AWS IoT Greengrass 검증 제품군을 실행하도록 IDT 설정을 구성합니다. - AWS IoT Greengrass
AWS 자격 증명 구성device.json 구성userdata.json을 구성합니다.파라미터 스토어에서 AWS 구성을 가져옵니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS IoT Greengrass 검증 제품군을 실행하도록 IDT 설정을 구성합니다.

테스트를 실행하기 전에 호스트 컴퓨터의 AWS 자격 증명 및 장치에 대한 설정을 구성해야 합니다.

AWS config.json에서 자격 증명을 구성합니다.

<device_tester_extract_location>/configs/config.json 파일에서 IAM 사용자 보안 인증을 구성해야 합니다. 에서 생성 및 구성 AWS 계정 생성한 AWS IoT Greengrass V2용 IDT 사용자의 자격 증명을 사용하십시오. 두 가지 방법 중 하나로 자격 증명을 지정할 수 있습니다.

  • 보안 인증 파일에서

  • 환경 변수로

IDT는 AWS CLI와 동일한 자격 증명 파일을 사용합니다. 자세한 내용은 구성 및 자격 증명 파일을 참조하십시오.

자격 증명 파일의 위치는 사용하는 운영 체제에 따라 달라집니다.

  • macOS, Linux의 경우: ~/.aws/credentials

  • Windows: C:\Users\UserName\.aws\credentials

다음 형식으로 credentials 파일에 AWS 자격 증명을 추가합니다.

[default]
aws_access_key_id = <your_access_key_id>
aws_secret_access_key = <your_secret_access_key>

credentials파일의 AWS 자격 증명을 사용하도록 IDT for AWS IoT Greengrass V2를 구성하려면 다음과 같이 config.json 파일을 편집하십시오.

{
  "awsRegion": "region",
  "auth": {
    "method": "file",
    "credentials": {
      "profile": "default"
    }
  }
}
참고

프로필을 사용하지 않는 경우 default AWS 파일에서 프로필 이름을 변경해야 합니다config.json. 자세한 내용은 명명된 프로필을 참조하십시오.

환경 변수는 운영 체제에서 유지 관리하고 시스템 명령에서 사용하는 변수입니다. 이들은 SSH 세션을 닫으면 저장되지 않습니다. AWS IoT Greengrass V2용 IDT는 AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY 환경 변수를 사용하여 AWS 자격 증명을 저장할 수 있습니다.

Linux, macOS 또는 Unix에서 이러한 변수를 설정하려면 export를 사용합니다.

export AWS_ACCESS_KEY_ID=<your_access_key_id>
export AWS_SECRET_ACCESS_KEY=<your_secret_access_key>

Windows에서 이러한 변수를 설정하려면 set을 사용합니다.

set AWS_ACCESS_KEY_ID=<your_access_key_id>
set AWS_SECRET_ACCESS_KEY=<your_secret_access_key>

환경 변수를 사용하도록 IDT를 구성하려면 config.json 파일에서 auth 섹션을 편집합니다. 예:

{
  "awsRegion": "region",
  "auth": {
    "method": "environment"
  }
}

device.json 구성

참고

IDT v4.9.3은, 및 기능 테스트를 지원합니다. ml docker streamManagement IDT v4.9.4 이상 버전은 테스트를 지원합니다. docker 이러한 기능을 테스트하지 않으려면 해당 값을 로 설정하십시오. no

IDT for AWS IoT Greengrass V2에는 AWS 자격 증명 외에도 테스트가 실행되는 기기에 대한 정보가 필요합니다. 예제 정보로는 IP 주소, 로그인 정보, 운영 체제, CPU 아키텍처 등이 있습니다.

<device_tester_extract_location>/configs/device.json에 있는 device.json 템플릿을 사용하여 이 정보를 제공해야 합니다.

IDT v4.9.3
[
  {
    "id": "<pool-id>",
    "sku": "<sku>",
    "features": [
      {
        "name": "arch",
        "value": "x86_64 | armv6l | armv7l | aarch64"
      },
      {
        "name": "ml",
        "value": "dlr | tensorflowlite | dlr,tensorflowlite | no"
      },
      {
        "name": "docker",
        "value": "yes | no"
      },
      {
        "name": "streamManagement",
        "value": "yes | no"
      }, 
      {
        "name": "hsi", 
        "value": "hsm | no" 
      }
    ],
    "devices": [
      {
        "id": "<device-id>",
        "operatingSystem": "Linux | Windows",
        "connectivity": {
          "protocol": "ssh",
          "ip": "<ip-address>",
          "port": 22,
          "publicKeyPath": "<public-key-path>",
          "auth": {
            "method": "pki | password",
            "credentials": {
              "user": "<user-name>",
              "privKeyPath": "/path/to/private/key",
              "password": "<password>"
            }
          }
        }
      }
    ]
  }
]
참고

methodpki로 설정된 경우에만 privKeyPath를 지정합니다.

methodpassword로 설정된 경우에만 password를 지정합니다.

다음 설명과 같이 값이 포함된 모든 속성이 필요합니다.

id

장치 풀이라고 하는 장치 모음을 고유하게 식별하는 사용자 정의 영숫자 ID입니다. 풀에 속한 장치의 하드웨어는 서로 동일해야 합니다. 테스트 제품군을 실행할 때 풀에 있는 장치는 워크로드를 병렬화하는 데 사용됩니다. 다양한 테스트를 실행하기 위해 여러 장치가 사용됩니다.

sku

테스트 대상 장치를 고유하게 식별하는 영숫자 값입니다. SKU는 적격 보드를 추적하는 데 사용됩니다.

참고

기기 카탈로그에 기기를 리스팅하려면 여기에 지정하는 SKU가 리스팅 프로세스에서 사용하는 SKU와 일치해야 합니다. AWS Partner

features

장치의 지원되는 기능이 포함된 배열입니다. 모든 기능이 필요합니다.

arch

테스트 실행에서 검증한 지원되는 운영 체제 아키텍처. 유효한 값은 다음과 같습니다.

  • x86_64

  • armv6l

  • armv7l

  • aarch64

ml

기기가 AWS제공된 기계 학습 (ML) 구성 요소를 사용하는 데 필요한 모든 기술 종속성을 충족하는지 확인합니다.

또한 이 기능을 활성화하면 기기가 딥러닝 런타임 및 TensorFlow Lite ML 프레임워크를 사용하여 ML 추론을 수행할 수 있는지도 검증됩니다.

유효한 값은 dlr 및 또는 의 모든 조합입니다. tensorflowlite no

docker

기기가 AWS-제공된 Docker 애플리케이션 관리자 () 구성 요소를 사용하는 데 필요한 모든 기술 종속성을 충족하는지 확인합니다. aws.greengrass.DockerApplicationManager

이 기능을 활성화하면 디바이스가 Amazon ECR에서 Docker 컨테이너 이미지를 다운로드할 수 있는지도 검증됩니다.

유효한 값은 또는 의 모든 조합입니다. yes no

streamManagement

장치가 AWS IoT Greengrass 스트림 관리자를 다운로드, 설치 및 실행할 수 있는지 확인합니다.

유효한 값은 yes 또는 no 의 모든 조합입니다.

hsi

장치가 하드웨어 보안 모듈 (HSM) 에 저장된 개인 키와 인증서를 사용하여 AWS IoT 및 AWS IoT Greengrass 서비스에 대한 연결을 인증할 수 있는지 확인합니다. 또한 이 테스트에서는 AWS-제공된 PKCS #11 provider 구성 요소가 공급업체에서 제공한 PKCS #11 라이브러리를 사용하여 HSM과 인터페이스할 수 있는지 확인합니다. 자세한 정보는 하드웨어 보안 통합을 참조하세요.

유효한 값은 hsm 또는 no입니다.

참고

IDT v4.9.3 이상 버전에서만 테스트를 수행할 수 있습니다. hsi

devices.id

테스트 대상 장치의 고유한 사용자 정의 식별자입니다.

devices.operatingSystem

기기 운영 체제. 지원되는 값은 LinuxWindows입니다.

connectivity.protocol

이러한 장치와 통신하는 데 사용되는 통신 프로토콜입니다. 현재 지원되는 유일한 값은 물리적 ssh 장치용입니다.

connectivity.ip

테스트 대상 장치의 IP 입니다.

이 속성은 connectivity.protocolssh로 설정된 경우에만 적용됩니다.

connectivity.port

선택 사항입니다. SSH 연결하는 데 사용하는 포트 번호입니다.

기본값은 4입니다.

이 속성은 connectivity.protocolssh로 설정된 경우에만 적용됩니다.

connectivity.publicKeyPath

선택 사항입니다. 테스트 대상 디바이스에 대한 연결을 인증하는 데 사용되는 퍼블릭 키의 전체 경로입니다.

publicKeyPath를 지정하면 IDT가 테스트 대상 디바이스에 SSH 연결을 설정할 때 디바이스의 퍼블릭 키를 검증합니다. 이 값을 지정하지 않으면 IDT는 SSH 연결을 생성하지만 디바이스의 퍼블릭 키를 확인하지는 않습니다.

퍼블릭 키의 경로를 지정하고 안전한 방법을 사용하여 이 퍼블릭 키를 가져오는 것이 좋습니다. 표준 명령줄 기반 SSH 클라이언트의 경우 퍼블릭 키는 known_hosts 파일에 제공됩니다. 별도의 퍼블릭 키 파일을 지정하는 경우 이 파일은 known_hosts 파일과 동일한 형식, 즉, ip-address key-type public-key을 사용해야 합니다. 동일한 IP 주소를 가진 항목이 여러 개 있는 경우 IDT에서 사용하는 키 유형 항목이 파일의 다른 항목 앞에 있어야 합니다.

connectivity.auth

연결에 대한 인증 정보입니다.

이 속성은 connectivity.protocolssh로 설정된 경우에만 적용됩니다.

connectivity.auth.method

지정된 연결 프로토콜을 통해 장치에 액세스하는 데 사용되는 인증 방법입니다.

지원되는 값은 다음과 같습니다.

  • pki

  • password

connectivity.auth.credentials

인증에 사용되는 자격 증명입니다.

connectivity.auth.credentials.password

테스트 대상 장치에 로그인하기 위해 사용하는 암호입니다.

이 값은 connectivity.auth.methodpassword로 설정된 경우에만 적용됩니다.

connectivity.auth.credentials.privKeyPath

테스트 대상 장치에 로그인하는 데 사용하는 프라이빗 키의 전체 경로입니다.

이 값은 connectivity.auth.methodpki로 설정된 경우에만 적용됩니다.

connectivity.auth.credentials.user

테스트 대상 장치에 로그인하기 위한 사용자 이름입니다.

IDT v4.9.4
[
  {
    "id": "<pool-id>",
    "sku": "<sku>",
    "features": [
      {
        "name": "arch",
        "value": "x86_64 | armv6l | armv7l | aarch64"
      },
      {
        "name": "docker",
        "value": "yes | no"
      }, 
      {
        "name": "hsi", 
        "value": "hsm | no" 
      }
    ],
    "devices": [
      {
        "id": "<device-id>",
        "operatingSystem": "Linux | Windows",
        "connectivity": {
          "protocol": "ssh",
          "ip": "<ip-address>",
          "port": 22,
          "publicKeyPath": "<public-key-path>",
          "auth": {
            "method": "pki | password",
            "credentials": {
              "user": "<user-name>",
              "privKeyPath": "/path/to/private/key",
              "password": "<password>"
            }
          }
        }
      }
    ]
  }
]
참고

methodpki로 설정된 경우에만 privKeyPath를 지정합니다.

methodpassword로 설정된 경우에만 password를 지정합니다.

다음 설명과 같이 값이 포함된 모든 속성이 필요합니다.

id

장치 풀이라고 하는 장치 모음을 고유하게 식별하는 사용자 정의 영숫자 ID입니다. 풀에 속한 장치의 하드웨어는 서로 동일해야 합니다. 테스트 제품군을 실행할 때 풀에 있는 장치는 워크로드를 병렬화하는 데 사용됩니다. 다양한 테스트를 실행하기 위해 여러 장치가 사용됩니다.

sku

테스트 대상 장치를 고유하게 식별하는 영숫자 값입니다. SKU는 적격 보드를 추적하는 데 사용됩니다.

참고

기기 카탈로그에 기기를 리스팅하려면 여기에 지정하는 SKU가 리스팅 프로세스에서 사용하는 SKU와 일치해야 합니다. AWS Partner

features

장치의 지원되는 기능이 포함된 배열입니다. 모든 기능이 필요합니다.

arch

테스트 실행에서 검증한 지원되는 운영 체제 아키텍처. 유효한 값은 다음과 같습니다.

  • x86_64

  • armv6l

  • armv7l

  • aarch64

docker

기기가 AWS-제공된 Docker 애플리케이션 관리자 () 구성 요소를 사용하는 데 필요한 모든 기술적 종속성을 충족하는지 확인합니다. aws.greengrass.DockerApplicationManager

이 기능을 활성화하면 디바이스가 Amazon ECR에서 Docker 컨테이너 이미지를 다운로드할 수 있는지도 검증됩니다.

유효한 값은 또는 의 모든 조합입니다. yes no

hsi

장치가 하드웨어 보안 모듈 (HSM) 에 저장된 개인 키와 인증서를 사용하여 AWS IoT 및 AWS IoT Greengrass 서비스에 대한 연결을 인증할 수 있는지 확인합니다. 또한 이 테스트에서는 AWS-제공된 PKCS #11 provider 구성 요소가 공급업체에서 제공한 PKCS #11 라이브러리를 사용하여 HSM과 인터페이스할 수 있는지 확인합니다. 자세한 정보는 하드웨어 보안 통합을 참조하세요.

유효한 값은 hsm 또는 no입니다.

참고

IDT v4.9.3 이상 버전에서만 테스트를 수행할 수 있습니다. hsi

devices.id

테스트 대상 장치의 고유한 사용자 정의 식별자입니다.

devices.operatingSystem

기기 운영 체제. 지원되는 값은 LinuxWindows입니다.

connectivity.protocol

이러한 장치와 통신하는 데 사용되는 통신 프로토콜입니다. 현재 지원되는 유일한 값은 물리적 ssh 장치용입니다.

connectivity.ip

테스트 대상 장치의 IP 입니다.

이 속성은 connectivity.protocolssh로 설정된 경우에만 적용됩니다.

connectivity.port

선택 사항입니다. SSH 연결하는 데 사용하는 포트 번호입니다.

기본값은 4입니다.

이 속성은 connectivity.protocolssh로 설정된 경우에만 적용됩니다.

connectivity.publicKeyPath

선택 사항입니다. 테스트 대상 디바이스에 대한 연결을 인증하는 데 사용되는 퍼블릭 키의 전체 경로입니다.

publicKeyPath를 지정하면 IDT가 테스트 대상 디바이스에 SSH 연결을 설정할 때 디바이스의 퍼블릭 키를 검증합니다. 이 값을 지정하지 않으면 IDT는 SSH 연결을 생성하지만 디바이스의 퍼블릭 키를 확인하지는 않습니다.

퍼블릭 키의 경로를 지정하고 안전한 방법을 사용하여 이 퍼블릭 키를 가져오는 것이 좋습니다. 표준 명령줄 기반 SSH 클라이언트의 경우 퍼블릭 키는 known_hosts 파일에 제공됩니다. 별도의 퍼블릭 키 파일을 지정하는 경우 이 파일은 known_hosts 파일과 동일한 형식, 즉, ip-address key-type public-key을 사용해야 합니다. 동일한 IP 주소를 가진 항목이 여러 개 있는 경우 IDT에서 사용하는 키 유형 항목이 파일의 다른 항목 앞에 있어야 합니다.

connectivity.auth

연결에 대한 인증 정보입니다.

이 속성은 connectivity.protocolssh로 설정된 경우에만 적용됩니다.

connectivity.auth.method

지정된 연결 프로토콜을 통해 장치에 액세스하는 데 사용되는 인증 방법입니다.

지원되는 값은 다음과 같습니다.

  • pki

  • password

connectivity.auth.credentials

인증에 사용되는 자격 증명입니다.

connectivity.auth.credentials.password

테스트 대상 장치에 로그인하기 위해 사용하는 암호입니다.

이 값은 connectivity.auth.methodpassword로 설정된 경우에만 적용됩니다.

connectivity.auth.credentials.privKeyPath

테스트 대상 장치에 로그인하는 데 사용하는 프라이빗 키의 전체 경로입니다.

이 값은 connectivity.auth.methodpki로 설정된 경우에만 적용됩니다.

connectivity.auth.credentials.user

테스트 대상 장치에 로그인하기 위한 사용자 이름입니다.

userdata.json을 구성합니다.

AWS IoT Greengrass V2용 IDT에는 테스트 아티팩트 및 소프트웨어 위치에 대한 추가 정보도 필요합니다. AWS IoT Greengrass

<device_tester_extract_location>/configs/userdata.json에 있는 userdata.json 템플릿을 사용하여 이 정보를 제공해야 합니다.

{
    "TempResourcesDirOnDevice": "/path/to/temp/folder",
    "InstallationDirRootOnDevice": "/path/to/installation/folder",
    "GreengrassNucleusZip": "/path/to/aws.greengrass.nucleus.zip",
    "PreInstalled": "yes/no",
    "GreengrassV2TokenExchangeRole": "custom-iam-role-name",
	"hsm": {
        "greengrassPkcsPluginJar": "/path/to/aws.greengrass.crypto.Pkcs11Provider-latest.jar",
        "pkcs11ProviderLibrary": "/path/to/pkcs11-vendor-library",
        "slotId": "slot-id",
        "slotLabel": "slot-label",
        "slotUserPin": "slot-pin",
        "keyLabel": "key-label",
        "preloadedCertificateArn": "certificate-arn"
        "rootCA": "path/to/root-ca"
    }
}

다음 설명과 같이 값이 포함된 모든 속성이 필요합니다.

TempResourcesDirOnDevice

테스트 아티팩트를 저장할 테스트 대상 기기의 임시 폴더의 전체 경로입니다. 이 디렉터리에 쓰는 데 sudo 권한이 필요하지 않은지 확인하세요.

참고

IDT는 테스트 실행이 끝나면 이 폴더의 콘텐츠를 삭제합니다.

InstallationDirRootOnDevice

설치할 기기에 있는 폴더의 전체 경로입니다. AWS IoT Greengrass PreInstalled Greengrass의 경우 이 경로는 그린그래스 설치 디렉토리의 경로입니다.

이 폴더에 필요한 파일 권한을 설정해야 합니다. 설치 경로의 각 폴더에 대해 다음 명령을 실행합니다.

sudo chmod 755 folder-name
GreengrassNucleusZip

호스트 컴퓨터에 있는 그린그래스 핵 ZIP (greengrass-nucleus-latest.zip) 파일의 전체 경로입니다. PreInstalledGreengrass를 사용한 테스트에는 이 필드가 필요하지 않습니다.

참고

IDT용 Greengrass 핵의 지원되는 버전에 대한 자세한 내용은 을 참조하십시오. AWS IoT GreengrassV2용 AWS IoT Greengrass 최신 IDT 버전 최신 Greengrass 소프트웨어를 다운로드하려면 소프트웨어 다운로드를 AWS IoT Greengrass 참조하십시오.

PreInstalled

이 기능은 Linux 디바이스의 IDT v4.5.8 이상 버전에서만 사용할 수 있습니다.

(선택 사항) 값이 yes인 경우 IDT는 에서 InstallationDirRootOnDevice 언급한 경로를 Greengrass가 설치된 디렉토리로 간주합니다.

장치에 Greengrass를 설치하는 방법에 대한 자세한 내용은 을 참조하십시오. 자동 리소스 프로비저닝으로 AWS IoT Greengrass Core 소프트웨어 설치 수동 프로비저닝으로 설치하는 경우 사물을 수동으로 생성할 때 “새 AWS IoT 사물 그룹 또는 기존 사물 그룹에 사물 추가” 단계를 포함시키십시오.AWS IoT IDT에서는 설치 설정 중에 사물 및 사물 그룹이 생성된다고 가정합니다. 이러한 값이 파일에 반영되었는지 확인하십시오. effectiveConfig.yaml IDT는 effectiveConfig.yaml 아래에 <InstallationDirRootOnDevice>/config/effectiveConfig.yaml 있는 파일을 확인합니다.

HSM으로 테스트를 실행하려면 aws.greengrass.crypto.Pkcs11Provider 필드가 에서 업데이트되었는지 확인하세요. effectiveConfig.yaml

GreengrassV2TokenExchangeRole

(선택사항) 테스트 대상 기기가 리소스와 상호작용하는 것으로 가정하는 토큰 교환 역할로 사용하려는 사용자 지정 IAM 역할. AWS

참고

IDT는 테스트 실행 중에 기본 토큰 교환 역할을 생성하는 대신 이 사용자 지정 IAM 역할을 사용합니다. 사용자 지정 역할을 사용하는 경우 사용자가 IAM 역할 및 정책을 생성하고 삭제할 수 있도록 허용하는 iamResourcesUpdate 명령문을 제외하도록 테스트 사용자의 IAM 권한을 업데이트할 수 있습니다.

사용자 지정 IAM 역할을 토큰 교환 역할로 생성하는 방법에 대한 자세한 내용은 을 참조하십시오. 사용자 지정 토큰 교환 역할을 구성하세요.

hsm

이 기능은 IDT v4.5.1 이상에서 사용할 수 있습니다.

(선택 사항) AWS IoT Greengrass 하드웨어 보안 모듈 (HSM) 을 사용한 테스트를 위한 구성 정보. 그렇지 않으면 hsm 속성을 생략해야 합니다. 자세한 정보는 하드웨어 보안 통합을 참조하세요.

이 속성은 connectivity.protocolssh로 설정된 경우에만 적용됩니다.

주의

하드웨어 보안 모듈을 IDT와 다른 시스템 간에 공유하는 경우 HSM 구성은 민감한 데이터로 간주될 수 있습니다. 이 경우 AWS Parameter Store SecureString 파라미터에 구성 값을 저장하고 테스트 실행 중에 이를 가져오도록 IDT를 구성하면 이러한 구성 값을 일반 텍스트로 보호하는 것을 피할 수 있습니다. 자세한 내용은 파라미터 스토어에서 AWS 구성을 가져옵니다.단원을 참조하세요.

hsm.greengrassPkcsPluginJar

IDT 호스트 시스템에 다운로드한 PKCS #11 공급자 구성 요소의 전체 경로입니다. AWS IoT Greengrass 이 구성 요소를 JAR 파일로 제공하여 설치 중에 프로비저닝 플러그인으로 지정할 수 있도록 다운로드할 수 있습니다. 구성 요소 JAR 파일의 최신 버전을 다음 URL로 다운로드할 수 있습니다. https://d2s8p88vqu9w66.cloudfront.net/releases/Pkcs11Provider/aws.greengrass.crypto.Pkcs11Provider-latest.jar.

hsm.pkcs11ProviderLibrary

HSM과 상호 작용하기 위해 하드웨어 보안 모듈 (HSM) 공급업체에서 제공하는 PKCS #11 라이브러리의 전체 경로입니다.

hsm.slotId

키와 인증서를 로드할 HSM 슬롯을 식별하는 데 사용되는 슬롯 ID입니다.

hsm.slotLabel

키와 인증서를 로드하는 HSM 슬롯을 식별하는 데 사용되는 슬롯 레이블입니다.

hsm.slotUserPin

IDT가 HSM에 AWS IoT Greengrass Core 소프트웨어를 인증하는 데 사용하는 사용자 PIN입니다.

참고

보안 모범 사례로서 프로덕션 디바이스에서는 동일한 사용자 PIN을 사용하지 마십시오.

hsm.keyLabel

하드웨어 모듈에서 키를 식별하는 데 사용되는 레이블입니다. 키와 인증서 모두 동일한 키 라벨을 사용해야 합니다.

hsm.preloadedCertificateArn

클라우드에 업로드된 디바이스 인증서의 Amazon 리소스 이름 (ARN). AWS IoT

이전에 HSM의 키를 사용하여 이 인증서를 생성하고 HSM으로 가져와 클라우드에 업로드한 적이 있어야 합니다. AWS IoT 인증서 생성 및 가져오기에 대한 자세한 내용은 HSM 설명서를 참조하십시오.

config.json에 제공한 것과 동일한 계정 및 지역에 인증서를 업로드해야 합니다. . 인증서를 업로드하는 AWS IoT방법에 대한 자세한 내용은 AWS IoT 개발자 안내서의 클라이언트 인증서 수동 등록을 참조하십시오.

hsm.rootCAPath

(선택 사항) IDT 호스트 시스템에서 인증서를 서명한 루트 인증 기관 (CA) 에 대한 전체 경로. 이는 Amazon 루트 CA가 생성한 HSM의 인증서에 서명하지 않은 경우 필요합니다.

파라미터 스토어에서 AWS 구성을 가져옵니다.

AWS IoT 디바이스 테스터 (IDT) 에는 AWS Systems Manager 파라미터 저장소에서 구성 값을 가져오는 옵션 기능이 포함되어 있습니다. AWS 파라미터 스토어를 사용하면 구성을 안전하고 암호화하여 저장할 수 있습니다. 구성된 경우 IDT는 매개변수를 파일 내에 일반 텍스트로 저장하는 대신 AWS Parameter Store에서 매개변수를 가져올 수 있습니다. userdata.json 이는 암호, 핀 및 기타 비밀과 같이 암호화하여 저장해야 하는 모든 민감한 데이터에 유용합니다.

  1. 이 기능을 사용하려면 IDT 사용자를 만들 때 사용한 권한을 업데이트하여 IDT에서 사용하도록 구성된 매개변수에 대한 GetParameter 작업을 허용해야 합니다. 다음은 IDT 사용자에게 추가할 수 있는 권한 설명의 예입니다. 자세한 내용은 AWS Systems Manager 사용자 가이드를 참조하십시오.

    {
       "Sid":"parameterStoreResources",
       "Effect": "Allow",
        "Action": [
            "ssm:GetParameter"
        ],
        "Resource": "arn:aws:ssm:*:*:parameter/IDT*"
}

    위 권한은 와일드카드 문자를 사용하여 이름이 로 IDT 시작하는 모든 매개 변수를 가져올 수 있도록 구성되어 있습니다. * IDT가 사용 중인 매개변수의 이름을 기반으로 구성된 매개변수를 가져올 수 있도록 필요에 맞게 사용자 지정해야 합니다.

  2. 구성 값은 파라미터 저장소에 저장해야 합니다. AWS 이 작업은 AWS 콘솔 또는 AWS CLI에서 수행할 수 있습니다. AWS 파라미터 저장소에서는 암호화된 저장소나 암호화되지 않은 저장소를 선택할 수 있습니다. 비밀, 암호, 핀과 같은 민감한 값을 저장하려면 파라미터 유형인 암호화된 옵션을 사용해야 합니다. SecureString AWS CLI를 사용하여 파라미터를 업로드하려면 다음 명령을 사용할 수 있습니다.

    aws ssm put-parameter --name IDT-example-name --value IDT-example-value --type SecureString

    다음 명령을 사용하여 파라미터가 저장되었는지 확인할 수 있습니다. (선택 사항) --with-decryption 플래그를 사용하여 SecureString 복호화된 파라미터를 가져올 수 있습니다.

    aws ssm get-parameter --name IDT-example-name

    CLI를 사용하면 AWS 현재 CLI 사용자의 AWS 영역에 파라미터가 업로드되고 IDT는 에 구성된 리전에서 파라미터를 가져옵니다. config.json AWS CLI에서 지역을 확인하려면 다음을 사용하십시오.

    aws configure get region

  3. AWS 클라우드에 구성 값이 있으면 IDT 구성 내의 모든 값을 업데이트하여 클라우드에서 가져올 수 있습니다. AWS 이렇게 {{AWS.Parameter.parameter_name}} 하려면 양식의 IDT 구성에 있는 자리 표시자를 사용하여 Parameter Store에서 해당 이름으로 파라미터를 가져오면 됩니다. AWS

    예를 들어 2단계의 IDT-example-name 파라미터를 HSM 구성의 HSM 키 레이블로 사용한다고 가정해 보겠습니다. 이렇게 하려면 다음과 같이 업데이트하면 됩니다. userdata.json 

    "hsm": {
        "keyLabel": "{{AWS.Parameter.IDT-example-name}}",
        [...]
    }

    IDT는 2단계에서 설정한 이 매개변수 값을 IDT-example-value 런타임에 가져옵니다. 이 구성은 설정과 "keyLabel": "IDT-example-value" 비슷하지만 대신 해당 값이 암호화된 상태로 클라우드에 AWS 저장됩니다.