Configurazione

Prima di utilizzare Device Advisor per la prima volta, completa le seguenti attività:

Creare un oggetto IoT

Innanzitutto, crea un oggetto IoT e collega un certificato a tale oggetto. Per un tutorial su come creare oggetti, consultare Creazione di un oggetto.

Creazione di un ruolo IAM da utilizzare come ruolo del dispositivo

Nota

È possibile creare rapidamente il ruolo del dispositivo utilizzando la console Device Advisor. Per ulteriori informazioni su come configurare il ruolo del dispositivo con la console Device Advisor, consultare Nozioni di base su Device Advisor nella console.

1. Vai alla AWS Identity and Access Management console e accedi al file Account AWS che usi per i test di Device Advisor.

2. Nel pannello di navigazione a sinistra scegli Policies (Policy).

3. Scegliere Create Policy (Crea policy).

4. Sotto Create Policy (Crea policy), effettua le operazioni seguenti:

   1. Per Service (Servizio), scegli IoT.

   2. In Azioni, esegui una delle seguenti operazioni:

      • (Consigliato) Seleziona le azioni in base alla policy collegata all'oggetto IoT o al certificato creati nella sezione precedente.

      • Cerca le seguenti azioni nella casella Filtra le azioni e selezionale:

        • Connect

        • Publish

        • Subscribe

        • Receive

        • RetainPublish

   3. In Risorse, limita il client, l'argomento e le risorse argomento. La limitazione di queste risorse è una best practice di sicurezza. Per limitare le risorse, esegui le seguenti operazioni:

      1. Scegli Specifica ARN della risorsa client per l'operazione Connect.

      2. Scegli Aggiungi ARN, quindi esegui una delle seguenti operazioni:

         Nota

         Il clientId è l'ID client MQTT utilizzato dal dispositivo per interagire con Device Advisor.

         • Specifica Regione, accountID e clientID nell'editor ARN visivo.

         • Inserisci manualmente gli Amazon Resource Names (ARNs) degli argomenti IoT con cui desideri eseguire i casi di test.

      3. Scegli Aggiungi.

      4. Scegli Specifica l'ARN della risorsa dell'argomento per la ricezione e un'altra operazione.

      5. Scegli Aggiungi ARN, quindi esegui una delle seguenti operazioni:

         Nota

         Il nome argomento è l'argomento MQTT in cui il dispositivo pubblica i messaggi.

         • Specifica Regione, accountID e Nome argomento nell'editor ARN visivo.

         • Inserisci manualmente gli ARNs argomenti IoT con cui desideri eseguire i tuoi casi di test.

      6. Scegli Aggiungi.

      7. Scegli Specifica ARN della risorsa topicFilter per l'azione Sottoscrivere.

      8. Scegli Aggiungi ARN, quindi esegui una delle seguenti operazioni:

         Nota

         Il nome argomento è l'argomento MQTT a cui il dispositivo effettua la sottoscrizione.

         • Specifica Regione, accountID e Nome argomento nell'editor ARN visivo.

         • Inserisci manualmente gli ARNs argomenti IoT con cui desideri eseguire i tuoi casi di test.

      9. Scegli Aggiungi.

5. Scegliere Next: Tags (Successivo: Tag).

6. Scegliere Next:Review (Successivo: Rivedi).

7. In Verifica policy, immetti un Nome per la policy.

8. Scegliere Create Policy (Crea policy).

9. Nel pannello di navigazione a sinistra seleziona Roles (Ruoli).

10. Selezionare Create Role (Crea ruolo).

11. In Seleziona un'entità attendibile, scegli Policy di attendibilità personalizzata.

12. Immetti la seguente policy di attendibilità nella casella Policy di attendibilità personalizzata. Per prevenire il problema "confused deputy", aggiungi le chiavi di contesto di condizione globali aws:SourceArn e aws:SourceAccount alla policy.

    Importante

    È necessaria la conformità di aws:SourceArn con format: arn:aws:iotdeviceadvisor:region:account-id:*.. Assicurati che region corrisponda alla regione AWS IoT e che account-id corrisponda all'ID dell'account cliente. Per ulteriori informazioni consulta la pagina relativa alla prevenzione del problema "confused deputy" tra servizi.

    JSON

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "AllowAwsIoTCoreDeviceAdvisor",
                "Effect": "Allow",
                "Principal": {
                    "Service": "iotdeviceadvisor.amazonaws.com"
                },
                "Action": "sts:AssumeRole",
                "Condition": {
                    "StringEquals": {
                        "aws:SourceAccount": "111122223333"
                    },
                    "ArnLike": {
                        "aws:SourceArn": "arn:aws:iotdeviceadvisor:*:111122223333:suitedefinition/*"
                    }
                }
            }
        ]
    }
    

13. Scegli Next (Successivo).

14. Seleziona la policy creata nella Fase 4.

15. (Opzionale) In Imposta il limite delle autorizzazioni, scegli Utilizza un limite delle autorizzazioni per controllare il numero massimo di autorizzazioni del ruolo, quindi seleziona la policy creata.

16. Scegli Next (Successivo).

17. Immetti Role name (Nome del ruolo) e Role description (Descrizione del ruolo).

18. Scegliere Crea ruolo.

Crea una policy gestita su misura per un utente IAM per l'uso di Device Advisor

1. Accedi alla console IAM all'indirizzo https://console.aws.amazon.com/iam/. Se viene richiesto di effettuare l'accesso, immetti le tue credenziali AWS per accedere.

2. Nel riquadro di navigazione sinistro, scegli Policy.

3. Seleziona Create policy (Crea policy), quindi scegli la scheda JSON.

4. Aggiungi le autorizzazioni necessarie per utilizzare Device Advisor. Il documento della policy è disponibile nell'argomento relativo alle best practice per la sicurezza.

5. Scegli Esamina la policy.

6. Immetti il Name (Nome) e la Description (Descrizione).

7. Scegliere Create Policy (Crea policy).

Crea un utente IAM per utilizzare Device Advisor

Nota

È consigliabile creare un utente IAM da utilizzare durante l'esecuzione di test di Device Advisor. L'esecuzione dei test Device Advisor da un utente amministratore può comportare rischi per la sicurezza e non è consigliata.

1. Accedi alla console IAM all'indirizzo https://console.aws.amazon.com/iam/Se richiesto, inserisci AWS le tue credenziali per accedere.

2. Nel pannello di navigazione a sinistra, seleziona Users (Utenti).

3. Scegli Add User (Aggiungi utente).

4. Immetti un User name (Nome utente).

5. Gli utenti necessitano di un accesso programmatico se desiderano interagire con utenti AWS esterni a. AWS Management Console Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS

   Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.

   Quale utente necessita dell'accesso programmatico?	Per	Come
   Identità della forza lavoro (Utenti gestiti nel centro identità IAM)	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, vedere Configurazione dell'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface Per AWS SDKs gli strumenti e AWS APIs, consulta l'autenticazione di IAM Identity Center nella Guida di riferimento AWS SDKs and Tools.
   IAM	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per l'utente IAM.
   IAM	(Non consigliato) Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, consulta Autenticazione tramite credenziali utente IAM nella Guida per l'utente.AWS Command Line Interface Per gli strumenti AWS SDKs e gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli strumenti e agli AWS SDKs strumenti. Per AWS APIs, consulta la sezione Gestione delle chiavi di accesso per gli utenti IAM nella Guida per l'utente IAM.

6. Scegli Successivo: autorizzazioni.

7. Per fornire l'accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:

   • Utenti e gruppi in: AWS IAM Identity Center

     Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .

   • Utenti gestiti in IAM tramite un provider di identità:

     Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Create a role for a third-party identity provider (federation) della Guida per l'utente IAM.

   • Utenti IAM:

     • Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate nella pagina Create a role for an IAM user della Guida per l'utente IAM.

     • (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente IAM.

8. Nella casella di ricerca, immetti il nome della policy gestita dal cliente creata. Quindi, seleziona la casella di controllo per Nome della policy.

9. Scegliere Next: Tags (Successivo: Tag).

10. Scegliere Next:Review (Successivo:Rivedi).

11. Seleziona Create user (Crea utente).

12. Scegli Close (Chiudi).

Device Advisor richiede l'accesso alle tue AWS risorse (oggetti, certificati ed endpoint) per tuo conto. L'utente IAM deve disporre delle autorizzazioni necessarie. Device Advisor pubblicherà anche i log su Amazon CloudWatch se alleghi la politica di autorizzazioni necessaria al tuo utente IAM.

Configurazione del dispositivo

Device Advisor utilizza l'estensione TLS (SNI) per applicare le configurazioni di TLS. I dispositivi devono utilizzare questa estensione quando si collegano e passare un nome server identico all'endpoint di test di Device Advisor.

Device Advisor consente la connessione TLS quando un test è nello stato Running, ma nega la connessione TLS prima e dopo ogni esecuzione di un test. Per questo motivo, è consigliabile utilizzare il meccanismo di riconnessione del dispositivo per un'esperienza di test completamente automatizzata con Device Advisor. È possibile eseguire gruppi di test che includono più casi di test, ad esempio connessione TLS, connessione MQTT e pubblicazione MQTT. Se si eseguono più casi di test, è opportuno che il dispositivo tenti di connettersi all'endpoint di test ogni cinque secondi. È quindi possibile automatizzare l'esecuzione di più casi di test in sequenza.

Nota

Per preparare il software del dispositivo per il test, è consigliabile utilizzare una SDK in grado di connettersi a AWS IoT Core. Occorre quindi aggiornare l'SDK con l'endpoint di test di Device Advisor fornito per Account AWS.

Device Advisor supporta due tipi di endpoint: endpoint a livello di account ed endpoint a livello di dispositivo. Scegli l'endpoint che meglio si adatta al tuo caso d'uso. Per eseguire contemporaneamente più gruppi di test per dispositivi differenti, utilizza un endpoint a livello di dispositivo.

Eseguire il seguente comando per ottenere l'endpoint a livello di dispositivo:

Per i clienti MQTT che utilizzano certificati client X.509:

aws iotdeviceadvisor get-endpoint --thing-arn your-thing-arn

oppure

aws iotdeviceadvisor get-endpoint --certificate-arn your-certificate-arn

Per i WebSocket clienti che utilizzano la versione 4 di MQTT che utilizzano Signature:

aws iotdeviceadvisor get-endpoint --device-role-arn your-device-role-arn --authentication-method SignatureVersion4

Per eseguire una suite di test alla volta, scegli un endpoint a livello di account. Esegui il seguente comando per ottenere l'endpoint a livello di account:

aws iotdeviceadvisor get-endpoint