Utilizzo con gli endpoint dell'interfaccia AWS IoT Core VPC - AWS IoT Core
Creazione di VPC endpoint per il piano dati AWS IoT CoreCreazione di VPC endpoint per AWS IoT Core il fornitore di credenzialiCreazione di un endpoint di VPC interfaccia AmazonConfigurazione della zona ospitata privataControllo dell'accesso a più endpoint AWS IoT Core VPCLimitazioniRidimensionamento degli endpoint con VPC AWS IoT CoreUtilizzo di domini personalizzati con endpoint VPCDisponibilità di endpoint VPC per AWS IoT Core

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo con gli endpoint dell'interfaccia AWS IoT Core VPC

Con AWS IoT Core, puoi creare endpoint di dati IoT all'interno del tuo cloud privato virtuale (VPC) utilizzando VPCendpoint di interfaccia. Gli VPC endpoint di interfaccia sono alimentati da AWS PrivateLink, una AWS tecnologia che puoi utilizzare per accedere ai servizi in esecuzione AWS utilizzando indirizzi IP privati. Per ulteriori informazioni, consulta Amazon Virtual Private Cloud.

Per connettere i dispositivi sul campo su reti remote, ad esempio una rete aziendale, al tuo AmazonVPC, fai riferimento alle opzioni elencate nella matrice di connettività Network-Amazon VPC.

Creazione di VPC endpoint per il piano dati AWS IoT Core

È possibile creare un VPC endpoint per il piano AWS IoT Core dati per API connettere i dispositivi ai AWS IoT servizi e ad altri AWS servizi. Per iniziare a usare gli VPC endpoint, crea un VPC endpoint di interfaccia e selezionalo AWS IoT Core come servizio. AWS Se utilizzate laCLI, prima chiamate describe-vpc-endpoint-servicesper assicurarvi di scegliere una zona di disponibilità in cui AWS IoT Core sia presente la vostra zona. Regione AWS Ad esempio, in us-east-1, questo comando ha il seguente aspetto:

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.data
Nota

La VPC funzionalità per la creazione automatica di un DNS record è disattivata. Per connetterti a questi endpoint, devi creare manualmente un DNS record privato. Per ulteriori informazioni sui VPC DNS record privati, consulta Privato DNS per gli endpoint di interfaccia. Per ulteriori informazioni sulle AWS IoT Core VPC limitazioni, vedereLimitazioni.

Per connettere MQTT i client alle interfacce degli VPC endpoint:

  • All'interno della tua zona ospitata privata, crea un record di alias per ogni IP di elastic network interface per l'VPCendpoint. Se disponi di più interfacce di rete IPs per più VPC endpoint, crea DNS record ponderati con pesi uguali per tutti i record ponderati. Questi indirizzi IP sono disponibili durante la DescribeNetworkInterfacesAPIchiamata se filtrati in base all'ID dell'VPCendpoint nel campo della descrizione.

Consulta le istruzioni dettagliate riportate di seguito per creare un endpoint di VPC interfaccia Amazon e configurare una zona ospitata privata per il piano AWS IoT Core dati.

Creazione di VPC endpoint per AWS IoT Core il fornitore di credenziali

È possibile creare un VPC endpoint per consentire al provider di AWS IoT Core credenziali di connettere i dispositivi utilizzando l'autenticazione basata su certificati client e ottenere credenziali temporanee AWS in formato Signature Version 4.AWS Per iniziare a usare VPC endpoint for AWS IoT Core credential provider, esegui il create-vpc-endpointCLIcomando per creare un VPC endpoint di interfaccia e seleziona il provider di credenziali come servizio. AWS IoT Core AWS Per assicurarti di scegliere una zona di disponibilità in cui AWS IoT Core sia presente nel tuo particolare caso Regione AWS, esegui prima il comando. describe-vpc-endpoint-services Ad esempio, in us-east-1, questo comando ha il seguente aspetto:

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.credentials
Nota

La VPC funzionalità per la creazione automatica di un DNS record è disattivata. Per connetterti a questi endpoint, devi creare manualmente un DNS record privato. Per ulteriori informazioni sui VPC DNS record privati, consulta Privato DNS per gli endpoint di interfaccia. Per ulteriori informazioni sulle AWS IoT Core VPC limitazioni, vedereLimitazioni.

Per connettere HTTP i client alle interfacce degli VPC endpoint:

  • All'interno della tua zona ospitata privata, crea un record di alias per ogni IP di elastic network interface per l'VPCendpoint. Se disponi di più interfacce di rete IPs per più VPC endpoint, crea DNS record ponderati con pesi uguali per tutti i record ponderati. Questi indirizzi IP sono disponibili durante la DescribeNetworkInterfacesAPIchiamata se filtrati in base all'ID dell'VPCendpoint nel campo della descrizione.

Consulta le istruzioni dettagliate riportate di seguito per creare un endpoint di VPC interfaccia Amazon e configurare una zona ospitata privata per il fornitore di AWS IoT Core credenziali.

Creazione di un endpoint di VPC interfaccia Amazon

Puoi creare un VPC endpoint di interfaccia per connetterti ai AWS servizi forniti da. AWS PrivateLink Utilizzare la procedura seguente per creare un VPC endpoint di interfaccia che si connette al piano AWS IoT Core dati o al provider di AWS IoT Core credenziali. Per ulteriori informazioni, consulta Accedere a un AWS servizio utilizzando un endpoint di interfaccia VPC.

Nota

I processi per creare un endpoint di VPC interfaccia Amazon per il piano AWS IoT Core dati e il provider di AWS IoT Core credenziali sono simili, ma è necessario apportare modifiche specifiche all'endpoint per far funzionare la connessione.

Per creare un endpoint di interfaccia utilizzando la console VPC Endpoints VPC

  1. Vai alla console VPCEndpoints, sotto Virtual private cloud nel menu a sinistra, scegli Endpoints, quindi Crea endpoint.

  2. Nella pagina Crea endpoint, specifica le seguenti informazioni.

    • Scegli AWS servizio s per Categoria di servizio.

    • Per Service Name (Nome servizio), esegui la ricerca inserendo la parola chiave iot. Nell'elenco dei iot servizi visualizzati, scegli l'endpoint.

      Se crei un VPC endpoint per il piano AWS IoT Core dati, scegli l'APIendpoint del piano AWS IoT Core dati per la tua regione. L'endpoint sarà del formato com.amazonaws.region.iot.data.

      Se crei un VPC endpoint per un fornitore di AWS IoT Core credenziali, scegli l'endpoint del fornitore di AWS IoT Core credenziali per la tua regione. L'endpoint sarà del formato com.amazonaws.region.iot.credentials.

      Nota

      Il nome del servizio per il piano AWS IoT Core dati nella regione cinese avrà il seguente formato. cn.com.amazonaws.region.iot.data La creazione di VPC endpoint per il fornitore di AWS IoT Core credenziali non è supportata nella regione cinese.

    • Per VPCe sottoreti, scegli VPC dove vuoi creare l'endpoint e le zone di disponibilità (AZs) in cui desideri creare la rete di endpoint.

    • Per Abilita DNS nome, assicurati che l'opzione Abilita per questo endpoint non sia selezionata. Né il piano AWS IoT Core dati né il provider di AWS IoT Core credenziali supportano ancora i DNS nomi privati.

    • In Security group (Gruppo di sicurezza), scegli i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint.

    • Facoltativamente, puoi aggiungere o rimuovere i tag. I tag sono coppie nome-valore utilizzate per l'associazione al tuo endpoint.

  3. Per creare il tuo VPC endpoint, scegli Crea endpoint.

Dopo aver creato l' AWS PrivateLink endpoint, nella scheda Dettagli dell'endpoint, vedrai un elenco di nomi. DNS Puoi usare uno di questi DNS nomi che hai creato in questa sezione per configurare la tua zona ospitata privata.

Configurazione della zona ospitata privata

Puoi utilizzare uno di questi DNS nomi creati nella sezione precedente per configurare la tua zona ospitata privata.

Per il piano AWS IoT Core dati

Il DNS nome deve essere il nome di configurazione del dominio o l'IoT:Data-ATSendpoint. Un DNS nome di esempio può essere:xxx-ats.data.iot.region.amazonaws.com.

Per il fornitore di AWS IoT Core credenziali

Il DNS nome deve essere il tuo iot:CredentialProvider endpoint. Un DNS nome di esempio può essere:xxxx.credentials.iot.region.amazonaws.com.

Nota

I processi per configurare la zona ospitata privata per il piano AWS IoT Core dati e il provider di AWS IoT Core credenziali sono simili, ma è necessario apportare modifiche specifiche dell'endpoint per far funzionare la connessione.

Crea una zona ospitata privata

Per creare una zona ospitata privata utilizzando la console Route 53

  1. Passa alla console Route 53 Hosted zone (Zone ospitate) e scegli Create hosted zone (Crea una zona ospitata).

  2. Nella pagina Create hosted zone (Crea una zona ospitata), specifica le informazioni riportate di seguito.

    • Per Nome di dominio, inserisci l'indirizzo dell'endpoint del tuo iot:Data-ATS o dell'iot:CredentialProviderendpoint. Il AWS CLI comando seguente mostra come ottenere l'endpoint tramite una rete pubblica:aws iot describe-endpoint --endpoint-type iot:Data-ATS, o. aws iot describe-endpoint --endpoint-type iot:CredentialProvider

      Nota

      Se utilizzi domini personalizzati, consulta Utilizzo di domini personalizzati con endpoint. VPC I domini personalizzati non sono supportati per il provider di credenziali. AWS IoT Core

    • Nell'elenco Type (Tipo), scegli Private Hosted Zone (Zona ospitata privata).

    • Facoltativamente, puoi aggiungere o rimuovere tag da associare alla tua zona ospitata.

  3. Per creare la tua zona privata ospitata, scegli Create hosted zone (Crea una zona ospitata).

Per ulteriori informazioni consulta Creating a private hosted zone (Creazione di una zona ospitata privata).

Creazione di un record

Dopo aver creato una zona ospitata privata, puoi creare un record che indichi DNS come desideri che il traffico venga indirizzato verso quel dominio.

Per creare un record

  1. Nell'elenco delle zone ospitate visualizzate, scegli la zona ospitata privata creata in precedenza e scegli Create record (Crea un record).

  2. Utilizza il metodo della procedura guidata per creare il record. Se la console presenta il metodo Quick create (Creazione rapida), scegli Switch to wizard (Passa alla procedura guidata).

  3. Scegli Simple Routing (Instradamento semplice) per Routing policy (Policy di instradamento) e poi Next (Successivo).

  4. Nella pagina Configure records (Configura record), scegli Define simple record (Definisci record semplice).

  5. Nella pagina Define simple record (Definisci record semplice):

    • Per Nome del record, inserisci iot:Data-ATS endpoint o iot:CredentialProvider endpoint. Deve essere lo stesso nome della zona ospitata privata.

    • Per Record type (Tipo di record), mantieni il valore come A - Routes traffic to an IPv4 address and some AWS resources.

    • Per Value/Indirizza il traffico verso, scegli Alias per endpoint. VPC Scegli la tua Regione quindi scegli l'endpoint creato in precedenza, come descritto in Creazione di un endpoint di VPC interfaccia Amazon dall'elenco degli endpoint visualizzati.

  6. Scegli Define simple record (Definizione del record semplice) per creare il record.

Controllo dell'accesso a più endpoint AWS IoT Core VPC

È possibile limitare l'accesso AWS IoT Core ai dispositivi in modo che sia consentito solo tramite VPC endpoint utilizzando le chiavi contestuali VPC delle condizioni. AWS IoT Core supporta le seguenti chiavi contestuali VPC correlate:

Nota

AWS IoT Core non supporta le politiche Endpoints per gli VPC endpoint.

Ad esempio, la seguente politica concede l'autorizzazione a connettersi AWS IoT Core utilizzando un ID client che corrisponde al nome dell'oggetto e a pubblicare su qualsiasi argomento preceduto dal nome dell'oggetto, a condizione che il dispositivo si connetta a un VPC endpoint con un particolare ID endpoint. VPC Questa policy negherebbe i tentativi di connessione all'endpoint dati IoT pubblico.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-1a2b3c4d"
                }
            }
            
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*"
            ]
        }
    ]
}

Limitazioni

VPCGli endpoint sono attualmente supportati solo per gli endpoint di AWS IoT Core dati e gli endpoint dei provider di credenziali.AWS IoT Core VPCgli endpoint non sono supportati per gli endpoint Federal Information Processing Standard (). FIPS

Limitazioni degli VPC endpoint di dati IoT

Questa sezione descrive i limiti degli VPC endpoint di dati IoT.

  • MQTTi periodi di mantenimento in vita sono limitati a 230 secondi. I periodi di mantenimento in vita più lunghi verranno automaticamente ridotti a 230 secondi.

  • Ogni VPC endpoint supporta un totale di 100.000 dispositivi connessi simultaneamente. Se hai bisogno di più connessioni, consulta Ridimensionamento degli endpoint con VPC AWS IoT Core.

  • VPCgli endpoint supportano solo il traffico. IPv4

  • VPCgli endpoint forniranno solo ATScertificati, ad eccezione dei domini personalizzati.

  • VPCle politiche degli endpoint non sono supportate.

  • Per gli VPC endpoint creati per il piano AWS IoT Core dati, AWS IoT Core non supporta l'utilizzo di registri pubblici zonali o regionali. DNS

Limitazioni degli endpoint dei provider di credenziali

Questa sezione descrive le limitazioni degli endpoint dei provider di credenziali. VPC

  • VPCgli endpoint supportano solo il trafficoIPv4.

  • VPCgli endpoint serviranno solo ATScertificati.

  • VPCle politiche degli endpoint non sono supportate.

  • I domini personalizzati non sono supportati per gli endpoint dei provider di credenziali.

  • Per gli VPC endpoint creati per il fornitore di AWS IoT Core credenziali, AWS IoT Core non supporta l'utilizzo di registri pubblici zonali o regionali. DNS

Ridimensionamento degli endpoint con VPC AWS IoT Core

AWS IoT Core Gli VPC endpoint di interfaccia sono limitati a 100.000 dispositivi connessi su un singolo endpoint di interfaccia. Se il tuo caso d'uso richiede più connessioni simultanee al broker, ti consigliamo di utilizzare più VPC endpoint e di instradare manualmente i dispositivi tra gli endpoint dell'interfaccia. Quando DNS crei record privati per indirizzare il traffico verso i tuoi VPC endpoint, assicurati di creare tanti record ponderati quanti sono gli endpoint a tua disposizione per distribuire il traffico su più VPC endpoint.

Utilizzo di domini personalizzati con endpoint VPC

Se desideri utilizzare domini personalizzati con gli VPC endpoint, devi creare i record dei nomi di dominio personalizzati in una zona ospitata privata e creare record di routing in Route53. Per ulteriori informazioni, consulta Creazione di una zona ospitata privata.

Nota

I domini personalizzati sono supportati solo per gli endpoint di AWS IoT Core dati.

Disponibilità di endpoint VPC per AWS IoT Core

AWS IoT Core Gli VPC endpoint di interfaccia sono disponibili in tutte le regioni AWS IoT Core supportate. AWS IoT Core VPCGli endpoint di interfaccia per il fornitore di AWS IoT Core credenziali non sono supportati nella regione Cina e. AWS GovCloud (US) Regions