전송 보안 AWS IoT Core - AWS IoT Core

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

전송 보안 AWS IoT Core

전송 계층 보안(TLS)은 컴퓨터 네트워크를 통한 보안 통신을 위해 설계된 암호화 프로토콜입니다. AWS IoT Core 디바이스 게이트웨이에서는 고객이 디바이스에서 게이트웨이로의 연결에 TLS를 사용하여 전송 중에 모든 통신을 암호화하도록 요구합니다. TLS는 에서 지원하는 애플리케이션 프로토콜 (MQTT, HTTP 및) 의 기밀성을 확보하는 데 사용됩니다. WebSocket AWS IoT Core TLS 지원은 다수의 프로그래밍 언어 및 운영 체제를 지원합니다. 내부 AWS 데이터는 특정 서비스에 의해 암호화됩니다. AWS 다른 AWS 서비스의 데이터 암호화에 대한 자세한 내용은 해당 서비스의 보안 설명서를 참조하십시오.

TLS 프로토콜

AWS IoT Core 다음 버전의 TLS 프로토콜을 지원합니다.

  • TLS 1.3

  • TLS 1.2

를 사용하면 AWS IoT Core도메인 구성에서 TLS 설정 (TLS 1.2 및 TLS 1.3용) 을 구성할 수 있습니다. 자세한 정보는 도메인 구성에서 TLS 설정 구성을 참조하세요.

보안 정책

보안 정책은 클라이언트와 서버 간의 TLS 협상 중에 지원되는 프로토콜과 암호를 결정하는 TLS 프로토콜과 해당 암호의 조합입니다. 필요에 따라 미리 정의된 보안 정책을 사용하도록 디바이스를 구성할 수 있습니다. 단, 사용자 지정 AWS IoT Core 보안 정책은 지원하지 않습니다.

장치를 연결할 때 장치에 대해 미리 정의된 보안 정책 중 하나를 선택할 수 있습니다. AWS IoT Core에 미리 정의된 최신 보안 정책의 이름에는 해당 정책이 릴리스된 연도 및 월에 따른 버전 정보가 AWS IoT Core 포함됩니다. 기본 사전 정의 보안 정책은 IoTSecurityPolicy_TLS13_1_2_2022_10입니다. AWS IoT 콘솔 또는 를 사용하여 보안 정책을 지정할 수 있습니다. AWS CLI자세한 정보는 도메인 구성에서 TLS 설정 구성을 참조하세요.

다음 테이블에는 AWS IoT Core 에서 지원하는 가장 최근의 사전 정의된 보안 정책이 설명되어 있습니다. IotSecurityPolicy_가 제목 행의 정책 이름에서 제거되어 해당 위치에 맞게 조정되었습니다.

보안 정책 TLS13_1_3_2022_10 TLS13_1_2_2022_10 TLS12_1_2_2022_10 TLS12_1_0_2016_01* TLS12_1_0_2015_01*
TCP 포트

443/8443/8883

443/8443/8883

443/8443/8883

443 8443/8883 443 8443/8883
TLS 프로토콜
TLS 1.2
TLS 1.3
TLS 암호
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA
AES256-GCM-SHA384
AES256-SHA256
AES256-SHA
DHE-RSA-AES256-SHA
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-ECDSA-AES256-SHA
참고

TLS12_1_0_2016_01ap-east-1, ap-northeast-2, ap-south-1, ap-southeast-2, ca-central-1, cn-north-1, cn-north-1, cn-north-1, eu-west-1, eu-west-2에서만 사용할 수 AWS 리전있습니다. -west-2, eu-west-3, me-south-1, sa-east-1, us-east-2, -1, -2, us-west-1. us-gov-west us-gov-west

TLS12_1_0_2015_01ap-northeast-1, ap-southeast-1, AWS 리전 eu-central-1, eu-west-1, us-east-1, us-east-1, us-west-2에서만 사용할 수 있습니다.

AWS IoT Core의 전송 보안에 관한 중요 참고 사항

MQTT를 사용하여 연결하는 장치의 경우 TLS는 장치와 브로커 간의 연결을 암호화하고 TLS 클라이언트 인증을 사용하여 장치를 식별합니다. AWS IoT Core AWS IoT Core 자세한 내용은 클라이언트 인증을 참조하세요. HTTP를 AWS IoT Core 사용하여 연결하는 장치의 경우 TLS는 장치와 브로커 간의 연결을 암호화하고 인증은 서명 버전 4에 위임됩니다. AWS 자세한 내용은 AWS 일반 참조에서 서명 버전 4를 사용하여 요청에 서명을 참조하세요.

장치를 연결할 AWS IoT Core때 서버 이름 표시 (SNI) 확장자를 보내는 것은 필수는 아니지만 적극 권장됩니다. 다중 계정 등록, 사용자 지정 도메인, VPC 엔드포인트, 구성된 TLS 정책 등의 기능을 사용하려면 SNI 확장을 사용하고 필드에 전체 엔드포인트 주소를 제공해야 합니다. host_name host_name 필드에는 호출하는 엔드포인트가 포함되어야 합니다. 이 엔드포인트는 다음 중 하나여야 합니다.

값이 올바르지 않거나 잘못된 디바이스에서 시도한 연결은 실패합니다. host_name AWS IoT Core 인증 유형의 사용자 지정 인증에 CloudWatch 대한 실패를 기록합니다.

AWS IoT Core SessionTicket TLS 확장을 지원하지 않습니다.

LoRaWAN 무선 장치의 전송 보안

LoRaWAN 장치는 젬알토, 액티비티, 셈텍이 LoRa WAN™ 보안: LoRa 얼라이언스™ 를 위해 준비한 백서에 설명된 보안 관행을 따릅니다.

LoRaWAN 장치의 전송 보안에 대한 자세한 내용은 WAN 데이터 및 전송 보안을 참조하십시오LoRa.