デバイス接続のワークフロー AWS IoT Greengrass セキュリティの設定セキュリティプリンシパル MQTT メッセージングワークフローにおけるマネージドサブスクリプション TLS 暗号スイートのサポート

AWS IoT Greengrass Version 1 は 2023 年 6 月 30 日に延長ライフフェーズに参加しました。詳細については、「AWS IoT Greengrass V1 メンテナンスポリシー」を参照してください。この日以降、 AWS IoT Greengrass V1 は機能、機能強化、バグ修正、またはセキュリティパッチを提供する更新をリリースしません。で実行されるデバイスは中断 AWS IoT Greengrass V1 されず、引き続き動作し、クラウドに接続します。に移行することを強くお勧めします。 AWS IoT Greengrass Version 2これにより、重要な新機能が追加され、プラットフォームのサポートが追加されます。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS IoT Greengrass セキュリティの概要

AWS IoT Greengrass は、X.509 証明書、 AWS IoT ポリシー、IAM ポリシーとロールを使用して、ローカル Greengrass 環境のデバイスで実行されるアプリケーションをセキュリティで保護します。

次の図は、 AWS IoT Greengrass セキュリティモデルのコンポーネントを示しています。

Greengrass サービスアーキテクチャ図は、 AWS サービス、Greengrass コアデバイスと接続デバイス、およびそれらの証明書のやり取りを示しています。

A - Greengrass サービスロール

、、およびその他の AWS サービスから AWS リソースにアクセスする AWS IoT Greengrass ときにが引き受ける AWS IoT Core AWS Lambda、お客様が作成した IAM ロール。詳細については、「Greengrass サービスロール」を参照してください。

B - コアデバイス証明書

AWS IoT Core およびで Greengrass コアを認証するために使用される X.509 証明書 AWS IoT Greengrass。詳細については、「AWS IoT Greengrass のデバイス認証と認可」を参照してください。

C - デバイス証明書

クライアントデバイスを認証するために使用される X.509 証明書。接続されたデバイスとも呼ばれ、 AWS IoT Core とを使用します AWS IoT Greengrass。詳細については、「AWS IoT Greengrass のデバイス認証と認可」を参照してください。

D - グループロール

Greengrass コアから AWS サービスを呼び出す AWS IoT Greengrass ときにが引き受ける、お客様が作成した IAM ロール。

このロールを使用して、ユーザー定義の Lambda 関数とコネクタが DynamoDB などの AWS サービスにアクセスするために必要なアクセス許可を指定します。また、ストリームマネージャーストリームをサービス AWS IoT Greengrass にエクスポートし、 CloudWatch ログに AWS 書き込むことをに許可するためにも使用します。詳細については、「Greengrass グループのロール」を参照してください。

注記

AWS IoT Greengrass は、Lambda 関数のクラウドバージョンにで AWS Lambda 指定されている Lambda 実行ロールを使用しません。

E - MQTT サーバー証明書

Greengrass コアデバイスと Greengrass グループ内のクライアントデバイスとの間の Transport Layer Security (TLS) 相互認証に使用される証明書。証明書は、 AWS クラウドに保存されているグループ CA 証明書によって署名されます。

デバイス接続のワークフロー

このセクションでは、クライアントデバイスが AWS IoT Greengrass サービスと Greengrass コアデバイスに接続する方法について説明します。クライアントデバイスは、コア AWS IoT Core デバイスと同じ Greengrass グループにある登録済みデバイスです。

Greengrass コアデバイスは、デバイス証明書、プライベートキー、ルート AWS IoT Core CA 証明書を使用して AWS IoT Greengrass サービスに接続します。コアデバイスでは、設定ファイル内の crypto オブジェクトがこれらの項目のファイルパスを指定します。
Greengrass コアデバイスは、 AWS IoT Greengrass サービスからグループメンバーシップ情報をダウンロードします。
Greengrass コアデバイスに対してデプロイが行われた場合に、Device Certificate Manager (DCM) は Greengrass コアデバイスに対してローカルサーバー証明書管理を行います。
クライアントデバイスは、デバイス証明書、プライベートキー、および AWS IoT Core ルート CA 証明書を使用して AWS IoT Greengrass サービスに接続します。クライアントデバイスは、接続後に Greengrass Discovery Service を使用して Greengrass コアデバイスの IP アドレスを見つけます。また、クライアントデバイスはグループ CA 証明書をダウンロードします。この証明書は、Greengrass コアデバイスとの TLS 相互認証に使用されます。
クライアントデバイスは Greengrass コアデバイスへの接続を試み、そのデバイス証明書とクライアント ID を渡します。クライアント ID がクライアントデバイスのモノ名と一致し、証明書が有効である (その Greengrass グループに所属する) 場合、接続が実行されます。それ以外の場合は、接続は終了します。

クライアントデバイスの AWS IoT ポリシーは、クライアントデバイスがコアの接続情報を検出できるようにするアクセスgreengrass:Discover許可を付与する必要があります。このポリシーステートメントの詳細については、「検出の認証」を参照してください。

AWS IoT Greengrass セキュリティの設定

Greengrass アプリケーションのセキュリティを設定するには

Greengrass コアデバイスの AWS IoT Core モノを作成します。
Greengrass コアデバイスのキーペアとデバイス証明書を生成します。
AWS IoT ポリシーを作成してデバイス証明書にアタッチします。証明書とポリシーにより、Greengrass コアデバイスが AWS IoT Core および AWS IoT Greengrass サービスにアクセスできるようになります。詳細については、「コアデバイスの最小限の AWS IoT ポリシー」を参照してください。

注記
コアデバイスのポリシーでのモノのポリシー変数 (iot:Connection.Thing.*) の使用はサポートされていません。 AWS IoT コアは同じデバイス証明書を使用してに複数の接続を行います AWS IoT Core が、接続内のクライアント ID がコアモノの名前と完全に一致しない可能性があります。
Greengrass サービスロールを作成します。この IAM ロールは、ユーザーに代わって AWS IoT Greengrass が他の AWS のサービスからリソースにアクセスすることを承認します。これにより、 AWS IoT Greengrass は、 AWS Lambda 関数の取得やデバイスシャドウの管理などの重要なタスクを実行できます。

間で同じサービスロールを使用できますが AWS リージョン、 AWS リージョンを使用するすべての AWS アカウントでに関連付ける必要があります AWS IoT Greengrass。
(オプション) Greengrass グループロールを作成します。この IAM ロールは、Greengrass コアで実行されている Lambda 関数とコネクタに、 AWS サービスを呼び出すアクセス許可を付与します。例えば、Kinesis Firehose コネクタには、Amazon Data Firehose 配信ストリームにレコードを書き込むためのアクセス許可が必要です。

Greengrass グループにアタッチできるロールは 1 つだけです。
Greengrass コアに接続するデバイスごとに AWS IoT Core モノを作成します。

注記
既存の AWS IoT Core モノと証明書を使用することもできます。
Greengrass コアに接続するデバイスごとに、デバイス証明書、キーペア、 AWS IoT およびポリシーを作成します。

AWS IoT Greengrass コアセキュリティプリンシパル

Greengrass コアは、 AWS IoT クライアント、ローカル MQTT サーバー、ローカルシークレットマネージャーというセキュリティプリンシパルを使用します。上述のプリンシパルの設定は、config.json 設定ファイルの crypto オブジェクトに格納されます。詳細については、「AWS IoT Greengrass Core 設定ファイル」を参照してください。

この設定には、認証および暗号化の主要なコンポーネントが使用するプライベートキーへのパスが含まれています。 AWS IoT Greengrass では、ハードウェアベースあるいはファイルシステムベース (デフォルト) の 2 種類のプライベートキーストレージがサポートされています。ハードウェアセキュリティモジュールでキーを保存する詳細については、「ハードウェアセキュリティ統合」を参照してください。

AWS IoT クライアント

AWS IoT クライアント (IoT クライアント) は、Greengrass コアと間のインターネット経由の通信を管理します AWS IoT Core。 AWS IoT Greengrass は、この通信の TLS 接続を確立するときに、相互認証にパブリックキーとプライベートキーを持つ X.509 証明書を使用します。詳細については、「AWS IoT Core デベロッパーガイド」の「X.509 証明書と AWS IoT Core」を参照してください。

IoT クライアントでは RSA および EC 証明書とキーがサポートされています。証明書とプライベートキーのパスは、config.json の IoTCertificate プリンシパルで指定されています。

MQTT サーバー

ローカル MQTT サーバーは、グループ内の Greengrass コアデバイスとクライアントデバイス間のローカルネットワークを介した通信を管理します。この通信の TLS 接続を確立するときに、相互認証にパブリックキーとプライベートキーを持つ X.509 証明書 AWS IoT Greengrass を使用します。

デフォルトでは、は RSA プライベートキー AWS IoT Greengrass を生成します。別のプライベートキーを使用するコアを設定するには、config.json の MQTTServerCertificate プリンシパルへのキーパスを提供する必要があります。お客様が用意したキーのローテーションは、お客様が行います。

プライベートキーサポート
	RSA キー	EC キー
キーのタイプ	サポート	サポート
キーのパラメータ	最小 2048 ビット長	NIST P-256 または NIST P-384 curve
ディスク形式	PKCS#1、PKCS#8	SECG1、PKCS#8
最小 GGC バージョン	デフォルトの RSA キー使用: 1.0 RSA キーの指定: 1.7	EC キーの指定: 1.9

プライベートキーの設定は、関連するプロセスを決定します。Greengrass コアでサーバーとしてサポートされる暗号化スイートの一覧については、「TLS 暗号スイートのサポート」を参照してください。

プライベートキーが指定されていない場合 (デフォルト)

AWS IoT Greengrass は、ローテーション設定に基づいてキーをローテーションします。
コアは、証明書を生成する RSA キーを生成します。
MQTT サーバー証明書には、RSA パブリックキーおよび SHA-256 RSA 署名があります。

RSA プライベートキーが指定されている場合 (GGC v1.7 以降が必要)

キーのローテーションはお客様が行います。
コアは指定されたキーを使用して証明書を生成します。
RSA キーには最小の長さで 2048 ビットの必要があります。
MQTT サーバー証明書には、RSA パブリックキーおよび SHA-256 RSA 署名があります。

EC プライベートキーが指定されている場合 (GGC v1.9 以降が必要)

キーのローテーションはお客様が行います。
コアは指定されたキーを使用して証明書を生成します。
EC プライベートキーは、NIST P-256 または NIST P-384 curve を使用する必要があります。
MQTT サーバー証明書には、EC パブリックキーと SHA-256 RSA 署名があります。

コアが提供する MQTT サーバー証明書には、キーのタイプに関係なく、SHA-256 RSA 署名があります。このため、クライアントはコアと安全な接続を確立するために、SHA-256 RSA 証明書の検証をサポートしている必要があります。

シークレットマネージャー

ローカルシークレットマネージャーは、で作成したシークレットのローカルコピーを安全に管理します AWS Secrets Manager。ここでは、プライベートキーを使用して、シークレットを暗号化するために使用されるデータキーを保護します。詳細については、「AWS IoT Greengrass Core にシークレットをデプロイする」を参照してください。

デフォルトでは IoT クライアントプライベートキーが使用されますが、config.json の SecretsManager プリンシパルに別のプライベートキーを指定することもできます。RSA キータイプのみがサポートされています。詳細については、「シークレット暗号化用のプライベートキーを指定する」を参照してください。

注記

現在、は、ハードウェアベースのプライベートキーを使用する場合のローカルシークレットの暗号化と復号化のための PKCS#1 v1.5 パディングメカニズムのみ AWS IoT Greengrass をサポートしています。ベンダーが提供する指示に従ってハードウェアベースのプライベートキーを手動で生成する場合は、PKCS#1 v1.5. AWS IoT Greengrass Doesn't supportOptimal Asymmetric Encryption Padding (OAEP) を選択してください。

プライベートキーサポート
	RSA キー	EC キー
キーのタイプ	サポート	サポートされていません
キーのパラメータ	最小 2048 ビット長	該当しない
ディスク形式	PKCS#1、PKCS#8	該当しない
最小 GGC バージョン	1.7	該当しない

MQTT メッセージングワークフローにおけるマネージドサブスクリプション

AWS IoT Greengrass はサブスクリプションテーブルを使用して、Greengrass グループ内のクライアントデバイス、関数、コネクタ間、および AWS IoT Core またはローカルシャドウサービスと MQTT メッセージを交換する方法を定義します。各サブスクリプションは、メッセージが送受信される送信元、ターゲット、および MQTT トピック (またはサブジェクト) を指定します。は、対応するサブスクリプションが定義されている場合にのみ、送信元からターゲットへのメッセージの送信 AWS IoT Greengrass を許可します。

サブスクリプションは 1 方向のメッセージフローのみを定義します。2 方向のメッセージ交換をサポートするには、方向ごとに 1 つづつ、2 つのサブスクリプションを作成する必要があります。

TLS 暗号スイートのサポート

AWS IoT Greengrass はトランスポート AWS IoT Core セキュリティモデルを使用して、TLS 暗号スイートを使用してクラウドとの通信を暗号化します。さらに、 AWS IoT Greengrass データは保管時 (クラウド内) に暗号化されます。 AWS IoT Core トランスポートセキュリティとサポートされている暗号スイートの詳細については、「 AWS IoT Core デベロッパーガイド」の「トランスポートセキュリティ」を参照してください。

ローカルネットワーク通信向けにサポートされる暗号化スイート

とは対照的に AWS IoT Core、 AWS IoT Greengrass コアは証明書署名アルゴリズム用に次のローカルネットワーク TLS 暗号スイートをサポートしています。プライベートキーがファイルシステムに保存されている場合、これらの暗号化スイートはすべてサポートされます。サブセットは、コアがハードウェアセキュリティモジュール (HSM) を使用するように設定されている場合にサポートされます。詳細については、「AWS IoT Greengrass コアセキュリティプリンシパル」および「ハードウェアセキュリティ統合」を参照してください。この表には、サポートに必要な AWS IoT Greengrass Core ソフトウェアの最小バージョンも含まれています。

	暗号	HSM のサポート	最小 GGC バージョン
TLSv1.2	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	サポート	1.0
	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA	サポート	1.0
	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	サポート	1.0
	TLS_RSA_WITH_AES_128_CBC_SHA	サポートされていません	1.0
	TLS_RSA_WITH_AES_128_GCM_SHA256	サポートされていません	1.0
	TLS_RSA_WITH_AES_256_CBC_SHA	サポートされていません	1.0
	TLS_RSA_WITH_AES_256_GCM_SHA384	サポートされていません	1.0
	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256	サポート	1.9
	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384	サポート	1.9
TLSv1.1	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	サポート	1.0
	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA	サポート	1.0
	TLS_RSA_WITH_AES_128_CBC_SHA	サポートされていません	1.0
	TLS_RSA_WITH_AES_256_CBC_SHA	サポートされていません	1.0
TLSv1.0	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	サポート	1.0
	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA	サポート	1.0
	TLS_RSA_WITH_AES_128_CBC_SHA	サポートされていません	1.0
	TLS_RSA_WITH_AES_256_CBC_SHA	サポートされていません	1.0

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

セキュリティ

データ保護