Mengkonfigurasi pengaturan TLS dalam konfigurasi domain

AWS IoT Core menyediakan kebijakan keamanan yang telah ditentukan sebelumnya bagi Anda untuk menyesuaikan pengaturan Transport Layer Security (TLS) Anda untuk TLS 1.2 dan TLS 1.3 dalam konfigurasi domain. Kebijakan keamanan adalah kombinasi protokol TLS dan cipher mereka yang menentukan protokol dan cipher yang didukung selama negosiasi TLS antara klien dan server. Dengan kebijakan keamanan yang didukung, Anda dapat mengelola pengaturan TLS perangkat Anda dengan lebih fleksibel, menerapkan langkah-langkah up-to-date keamanan paling banyak saat menghubungkan perangkat baru, dan mempertahankan konfigurasi TLS yang konsisten untuk perangkat yang ada.

Tabel berikut menjelaskan kebijakan keamanan, versi TLS, dan wilayah yang didukung:

Nama kebijakan keamanan	Didukung Wilayah AWS
TSecurityKebijakan Io_ _1_3_2022_10 TLS13	Semua Wilayah AWS
TSecurityKebijakan Io_ _1_2_2022_10 TLS13	Semua Wilayah AWS
TSecurityKebijakan Io_ _1_2_2022_10 TLS12	Semua Wilayah AWS
TSecurityKebijakan Io_ _1_0_2016_01 TLS12	ap-east-1, ap-northeast-2, ap-selatan-1, ap-south-1, ap-southeast-2, ca-central-1, cn-utara-1, cn-utara-1, cn-barat laut-1, eu-north-1, eu-north-1, eu-west-2, eu-west-2, eu-west-2 3, me-south-1, sa-east-1, us-east-1, us-east-2, us-west-1
TSecurityKebijakan Io_ _1_0_2015_01 TLS12	ap-northeast-1, ap-southeast-1, eu-central-1, eu-central-1, eu-west-1, us-east-1, us-east-1, us-west-2

Nama-nama kebijakan keamanan AWS IoT Core termasuk informasi versi berdasarkan tahun dan bulan mereka dirilis. Jika Anda membuat konfigurasi domain baru, kebijakan keamanan akan defaultIoTSecurityPolicy_TLS13_1_2_2022_10. Untuk tabel lengkap kebijakan keamanan dengan rincian protokol, port TCP, dan cipher, lihat Kebijakan keamanan. AWS IoT Core tidak mendukung kebijakan keamanan khusus. Untuk informasi selengkapnya, lihat Keamanan transportasi di AWS IoT Core.

Untuk mengkonfigurasi pengaturan TLS dalam konfigurasi domain, Anda dapat menggunakan AWS IoT konsol atau. AWS CLI

Konfigurasikan pengaturan TLS dalam konfigurasi domain (konsol)

Untuk mengkonfigurasi pengaturan TLS menggunakan konsol AWS IoT

1. Masuk ke AWS Management Console dan buka AWS IoT konsol.

2. Untuk mengonfigurasi pengaturan TLS saat Anda membuat konfigurasi domain baru, ikuti langkah-langkah ini.

   1. Di panel navigasi kiri, pilih Pengaturan, dan kemudian, dari bagian Konfigurasi domain, pilih Buat konfigurasi domain.

   2. Di halaman Buat konfigurasi domain, di bagian Pengaturan domain khusus - opsional, pilih kebijakan keamanan dari Pilih kebijakan keamanan.

   3. Ikuti widget dan selesaikan langkah-langkah lainnya. Pilih Buat konfigurasi domain.

3. Untuk memperbarui pengaturan TLS dalam konfigurasi domain yang ada, ikuti langkah-langkah ini.

   1. Di panel navigasi kiri, pilih Pengaturan, dan kemudian, di bawah Konfigurasi domain, pilih konfigurasi domain.

   2. Di halaman detail konfigurasi Domain, pilih Edit. Kemudian, di bagian Pengaturan domain khusus - opsional, di bawah Pilih kebijakan keamanan, pilih kebijakan keamanan.

   3. Pilih Perbarui konfigurasi domain.

Untuk informasi selengkapnya, lihat Membuat konfigurasi domain dan Mengelola konfigurasi domain.

Konfigurasikan pengaturan TLS dalam konfigurasi domain (CLI)

Anda dapat menggunakan perintah create-domain-configurationdan update-domain-configurationCLI untuk mengonfigurasi pengaturan TLS Anda dalam konfigurasi domain.

1. Untuk menentukan pengaturan TLS menggunakan perintah create-domain-configurationCLI:

   aws iot create-domain-configuration \
       --domain-configuration-name domainConfigurationName \
       --tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10

   Output dari perintah ini dapat terlihat seperti berikut:

   {
   "domainConfigurationName": "test",
   "domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
   }

   Jika Anda membuat konfigurasi domain baru tanpa menentukan kebijakan keamanan, nilai akan default ke:IoTSecurityPolicy_TLS13_1_2_2022_10.

2. Untuk menggambarkan pengaturan TLS menggunakan perintah describe-domain-configurationCLI:

   aws iot describe-domain-configuration \
       --domain-configuration-name domainConfigurationName

   Perintah ini dapat mengembalikan detail konfigurasi domain yang menyertakan pengaturan TLS seperti berikut:

   {
    "tlsConfig": {
    "securityPolicy": "IoTSecurityPolicy_TLS13_1_2_2022_10"
    }, 
    "domainConfigurationStatus": "ENABLED", 
    "serviceType": "DATA", 
    "domainType": "AWS_MANAGED", 
    "domainName": "d1234567890abcdefghij-ats.iot.us-west-2.amazonaws.com",
    "serverCertificates": [], 
    "lastStatusChangeDate": 1678750928.997, 
    "domainConfigurationName": "test", 
    "domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
   }

3. Untuk memperbarui pengaturan TLS menggunakan perintah update-domain-configurationCLI:

   aws iot update-domain-configuration \
       --domain-configuration-name domainConfigurationName \
       --tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10

   Output dari perintah ini dapat terlihat seperti berikut:

   {
   "domainConfigurationName": "test",
   "domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
   }

4. Untuk memperbarui pengaturan TLS untuk titik akhir ATS Anda, jalankan perintah CLI update-domain-configuration. Nama konfigurasi domain untuk titik akhir ATS Anda adalahiot:Data-ATS.

   aws iot update-domain-configuration \
       --domain-configuration-name "iot:Data-ATS" \
       --tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10

   Output dari perintah dapat terlihat seperti berikut:

   {
   "domainConfigurationName": "iot:Data-ATS",
   "domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/iot:Data-ATS"
   }

Untuk informasi selengkapnya, lihat CreateDomainConfigurationdan UpdateDomainConfigurationdi Referensi AWS API.