AWS IoT でのトランスポートセキュリティ
AWS IoT メッセージブローカーとデバイスシャドウサービスでは、TLS
MQTT 用に、TLS はデバイスとブローカーとの間の接続を暗号化します。TLS クライアント認証は、AWS IoT によってデバイスの識別に使用されます。HTTP 用に、TLS はデバイスとブローカーとの間の接続を暗号化します。認証は AWS 署名バージョン 4 に委任されます。
AWS IoT では、デバイスが Server Name Indication (SNI) 拡張host_name
フィールドに完全なエンドポイントアドレスを指定する必要があります。host_name
フィールドには、呼び出すエンドポイントが含まれている必要があります。次のようになる必要があります。
-
endpointAddress
によって返されるaws iot describe-endpoint
--endpoint-type iot:Data-ATS または
-
domainName
によって返されるaws iot describe-domain-configuration
–-domain-configuration-name " domain_configuration_name
"
正しい host_name
値を持たないデバイスによって試行された接続は失敗し、認証タイプがカスタム認証の場合、AWS IoT は CloudWatch にエラーをログ記録します。
AWS IoT は SessionTicket TLS 拡張をサポートしていません。
LoRaWAN ワイヤレスデバイスのトランスポートセキュリティ
LoRaWAN デバイスは、LoRaWAN ™ SECURITY: Gemalto、Actility、および Semtech による LoRa Alliance™ 向けに作成されたホワイトペーパー
LoRaWAN デバイスのトランスポートセキュリティの詳細については、「AWS IoT Core for LoRaWAN によるデータセキュリティ」を参照してください。
TLS 暗号スイートのサポート
AWS IoT では、以下の暗号スイートがサポートされています。
-
ECDHE-ECDSA-AES128-GCM-SHA256 (推奨)
-
ECDHE-RSA-AES128-GCM-SHA256 (推奨)
-
ECDHE-ECDSA-AES128-SHA256
-
ECDHE-RSA-AES128-SHA256
-
ECDHE-ECDSA-AES128-SHA
-
ECDHE-RSA-AES128-SHA
-
ECDHE-ECDSA-AES256- GCM-SHA384
-
ECDHE-RSA-AES256- GCM-SHA384
-
ECDHE-ECDSA-AES256-SHA384
-
ECDHE-RSA-AES256-SHA384
-
ECDHE-RSA-AES256-SHA
-
ECDHE-ECDSA-AES256-SHA
-
AES128-GCM-SHA256
-
AES128-SHA256
-
AES128-SHA
-
AES256-GCM-SHA384
-
AES256-SHA256
-
AES256-SHA