.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:iotdeviceadvisor:*:111122223333:suitedefinition/*"
                }
            }
        }
    ]
}

Pilih Berikutnya.
Pilih kebijakan yang Anda buat di Langkah 4.
(Opsional) Di bawah Setel batas izin, pilih Gunakan batas izin untuk mengontrol izin peran maksimum, lalu pilih kebijakan yang Anda buat.
Pilih Berikutnya.
Masukkan nama Peran dan deskripsi Peran.
Pilih Buat peran.

Membuat kebijakan yang dikelola khusus bagi IAM pengguna untuk menggunakan Device Advisor

Arahkan ke IAM konsol di https://console.aws.amazon.com/iam/. Jika diminta, masukkan AWS kredensi Anda untuk masuk.
Di panel navigasi di sebelah kiri, pilih Kebijakan.
Pilih Buat Kebijakan, lalu pilih JSONtab.
Tambahkan izin yang diperlukan untuk menggunakan Device Advisor. Dokumen kebijakan dapat ditemukan di topik Praktik terbaik keamanan.
Pilih Tinjau Kebijakan.
Masukkan Nama dan Deskripsi.
Pilih Buat Kebijakan.

Buat IAM pengguna untuk menggunakan Device Advisor

catatan

Sebaiknya Anda membuat IAM pengguna untuk digunakan saat menjalankan pengujian Device Advisor. Menjalankan pengujian Device Advisor dari pengguna admin dapat menimbulkan risiko keamanan dan tidak disarankan.

Arahkan ke IAM konsol di https://console.aws.amazon.com/iam/Jika diminta, masukkan AWS kredensional Anda untuk masuk.
Di panel navigasi kiri, Pilih Pengguna.
Pilih Tambah Pengguna.
Masukkan nama pengguna.

Pengguna membutuhkan akses terprogram jika mereka ingin berinteraksi dengan AWS luar. AWS Management Console Cara untuk memberikan akses terprogram tergantung pada jenis pengguna yang mengakses AWS.

Untuk memberi pengguna akses programatis, pilih salah satu opsi berikut.

Pengguna mana yang membutuhkan akses programatis?	Untuk	Oleh
Identitas tenaga kerja (Pengguna dikelola di Pusat IAM Identitas)	Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk AWS CLI, lihat Mengkonfigurasi yang akan AWS CLI digunakan AWS IAM Identity Center dalam Panduan AWS Command Line Interface Pengguna. Untuk AWS SDKs, alat, dan AWS APIs, lihat otentikasi Pusat IAM Identitas di Panduan Referensi Alat AWS SDKs dan Alat.
IAM	Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs	Mengikuti petunjuk dalam Menggunakan kredensi sementara dengan AWS sumber daya di IAMPanduan Pengguna.
IAM	(Tidak direkomendasikan) Gunakan kredensi jangka panjang untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk mengetahui AWS CLI, lihat Mengautentikasi menggunakan kredensi IAM pengguna di Panduan Pengguna.AWS Command Line Interface Untuk AWS SDKs dan alat, lihat Mengautentikasi menggunakan kredensi jangka panjang di Panduan Referensi Alat AWS SDKs dan Alat. Untuk AWS APIs, lihat Mengelola kunci akses untuk IAM pengguna di Panduan IAM Pengguna.

Pengguna mana yang membutuhkan akses programatis?

Untuk

Oleh

Identitas tenaga kerja

(Pengguna dikelola di Pusat IAM Identitas)

Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs

Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan.

Untuk AWS CLI, lihat Mengkonfigurasi yang akan AWS CLI digunakan AWS IAM Identity Center dalam Panduan AWS Command Line Interface Pengguna.
Untuk AWS SDKs, alat, dan AWS APIs, lihat otentikasi Pusat IAM Identitas di Panduan Referensi Alat AWS SDKs dan Alat.

IAM

Gunakan kredensi sementara untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs

Mengikuti petunjuk dalam Menggunakan kredensi sementara dengan AWS sumber daya di IAMPanduan Pengguna.

IAM

(Tidak direkomendasikan)

Gunakan kredensi jangka panjang untuk menandatangani permintaan terprogram ke AWS CLI,, AWS SDKs atau. AWS APIs

Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan.

Untuk mengetahui AWS CLI, lihat Mengautentikasi menggunakan kredensi IAM pengguna di Panduan Pengguna.AWS Command Line Interface
Untuk AWS SDKs dan alat, lihat Mengautentikasi menggunakan kredensi jangka panjang di Panduan Referensi Alat AWS SDKs dan Alat.
Untuk AWS APIs, lihat Mengelola kunci akses untuk IAM pengguna di Panduan IAM Pengguna.

Pilih Berikutnya: Izin.
Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda:
- Pengguna dan grup di AWS IAM Identity Center:
  
  Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .
- Pengguna yang dikelola IAM melalui penyedia identitas:
  
  Buat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan IAM Pengguna.
- IAMpengguna:
  - Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk dalam Membuat peran bagi IAM pengguna di Panduan IAM Pengguna.
  - (Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk di Menambahkan izin ke pengguna (konsol) di Panduan IAM Pengguna.
Masukkan nama kebijakan yang dikelola khusus yang Anda buat di kotak pencarian. Kemudian, pilih kotak centang untuk Nama kebijakan.
Pilih Selanjutnya: Tag.
Pilih Berikutnya: Tinjauan.
Pilih Create user (Buat pengguna).
Pilih Tutup.

Device Advisor memerlukan akses ke AWS sumber daya Anda (barang, sertifikat, dan titik akhir) atas nama Anda. IAMPengguna Anda harus memiliki izin yang diperlukan. Device Advisor juga akan menerbitkan log ke Amazon CloudWatch jika Anda melampirkan kebijakan izin yang diperlukan kepada pengguna AndaIAM.

Konfigurasikan perangkat Anda

Device Advisor menggunakan TLS ekstensi indikasi nama server (SNI) untuk menerapkan TLS konfigurasi. Perangkat harus menggunakan ekstensi ini saat terhubung dan meneruskan nama server yang identik dengan titik akhir pengujian Device Advisor.

Device Advisor memungkinkan TLS koneksi saat tes dalam Running keadaan. Ini menyangkal TLS koneksi sebelum dan sesudah setiap uji coba. Untuk alasan ini, kami menyarankan Anda menggunakan mekanisme coba lagi koneksi perangkat untuk pengalaman pengujian otomatis sepenuhnya dengan Device Advisor. Anda dapat menjalankan rangkaian pengujian yang menyertakan lebih dari satu kasus uji, seperti TLS connect, MQTT connect, dan MQTT publish. Jika Anda menjalankan beberapa kasus pengujian, sebaiknya perangkat Anda mencoba menyambung ke titik akhir pengujian kami setiap lima detik. Anda kemudian dapat mengotomatiskan menjalankan beberapa kasus uji secara berurutan.

catatan

Untuk menyiapkan perangkat lunak perangkat Anda untuk pengujian, kami sarankan Anda menggunakan perangkat SDK yang dapat terhubung AWS IoT Core. Anda kemudian harus memperbarui SDK dengan titik akhir pengujian Device Advisor yang disediakan untuk Anda. Akun AWS

Device Advisor mendukung dua jenis endpoint: Account-level dan Device-level endpoint. Pilih titik akhir yang paling sesuai dengan kasus penggunaan Anda. Untuk menjalankan beberapa rangkaian pengujian secara bersamaan untuk perangkat yang berbeda, gunakan titik akhir tingkat Perangkat.

Jalankan perintah berikut untuk mendapatkan titik akhir tingkat Perangkat:

Untuk MQTT pelanggan yang menggunakan sertifikat klien X.509:


aws iotdeviceadvisor get-endpoint --thing-arn your-thing-arn

atau


aws iotdeviceadvisor get-endpoint --certificate-arn your-certificate-arn

Untuk MQTT lebih dari WebSocket pelanggan yang menggunakan Signature Version 4:


aws iotdeviceadvisor get-endpoint --device-role-arn your-device-role-arn --authentication-method SignatureVersion4

Untuk menjalankan satu rangkaian pengujian pada satu waktu, pilih titik akhir tingkat Akun. Jalankan perintah berikut untuk mendapatkan titik akhir Account-level:


aws iotdeviceadvisor get-endpoint

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Penasihat Perangkat

Memulai dengan Device Advisor di konsol