Usando AWS IoT Core com VPC endpoints de interface - AWS IoT Core
Criação de VPC endpoints para o plano AWS IoT Core de dadosCriação de VPC endpoints para provedor de AWS IoT Core credenciaisCriação de um endpoint de VPC interface da AmazonConfigurar uma zona hospedada privadaControlando o acesso a AWS IoT Core mais de VPC endpointsLimitaçõesDimensionando VPC endpoints com AWS IoT CoreUsando domínios personalizados com endpoints VPCDisponibilidade de VPC endpoints para AWS IoT Core

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando AWS IoT Core com VPC endpoints de interface

Com AWS IoT Core, você pode criar endpoints de dados de IoT em sua nuvem privada virtual (VPC) usando endpoints de interface. VPC Os VPC endpoints de interface são AWS PrivateLink alimentados por uma AWS tecnologia que você pode usar para acessar serviços em execução AWS usando endereços IP privados. Para obter mais informações, consulte o Amazon Virtual Private Cloud.

Para conectar dispositivos em campo em redes remotas, como uma rede corporativa, à sua AmazonVPC, consulte as opções listadas na matriz de conectividade entre a rede e a Amazon VPC.

Criação de VPC endpoints para o plano AWS IoT Core de dados

Você pode criar um VPC endpoint para o plano de AWS IoT Core dados API para conectar seus dispositivos a AWS IoT serviços e outros AWS serviços. Para começar a usar VPC endpoints, crie um VPC endpoint de interface e selecione AWS IoT Core como serviço. AWS Se você estiver usando oCLI, primeiro ligue describe-vpc-endpoint-servicespara garantir que está escolhendo uma zona de disponibilidade onde AWS IoT Core esteja presente em sua área específica Região da AWS. Por exemplo, na região us-east-1, esse comando ficaria da seguinte maneira:

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.data
nota

O VPC recurso para criar automaticamente um DNS registro está desativado. Para se conectar a esses endpoints, você deve criar manualmente um DNS registro privado. Para obter mais informações sobre VPC DNS registros privados, consulte Privado DNS para endpoints de interface. Para obter mais informações sobre AWS IoT Core VPC limitações, consulteLimitações.

Para conectar MQTT clientes às interfaces de VPC endpoint:

  • Na sua zona hospedada privada, crie um registro de alias para cada IP da interface de elastic network do VPC endpoint. Se você tiver várias interfaces de rede IPs para vários VPC terminais, crie DNS registros ponderados com pesos iguais em todos os registros ponderados. Esses endereços IP estão disponíveis na DescribeNetworkInterfacesAPIchamada quando filtrados pelo ID do VPC endpoint no campo de descrição.

Veja as instruções detalhadas abaixo para criar um endpoint de VPC interface da Amazon e configurar a zona hospedada privada para o plano de AWS IoT Core dados.

Criação de VPC endpoints para provedor de AWS IoT Core credenciais

Você pode criar um VPC endpoint para que o provedor de AWS IoT Core credenciais conecte dispositivos usando a autenticação baseada em certificado do cliente e obtenha AWS credenciais temporárias no formato Signature versão 4.AWS Para começar a usar VPC endpoints para o provedor de AWS IoT Core credenciais, execute o create-vpc-endpointCLIcomando para criar um VPC endpoint de interface e selecione o provedor de AWS IoT Core credenciais como o serviço. AWS Para garantir que você esteja escolhendo uma zona de disponibilidade onde AWS IoT Core esteja presente em sua área específica Região da AWS, primeiro execute o describe-vpc-endpoint-servicescomando. Por exemplo, na região us-east-1, esse comando ficaria da seguinte maneira:

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.credentials
nota

O VPC recurso para criar automaticamente um DNS registro está desativado. Para se conectar a esses endpoints, você deve criar manualmente um DNS registro privado. Para obter mais informações sobre VPC DNS registros privados, consulte Privado DNS para endpoints de interface. Para obter mais informações sobre AWS IoT Core VPC limitações, consulteLimitações.

Para conectar HTTP clientes às interfaces de VPC endpoint:

  • Na sua zona hospedada privada, crie um registro de alias para cada IP da interface de elastic network do VPC endpoint. Se você tiver várias interfaces de rede IPs para vários VPC terminais, crie DNS registros ponderados com pesos iguais em todos os registros ponderados. Esses endereços IP estão disponíveis na DescribeNetworkInterfacesAPIchamada quando filtrados pelo ID do VPC endpoint no campo de descrição.

Veja as instruções detalhadas abaixo para criar um endpoint de VPC interface da Amazon e configurar uma zona hospedada privada para o provedor de AWS IoT Core credenciais.

Criação de um endpoint de VPC interface da Amazon

Você pode criar um VPC endpoint de interface para se conectar aos AWS serviços fornecidos pelo AWS PrivateLink. Use o procedimento a seguir para criar um VPC endpoint de interface que se conecte ao plano de AWS IoT Core dados ou ao provedor de AWS IoT Core credenciais. Para obter mais informações, consulte Acessar um AWS serviço usando um VPC endpoint de interface.

nota

Os processos para criar um endpoint de VPC interface da Amazon para plano de AWS IoT Core dados e provedor de AWS IoT Core credenciais são semelhantes, mas você deve fazer alterações específicas no endpoint para que a conexão funcione.

Para criar um VPC endpoint de interface usando o console VPCEndpoints

  1. Navegue até o console VPCEndpoints, em Nuvem privada virtual no menu à esquerda, escolha Endpoints e depois Create Endpoint.

  2. Na página Criar endpoint, especifique as seguintes informações.

    • Escolha Serviço da AWS s para a Categoria de serviço.

    • Para Nome do serviço, pesquise inserindo a palavra-chave iot. Na lista de serviços do iot exibida, escolha o endpoint.

      Se você criar um VPC endpoint para o plano de AWS IoT Core dados, escolha o API endpoint do plano de AWS IoT Core dados para sua região. O endpoint será do formato com.amazonaws.region.iot.data.

      Se você criar um VPC endpoint para o provedor de AWS IoT Core credenciais, escolha o endpoint do provedor de AWS IoT Core credenciais para sua região. O endpoint será do formato com.amazonaws.region.iot.credentials.

      nota

      O nome do serviço para o plano de AWS IoT Core dados na região da China terá o formatocn.com.amazonaws.region.iot.data. A criação de VPC endpoints para o provedor de AWS IoT Core credenciais não é suportada na região da China.

    • Para VPCe Sub-redes, escolha VPC onde você deseja criar o endpoint e as Zonas de Disponibilidade (AZs) nas quais você deseja criar a rede de endpoints.

    • Em Ativar DNS nome, verifique se a opção Ativar para este endpoint não está selecionada. Nem o plano AWS IoT Core de dados nem o provedor de AWS IoT Core credenciais oferecem suporte a DNS nomes privados ainda.

    • Em Grupo de segurança, selecione os grupos de segurança a serem associados às interfaces de rede do endpoint.

    • Se quiser, adicione ou remova tags. As tags são pares de nome-valor usados para associar ao seu endpoint.

  3. Para criar seu VPC endpoint, escolha Create endpoint.

Depois de criar o AWS PrivateLink endpoint, na guia Detalhes do seu endpoint, você verá uma lista de DNS nomes. Você pode usar um desses DNS nomes criados nesta seção para configurar sua zona hospedada privada.

Configurar uma zona hospedada privada

Você pode usar um desses DNS nomes criados na seção anterior para configurar sua zona hospedada privada.

Para plano AWS IoT Core de dados

O DNS nome deve ser seu nome de configuração de domínio ou seu IoT:Data-ATS endpoint. Um exemplo de DNS nome pode ser:xxx-ats.data.iot.region.amazonaws.com.

Para provedor de AWS IoT Core credenciais

O DNS nome deve ser seu iot:CredentialProvider endpoint. Um exemplo de DNS nome pode ser:xxxx.credentials.iot.region.amazonaws.com.

nota

Os processos para configurar a zona hospedada privada para o plano de AWS IoT Core dados e o provedor de AWS IoT Core credenciais são semelhantes, mas você deve fazer alterações específicas no endpoint para que a conexão funcione.

Criar uma zona hospedada privada

Para criar uma zona hospedada privada usando o console do Route 53

  1. Navegue até o console de zonas hospedadas do Route 53 e escolha Criar zona hospedada.

  2. Na página Criar zona hospedada, especifique as seguintes informações.

    • Em Nome do domínio, insira o endereço do endpoint do seu iot:Data-ATS ou o endpoint do iot:CredentialProvider. O AWS CLI comando a seguir mostra como obter o endpoint por meio de uma rede pública:aws iot describe-endpoint --endpoint-type iot:Data-ATS, ouaws iot describe-endpoint --endpoint-type iot:CredentialProvider.

      nota

      Se você estiver usando domínios personalizados, consulte Como usar domínios personalizados com VPC endpoints. Os domínios personalizados não são compatíveis com o provedor de AWS IoT Core credenciais.

    • Em Tipo, escolha Zona hospedada privada.

    • Opcionalmente, você pode adicionar ou remover tags para associar à zona hospedada.

  3. Para criar a zona hospedada privada, escolha Criar zona hospedada.

Para obter mais informações, consulte Criar uma zona hospedada privada.

Criar um registro

Depois de criar uma zona hospedada privada, você pode criar um registro que informa DNS como você deseja que o tráfego seja roteado para esse domínio.

Para criar um registro

  1. Na lista de zonas hospedadas exibida, escolha a zona hospedada privada que você criou antes e escolha Criar registro.

  2. Use o método do assistente para criar o registro. Se o console apresentar o método de Criação rápida, escolha Alternar para assistente.

  3. Escolha Roteamento simples em Política de roteamento e, em seguida, Próximo.

  4. Na página Configurar registros, escolha Definir registro simples.

  5. Na página Definir registro simples:

    • Em Nome do registro, insira endpoint do iot:Data-ATS ou endpoint do iot:CredentialProvider. Deve ser igual ao nome da zona hospedada privada.

    • Em Tipo de registro, mantenha o valor como A - Routes traffic to an IPv4 address and some AWS resources.

    • Em Valor/Rotear tráfego para, escolha Alias para endpoint. VPC Em seguida, escolha a Região e, em seguida, escolha o endpoint que você criou antes, conforme descrito em Criação de um endpoint de VPC interface da Amazon na lista de endpoints exibida.

  6. Escolha Definir registro simples para criar seu registro.

Controlando o acesso a AWS IoT Core mais de VPC endpoints

Você pode restringir o acesso ao dispositivo AWS IoT Core para que seja permitido somente por meio do VPC endpoint usando chaves de contexto de VPC condição. AWS IoT Core suporta as seguintes chaves de contexto VPC relacionadas:

nota

AWS IoT Core não oferece suporte às políticas de endpoints para VPC endpoints.

Por exemplo, a política a seguir concede permissão para se conectar AWS IoT Core usando uma ID de cliente que corresponda ao nome da coisa e para publicar em qualquer tópico prefixado pelo nome da coisa, desde que o dispositivo se conecte a um VPC endpoint com uma ID de endpoint específicaVPC. Essa política nega tentativas de conexão com o endpoint de dados de IoT público.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-1a2b3c4d"
                }
            }
            
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*"
            ]
        }
    ]
}

Limitações

VPCAtualmente, os endpoints são suportados somente para endpoints de AWS IoT Core dados e endpoints de provedores de AWS IoT Core credenciais. VPCendpoints não são compatíveis com endpoints do Federal Information Processing Standard (FIPS).

Limitações dos endpoints de dados de IoT VPC

Esta seção aborda as limitações dos endpoints de dados VPC de IoT.

  • MQTTos períodos de manutenção de vida são limitados a 230 segundos. Períodos de manutenção maiores do que isso serão automaticamente reduzidos para 230 segundos.

  • Cada VPC endpoint suporta um total de 100.000 dispositivos conectados simultaneamente. Se você precisar de mais conexões, consulte Dimensionando VPC endpoints com AWS IoT Core.

  • VPCos endpoints oferecem suporte somente ao IPv4 tráfego.

  • VPCos endpoints servirão somente ATScertificados, exceto para domínios personalizados.

  • VPCpolíticas de endpoint não são suportadas.

  • Para VPC endpoints criados para o plano de AWS IoT Core dados, AWS IoT Core não oferece suporte ao uso de registros públicos DNS zonais ou regionais.

Limitações dos endpoints do provedor de credenciais

Esta seção aborda as limitações dos VPC endpoints do provedor de credenciais.

  • VPCos endpoints oferecem suporte somente ao IPv4 tráfego.

  • VPCos endpoints servirão somente ATScertificados.

  • VPCpolíticas de endpoint não são suportadas.

  • Os domínios personalizados não são compatíveis com os endpoints do provedor de credenciais.

  • Para VPC endpoints criados para o provedor de AWS IoT Core credenciais, AWS IoT Core não oferece suporte ao uso de registros públicos zonais ou regionais. DNS

Dimensionando VPC endpoints com AWS IoT Core

AWS IoT Core Os VPC endpoints de interface são limitados a 100.000 dispositivos conectados em um único endpoint de interface. Se seu caso de uso exigir mais conexões simultâneas com o agente, recomendamos usar vários VPC endpoints e rotear manualmente seus dispositivos pelos endpoints da interface. Ao criar DNS registros privados para direcionar o tráfego para seus VPC endpoints, certifique-se de criar quantos registros ponderados você tiver para distribuir o tráfego em seus vários VPC endpoints.

Usando domínios personalizados com endpoints VPC

Se quiser usar domínios personalizados com VPC endpoints, você deve criar seus registros de nome de domínio personalizados em uma zona hospedada privada e criar registros de roteamento no Route53. Para obter mais informações, consulte Criar uma zona hospedada privada.

nota

Domínios personalizados só são compatíveis com endpoints de AWS IoT Core dados.

Disponibilidade de VPC endpoints para AWS IoT Core

AWS IoT Core Os VPC endpoints de interface estão disponíveis em todas as regiões AWS IoT Core com suporte. AWS IoT Core VPCOs endpoints de interface para o provedor de AWS IoT Core credenciais não são suportados na região da China e. AWS GovCloud (US) Regions