AWS IoT でのトランスポートセキュリティ - AWS IoT Core

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS IoT でのトランスポートセキュリティ

AWS IoT メッセージブローカーと Device Shadow サービスでは、送信中のすべての通信は、TLS バージョン 1.2。TLS は、AWS IoT でサポートされているアプリケーションプロトコル (MQTT、HTTP、および WebSocket) の機密性を確保するために使用されます。TLS サポートは、多くのプログラミング言語とオペレーティングシステムで使用できます。AWS 内のデータは、特定の AWS サービスによって暗号化されます。他の AWS サービスのデータ暗号化の詳細については、そのサービスのセキュリティドキュメントを参照してください。

MQTT 用に、TLS はデバイスとブローカーとの間の接続を暗号化します。TLS クライアント認証は、AWS IoT によってデバイスの識別に使用されます。HTTP 用に、TLS はデバイスとブローカーとの間の接続を暗号化します。認証は AWS 署名バージョン 4 に委任されます。

AWS IoT では、デバイスがサーバーネームインディケーション (SNI) 拡張子をTransport Layer Security (TLS) プロトコルに追加し、完全なエンドポイントアドレスを指定するには、host_namefield host_name フィールドには、呼び出すエンドポイントが含まれている必要があります。次のようになる必要があります。

  • -endpointAddressによって返されるaws iot describe-endpoint --endpoint-type iot:Data-ATS

    または

  • -domainNameによって返されるaws iot describe-domain-configuration –-domain-configuration-name "domain_configuration_name"

正しいがないデバイスによって試行された接続host_nameの値はすべて拒否され、CloudWatch に記録されます。

AWS IoT では、SessionTicket TLS 拡張はサポートされません。

LoRaWanワイヤレスデバイスのトランスポートセキュリティ

LoRaWANデバイスは、LoRaWan™ セキュリティ:ジェマルト、アクティリティ、セムテックによるLoRa Alliance™ に向けて準備されたホワイトペーパー

LoRaWANデバイスでのトランスポートセキュリティの詳細については、Data security with AWS IoT Core for LoRaWAN

TLS 暗号スイートのサポート

AWS IoT では、以下の暗号スイートがサポートされています。

  • ECDHE-ECDSA-AES128-GCM-SHA256 (推奨)

  • ECDHE-RSA-AES128-GCM-SHA256 (推奨)

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-ECDSA-AES256- GCM-SHA384

  • ECDHE-RSA-AES256- GCM-SHA384

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA

  • ECDHE-ECDSA-AES256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA256

  • AES128-SHA

  • AES256-GCM-SHA384

  • AES256-SHA256

  • AES256-SHA