디바이스 프로비저닝

AWS 장치를 프로비전하고 장치에 고유한 클라이언트 인증서를 설치하는 여러 가지 방법을 제공합니다. 이 섹션에서는 각각의 방법과 IoT 솔루션에 가장 적합한 방법을 선택하는 방법에 대해 설명합니다. 이러한 옵션은 AWS IoT Core의 X.509 인증서를 사용한 디바이스 제조 및 프로비저닝이라는 백서에 자세히 설명되어 있습니다.

상황에 가장 적합한 옵션을 선택하세요.

• 인증서를 전달하기 전에 IoT 디바이스에 설치할 수 있습니다.

  최종 사용자가 사용할 수 있도록 고유한 클라이언트 인증서를 IoT 디바이스에 안전하게 설치할 수 있다면 just-in-time프로비저닝 (JITP) 또는 just-in-time등록 (JITR) 을 사용하는 것이 좋습니다.

  JITP와 JITR을 사용하면 장치 인증서 서명에 사용된 CA (인증 기관) 가 등록되고 장치가 처음 연결될 때 이를 인식합니다. AWS IoT AWS IoT 디바이스는 프로비저닝 템플릿의 세부 정보를 사용하여 첫 번째 연결 AWS IoT 시 프로비저닝됩니다.

  단일 사물, JITP, JITR 및 고유 인증서가 있는 디바이스의 대량 프로비저닝에 대한 자세한 내용은 디바이스 인증서가 있는 디바이스 프로비저닝 단원을 참조하세요.

• 최종 사용자 또는 설치 관리자는 앱을 사용하여 IoT 디바이스에 인증서를 설치할 수 있습니다.

  최종 사용자에게 전달되기 전에 고유한 클라이언트 인증서를 IoT 디바이스에 안전하게 설치할 수 없지만 최종 사용자 또는 설치 관리자가 앱을 사용하여 디바이스를 등록하고 고유한 디바이스 인증서를 설치할 수 있는 경우 신뢰할 수 있는 사용자에 의한 프로비저닝 프로세스를 사용하고자 합니다.

  알려진 계정이 있는 최종 사용자 또는 설치 관리자와 같은 신뢰할 수 있는 사용자를 사용하면 디바이스 제조 프로세스를 간소화할 수 있습니다. 장치에는 고유한 클라이언트 인증서 대신 5분 AWS IoT 동안만 장치를 연결할 수 있는 임시 인증서가 있습니다. 5분 동안 신뢰할 수 있는 사용자는 수명이 긴 고유한 클라이언트 인증서를 획득하여 디바이스에 설치합니다. 클레임 인증서의 수명이 제한되어 인증서의 손상 위험을 최소화합니다.

  자세한 내용은 신뢰할 수 있는 사용자에 의한 프로비저닝 단원을 참조하세요.

• 최종 사용자는 앱을 사용하여 IoT 디바이스에 인증서를 설치할 수 없습니다.

  이전 옵션 중 어느 것도 IoT 솔루션에서 작동하지 않는 경우 클레임에 의한 프로비저닝 프로세스가 옵션입니다. 이 프로세스를 통해 IoT 디바이스에는 플릿의 다른 디바이스에서 공유하는 클레임 인증서가 있습니다. 디바이스가 클레임 인증서에 처음 연결되면 프로비저닝 템플릿을 사용하여 디바이스를 AWS IoT 등록하고 이후에 액세스할 수 있도록 디바이스에 고유한 클라이언트 인증서를 발급합니다. AWS IoT

  이 옵션을 사용하면 장치에 연결할 때 장치를 자동으로 프로비전할 AWS IoT 수 있지만 클레임 인증서가 손상될 경우 위험이 더 커질 수 있습니다. 클레임 인증서가 손상되면 인증서를 비활성화할 수 있습니다. 클레임 인증서를 비활성화하면 해당 클레임 인증서가 있는 모든 디바이스가 나중에 등록되지 않습니다. 그러나 클레임 인증서를 비활성화해도 이미 프로비저닝된 디바이스는 차단되지 않습니다.

  자세한 내용은 클레임에 의한 프로비저닝 단원을 참조하세요.

AWS IoT의 디바이스 프로비저닝

를 사용하여 AWS IoT 장치를 프로비전할 때는 장치가 안전하게 AWS IoT 통신할 수 있도록 리소스를 만들어야 합니다. 디바이스 플릿을 관리하는 데 도움이 되는 다른 리소스를 생성할 수 있습니다. 프로비저닝 프로세스 중에 다음 리소스를 생성할 수 있습니다.

• IoT 사물.

  IoT 사물은 AWS IoT 디바이스 레지스트리의 항목입니다. 각 사물에는 고유한 이름과 속성 집합이 있으며, 물리적 디바이스와 연결됩니다. 사물 유형을 사용하여 사물을 정의하거나 사물을 사물 그룹으로 그룹화할 수 있습니다. 자세한 내용은 를 사용하여 장치 관리 AWS IoT 단원을 참조하세요.

  반드시 생성해야 하는 것은 아니지만 사물을 생성하면 사물 유형, 사물 그룹 및 사물 속성별로 디바이스를 검색하여 디바이스 플릿을 보다 효율적으로 관리할 수 있습니다. 자세한 설명은 플릿 인덱싱 섹션을 참조하세요.

  참고

  Fleet Hub가 사물의 연결 상태 데이터를 인덱싱하도록 하려면 사물 이름이 연결 요청에 사용된 클라이언트 ID와 일치하도록 사물을 프로비저닝하고 구성합니다.

• X.509 인증서.

  기기는 X.509 인증서를 사용하여 상호 인증을 수행합니다. AWS IoT 기존 인증서를 등록하거나 새 인증서를 AWS IoT 생성하여 등록할 수 있습니다. 디바이스를 나타내는 사물에 인증서를 연결하여 인증서와 디바이스를 연결합니다. 또한 인증서 및 연결된 프라이빗 키를 디바이스에 복사해야 합니다. 장치는 연결할 때 인증서를 AWS IoT 제공합니다. 자세한 설명은 인증 섹션을 참조하세요.

• IoT 정책.

  IoT 정책은 디바이스가 AWS IoT에서 수행할 수 있는 작업을 정의합니다. IoT 정책은 디바이스 인증서에 연결됩니다. 장치가 인증서를 제시하면 정책에 지정된 권한이 부여됩니다. AWS IoT 자세한 설명은 권한 부여 섹션을 참조하세요. 각 디바이스에는 AWS IoT와 통신하기 위해 인증서가 필요합니다.

AWS IoT 프로비저닝 템플릿을 사용한 자동 플릿 프로비저닝을 지원합니다. 프로비저닝 템플릿은 디바이스를 프로비저닝하는 데 AWS IoT 필요한 리소스를 설명합니다. 템플릿에는 하나의 템플릿을 사용하여 여러 디바이스를 프로비저닝할 수 있는 변수가 포함되어 있습니다. 디바이스를 프로비저닝할 때 사전 또는 맵을 사용하여 디바이스와 관련된 변수의 값을 지정합니다. 다른 디바이스를 프로비저닝하려면 사전에 새 값을 지정합니다.

디바이스에 고유한 인증서(및 연결된 프라이빗 키)가 있는지 여부에 관계없이 자동화된 프로비저닝을 사용할 수 있습니다.

플릿 프로비저닝 API

플릿 프로비저닝에 사용되는 API에는 다음과 같은 몇 가지 범주가 있습니다.

• 이러한 컨트롤 플레인 기능은 플릿 프로비저닝 템플릿을 생성 및 관리하고 신뢰할 수 있는 사용자 정책을 구성합니다.

  • CreateProvisioningTemplate

  • CreateProvisioningTemplateVersion

  • DeleteProvisioningTemplate

  • DeleteProvisioningTemplateVersion

  • DescribeProvisioningTemplate

  • DescribeProvisioningTemplateVersion

  • ListProvisioningTemplates

  • ListProvisioningTemplateVersions

  • UpdateProvisioningTemplate

• 신뢰할 수 있는 사용자는 이 컨트롤 플레인 기능을 사용하여 임시 온보딩 클레임을 생성할 수 있습니다. 이 임시 클레임은 Wi-Fi 구성이나 유사한 방법을 수행하는 중에 디바이스로 전달됩니다.

  • CreateProvisioningClaim

• 프로비저닝 클레임 인증서가 내장되어 있거나 신뢰할 수 있는 사용자가 인증서를 전달하는 디바이스에서 프로비저닝 프로세스 동안 사용되는 MQTT API입니다.

  • CreateCertificateFromCsr

  • CreateKeysAndCertificate

  • RegisterThing