Amazon Sidewalk の一括プロビジョニングのワークフロー - AWS IoT Wireless
一括プロビジョニングのコンポーネント一括プロビジョニングの仕組み

Amazon Sidewalk の一括プロビジョニングのワークフロー

以下のセクションでは、一括プロビジョニングの主要な概念とその仕組みについて説明します。一括プロビジョニングには以下のステップが含まれます。

  1. AWS IoT Core for Amazon Sidewalk を使用してデバイスプロファイルを作成します。

  2. Amazon Sidewalk チームに YubiHSM キーと、ファクトリーサポートによるデバイスプロファイルの更新をリクエストします。

  3. YubiHSM キーを製造元に送信して、デバイスの製造後に AWS IoT Core for Amazon Sidewalk が制御ログを取得できるようにします。

  4. インポートタスクを作成し、AWS IoT Core for Amazon Sidewalk にオンボードするデバイスのシリアル番号 (SMSN) を指定します。

一括プロビジョニングのコンポーネント

次の概念は、一括プロビジョニングの主なコンポーネントと、それらを Sidewalk デバイスの一括プロビジョニングの一部として使用する方法を示しています。

YubiHSM キー

Amazon は、Sidewalk 製品ごとに 1 つ以上の HSM (ハードウェアセキュリティモジュール) を作成します。各 HSM には YubiHSM キーと呼ばれる固有のシリアル番号がハードウェアモジュールに印刷されています。このキーは 「Yubico のウェブページ」から購入できます。

キーは各 HSM に固有で、AWS IoT Core for Amazon Sidewalk で作成する各デバイスプロファイルに関連付けられています。YubiHSM キーを入手するには、Amazon Sidewalk チームにお問い合わせください。YubiHSM キーを製造元に送信すると、Sidewalk デバイスがファクトリーで製造された後、AWS IoT Core for Amazon Sidewalk はデバイスのシリアル番号を含む制御ログファイルを受信します。次に、この情報を入力された CSV ファイルと比較し、AWS IoT にデバイスをオンボードします。

デバイス認証キー (DAK)

Sidewalk エンドデバイスが Sidewalk ネットワークに参加する際には、Sidewalk デバイス証明書を使用してプロビジョニングする必要があります。デバイスのセットアップに使用される証明書には、プライベートデバイス固有の証明書と、Sidewalk 証明書チェーンに対応するパブリックデバイス証明書が含まれます。Sidewalk デバイスが製造されると、YubiHSM はデバイス証明書に署名します。

以下は、デバイス証明書とプライベートキーを含むサンプル JSON ファイルを示しています。詳細については、「プロビジョニング用のデバイス JSON ファイルを取得する」を参照してください。

{
  "p256R1": "grg8izXoVvQ86cPVm0GMyWuZYHEBbbH ... DANKkOKoNT3bUGz+/f/pyTE+xMRdIUBZ1Bw==",
  "eD25519": "grg8izXoVvQ86cPVm0GMyWuZYHEBbbHD ... UiZmntHiUr1GfkTOFMYqRB+Aw==",
  "metadata": {    
    "devicetypeid": "fe98",
    
    ...

    "devicePrivKeyP256R1": "3e704bf8d319b3a475179f1d68c60737b28c708f845d0198f2d00d00c88ee018",
    "devicePrivKeyEd25519": "17dacb3a46ad9a42d5c520ca5f47f0167f59ce54d740aa13918465faf533b8d0"
  },
  "applicationServerPublicKey": "5ce29b89c2e3ce6183b41e75fe54e45f61b8bb320efbdd2abd7aefa5957a316b"
}

デバイス認証キー (DAK) は、デバイスプロファイルの作成時に取得するプライベートキーです。これは、Sidewalk の各製品に対して発行される固有の証明書である製品証明書に相当します。Amazon Sidewalk チームに連絡すると、Sidewalk 証明書チェーン、YubiHSM キー、および製品デバイス認証キー (DAK) でプロビジョニングされた HSM が届きます。

デバイスプロファイルも新しいデバイス認証キー (DAK) で更新され、ファクトリーサポートが有効になります。デバイスプロファイルの DAK メタデータ情報では、DAK 名、証明書 ID、ApId (アドバタイズ済み製品 ID)、ファクトリーサポートが有効かどうか、DAK が署名できる署名の最大数などの詳細が提供されます

アドバタイズ済み製品 ID (ApId)

ApId パラメータは、アドバタイズ済み製品を識別する英数字の文字列です。このフィールドは、一括プロビジョニングする Sidewalk デバイスに特定のデバイスプロファイルを使用する場合に指定する必要があります。AWS IoT Core for Amazon Sidewalk は次に DAK を生成し、YubiHSM キーを通じてユーザーに提供します。関連する DAK 情報は、デバイスプロファイルに表示されます。

ApId を入手するには、作成したデバイスプロファイルに関する情報を取得した後、Amazon Sidewalk サポ-トチームにお問い合わせください。デバイスプロファイル情報は、AWS IoT コンソールから、または、GetDeviceProfile API 操作、または get-device-profile CLI コマンドを使用して取得できます。

一括プロビジョニングの仕組み

このフローチャートは、AWS IoT Core for Amazon Sidewalk で、一括プロビジョニングがどのように機能するかを示しています。

次の手順は、一括プロビジョニングプロセスのさまざまなステップを示しています。

  1. Sidewalk デバイス用のデバイスプロファイルを作成する

    エンドデバイスをファクトリーに持ち込む前に、まずデバイスプロファイルを作成します。デバイスプロファイルと Sidewalk エンドデバイスを追加します で説明されているように、このプロファイルを使用して、個々のデバイスをプロビジョニングできます。

  2. プロファイルのファクトリーサポートをリクエストする

    エンドデバイスをファクトリーに持ち込む準備ができたら、Amazon Sidewalk チームに YubiHSM キーとデバイスプロファイルのファクトリーサポートを依頼します。

  3. DAK およびファクトリーサポートされているプロファイルを取得する

    その後、Amazon Sidewalk サポートチームが、製品のデバイス認証キー (DAK) とファクトリーサポートを使用して、お客様のデバイスプロファイルを更新します。デバイスプロファイルは、アドバタイズ済み製品 ID (ApID)、および新しい DAKと証明書 ID などの証明書情報で自動的に更新されます。このプロファイルを使用する Sidewalk デバイスは、一括プロビジョニングでの使用に適しています。

  4. YubiHSM キーを製造元 (CM) に送信する

    これでエンドデバイスの認定が完了したので、YubiHSM キーを委託製造元 (CM) に送信して製造プロセスを開始できます。詳細については、「Amazon Sidewalk ドキュメント」の「Amazon Sidewalk デバイスの製造」を参照してください。

  5. デバイスを製造し、制御ログとシリアル番号を送信する

    CM はデバイスを製造し、制御ログを生成します。CM は、製造するデバイスのリストとその Sidewalk 製造シリアル番号 (SMSN) を含む CSV ファイルも提供します。以下のコードは、制御ログの例を示しています。デバイスのシリアル番号、APID、およびデバイスのパブリック証明書が含まれています。

    {
    "controlLogs": [
    {
        "version": "4-0-1",
        "device": 
        {
            "serialNumber": "device1",
            "productIdentifier": {
                "advertisedProductId": "abCD"        
             },
             "sidewalkData": {
                "SidewalkED25519CertificateChain": "...",          
                "SidewalkP256R1CertificateChain": "..."        
             }
         }    
      }
   ]
}
  6. AWS IoT Core for Amazon Sidewalk に制御ログ情報を渡す

    Amazon Sidewalk クラウドは、製造元から制御ログ情報を取得し、この情報を AWS IoT Core for Amazon Sidewalk に渡します。その後、デバイスをシリアル番号を使って作成することができます。

  7. シリアル番号が一致することを確認し、一括プロビジョニングを開始する

    AWS IoT コンソールまたは AWS IoT Core for Amazon Sidewalk の API オペレーション StartWirelessDeviceImportTask を使用すると、AWS IoT Core for Amazon Sidewalk は、Amazon Sidewalk から取得した各デバイスの Sidewalk 製造シリアル番号 (SMSN) を、CSV ファイル内の対応するシリアル番号と比較します。この情報が一致すると、一括プロビジョニングプロセスが開始され、AWS IoT Core for Amazon Sidewalk にインポートするデバイスが作成されます。