デバイスプロビジョニング - AWS IoT コア

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

デバイスプロビジョニング

AWS には、デバイスをプロビジョニングして一意のクライアント証明書をインストールするためのさまざまな方法があります。このセクションでは、各ソリューションに最適なものを選択する方法について説明します。IoT

お客様の状況に最適なオプションを選択する

  • 証明書は、配信前に IoT デバイスにインストールできます。

    エンドユーザーが使用する IoT デバイスに一意のクライアント証明書を安全にインストールできる場合は、 ジャストインタイムプロビジョニング (JITP) またはジャストインタイム登録 (JITR) を使用します。

    JITP および JITR を使用すると、デバイス証明書の署名に使用される認証機関 (CA) は AWS IoT に登録され、デバイスの初回接続時に AWS IoT によって認識されます。デバイスは、プロビジョニングテンプレートの詳細を使用して、最初の接続で AWS IoT にプロビジョニングされます。

    一意の証明書を持つデバイスの単一モノ、JITP、JITR、および一括プロビジョニングの詳細については、「デバイス証明書があるデバイスのプロビジョニング」を参照してください。

  • エンドユーザーまたはインストーラは、アプリケーションを使用して IoT デバイスに証明書をインストールできます。

    エンドユーザーに配信する前に IoT デバイスに一意のクライアント証明書を安全にインストールできない場合、エンドユーザーまたはインストーラはアプリケーションを使用してデバイスを登録し、一意のデバイス証明書をインストールできます。信頼されたユーザーによるプロビジョニングプロセスを使用してください。

    エンドユーザーや既知のアカウントを持つインストーラなどの信頼されたユーザーを使用すると、デバイスの管理プロセスを簡素化できます。デバイスは、一意のクライアント証明書の代わりに、5 分間のみ AWS IoT に接続できる一時的な証明書を持っています。その 5 分間の間に、信頼されたユーザーは有効期間の長い一意のクライアント証明書を取得し、デバイスにインストールします。クレーム証明書の寿命が制限されているため、証明書が侵害されるリスクが最小限に抑えられます。

    詳細については、「信頼できるユーザーによるプロビジョニング」を参照してください。

  • エンドユーザーがアプリを使用して IoT デバイスに証明書をインストールできない

    ソリューションで以前のいずれのオプションも機能しない場合、IoTクレームによるプロビジョニングプロセスは 1 つのオプションです。このプロセスにより、IoT デバイスには、フリート内の他のデバイスによって共有されるクレーム証明書が与えられます。初めてデバイスがクレーム証明書に接続するとき、AWS IoT はプロビジョニングテンプレートを使用してデバイスを登録し、AWS IoT への後続のアクセス用に一意のクライアント証明書を発行します。

    このオプションでは、AWS IoT に接続するときにデバイスの自動プロビジョニングが有効になりますが、クレーム証明書が侵害された場合、より大きなリスクが発生する可能性があります。クレーム証明書が侵害された場合、証明書を無効にすることができます。クレーム証明書を無効にすると、そのクレーム証明書を持つすべてのデバイスは、今後登録できなくなります。ただし、クレーム証明書を無効にしても、すでにプロビジョニングされているデバイスはブロックされません。

    詳細については、「クレームによるプロビジョニング」を参照してください。

でのデバイスのプロビジョニングAWS IoT

AWS IoT でデバイスをプロビジョニングする場合、デバイスと AWS IoT が安全に通信できるように、リソースを作成する必要があります。デバイスフリートの管理に役立つその他のリソースを作成できます。プロビジョニングプロセスでは、次のリソースを作成できます。

  • IoT のモノ

    IoT のモノは、AWS IoT デバイスレジストリのエントリです。各モノには一意の名前と属性のセットがあり、物理デバイスに関連付けられています。モノはモノの種類を使用して定義することも、モノグループにグループ化することもできます。詳細については、「AWS IoT によるデバイスの管理」を参照してください。

    必須ではありませんが、モノを作成することで、モノの種類、モノグループ、およびモノ属性でデバイスを検索し、デバイスフリートをより効率的に管理できます。詳細については、「フリートインデックス作成サービス」を参照してください。

  • X.509 証明書。

    デバイスは X.509 証明書を使用して、AWS IoT との相互認証を実行します。既存の証明書を登録することも、AWS IoT で新しい証明書を生成して登録することもできます。証明書を、デバイスを表すモノにアタッチすることで、デバイスと関連付けることができます。また、証明書および関連付けられたプライベートキーをデバイスにコピーする必要もあります。デバイスでは、AWS IoT への接続時に証明書が提示されます。詳細については、「Authentication」を参照してください。

  • IoT ポリシー。

    IoT ポリシーは、デバイスが AWS IoT で実行できるオペレーションを定義します。IoT ポリシーはデバイス証明書にアタッチされます。デバイスが AWS IoT に証明書を提示すると、ポリシーで指定されたアクセス許可が付与されます。詳細については、「Authorization」を参照してください。各デバイスには、AWS IoT と通信する証明書が必要です。

AWS IoT は、プロビジョニングテンプレートを使用した自動フリートプロビジョニングをサポートします。プロビジョニングテンプレートは、AWS IoT がデバイスのプロビジョニングに必要なリソースを記述します。テンプレートには、1 つのテンプレートを使用して複数のデバイスをプロビジョニングできる変数が含まれています。デバイスをプロビジョニングするときは、ディクショナリまたはマップを使用して、デバイスに固有の変数の値を指定します。別のデバイスをプロビジョニングするには、ディクショナリに新しい値を指定します。

デバイスに固有の証明書 (および関連するプライベートキー) があるかどうかにかかわらず、自動プロビジョニングを使用できます。

フリートプロビジョニングAPIs

には、フリートプロビジョニングで使用されるいくつかのカテゴリがあります。APIs