Provisionamento de dispositivos

AWS fornece várias maneiras diferentes de provisionar um dispositivo e instalar certificados de cliente exclusivos nele. Esta seção descreve todas as maneiras e como selecionar a melhor delas para sua solução de IoT. Essas opções são descritas em detalhes no whitepaper intitulado Fabricação e provisionamento de dispositivos com certificados X.509 no AWS IoT Core.

Selecione a opção que melhor se adapta à sua situação

• Você pode instalar certificados em dispositivos de IoT antes de eles serem entregues

  Se você puder instalar com segurança certificados de cliente exclusivos em seus dispositivos de IoT antes de serem entregues para uso pelo usuário final, convém usar o just-in-timeprovisionamento (JITP) ou o registro (JITR). just-in-time

  Usando o JITP e o JITR, a autoridade de certificação (CA) usada para assinar o certificado do dispositivo é registrada AWS IoT e reconhecida AWS IoT quando o dispositivo se conecta pela primeira vez. O dispositivo é provisionado AWS IoT em sua primeira conexão usando os detalhes de seu modelo de provisionamento.

  Para obter mais informações sobre o provisionamento de item único, JITP, JITR e em massa de dispositivos com certificados exclusivos, consulte Provisionamento de dispositivos com certificados de dispositivo.

• Usuários finais ou instaladores podem usar um aplicativo para instalar certificados em seus dispositivos de IoT

  Se não estiver a seu alcance instalar com segurança certificados de cliente exclusivos em seu dispositivo de IoT antes de ele ser entregue ao usuário final, mas o usuário final ou um instalador puderem usar um aplicativo para registrar os dispositivos e instalar os certificados exclusivos, use o processo de provisionamento por usuário confiável.

  Usar um usuário confiável, como um usuário final ou um instalador com uma conta conhecida, pode simplificar o processo de fabricação do dispositivo. Em vez de um certificado de cliente exclusivo, os dispositivos têm um certificado temporário que permite que o dispositivo se conecte AWS IoT por apenas 5 minutos. Durante essa janela de 5 minutos, o usuário confiável obtém um certificado de cliente exclusivo com uma vida útil mais longa, que é instalado no dispositivo. A vida útil limitada do certificado de reivindicação minimiza o risco de um certificado comprometido.

  Para ter mais informações, consulte Provisionamento por usuário confiável.

• Usuários finais NÃO PODEM usar um aplicativo para instalar certificados em seus dispositivos de IoT

  Se nenhuma das opções anteriores funcionar em sua solução de IoT, o processo de provisionamento por reivindicação é uma opção. Com esse processo, seus dispositivos de IoT têm um certificado de reivindicação que é compartilhado por outros dispositivos da frota. Na primeira vez que um dispositivo se conecta a um certificado de solicitação, AWS IoT registra o dispositivo usando seu modelo de provisionamento e emite ao dispositivo seu certificado de cliente exclusivo para acesso posterior. AWS IoT

  Essa opção permite o provisionamento automático de um dispositivo quando ele se conecta AWS IoT, mas pode apresentar um risco maior no caso de um certificado de solicitação comprometido. Se um certificado de reivindicação for comprometido, você poderá desativá-lo. A desativação do certificado de reivindicação impede que todos os dispositivos com esse certificado sejam registrados no futuro. No entanto, a desativação do certificado de reivindicação não bloqueará dispositivos que já foram provisionados.

  Para ter mais informações, consulte Provisionamento por reivindicação.

Provisionamento de dispositivos na AWS IoT

Ao provisionar um dispositivo com AWS IoT, você deve criar recursos para que seus dispositivos AWS IoT possam se comunicar com segurança. Outros recursos podem ser criados para ajudar a gerenciar a frota de dispositivos. Os seguintes recursos podem ser criados durante o processo de provisionamento:

• Uma coisa da IoT.

  Coisas de IoT são entradas no registro do AWS IoT dispositivo. Cada coisa tem um nome exclusivo e um conjunto de atributos, e está associada a um dispositivo físico. As coisas podem ser definidas usando um tipo de coisa ou agrupadas em grupos de coisas. Para ter mais informações, consulte Gerenciando dispositivos com AWS IoT.

  Embora não seja necessário, criar objetos possibilita gerenciar a frota de dispositivos de forma mais eficaz, podendo pesquisar dispositivos por tipo, grupo e atributos de objetos. Para ter mais informações, consulte Indexação de frotas.

  nota

  Para que o Fleet Hub indexe os dados de status de conectividade das coisas, provisione a coisa e configure-a para que o nome dela corresponda ao do ID do cliente usado na solicitação de conexão.

• Um certificado X.509.

  Os dispositivos usam certificados X.509 para realizar autenticação mútua com. AWS IoT Você pode registrar um certificado existente ou AWS IoT gerar e registrar um novo certificado para você. Associe um certificado a um dispositivo anexando-o à coisa que representa o dispositivo. Também é necessário copiar o certificado e a chave privada associada no dispositivo. Os dispositivos apresentam o certificado ao se conectar AWS IoT a. Para ter mais informações, consulte Autenticação.

• Uma política da IoT.

  As políticas da IoT definem as operações que um dispositivo pode executar na AWS IoT. As políticas da IoT são anexadas aos certificados do dispositivo. Quando um dispositivo apresenta o certificado para AWS IoT, ele recebe as permissões especificadas na política. Para ter mais informações, consulte Autorização. Cada dispositivo precisa de um certificado para se comunicar com a AWS IoT.

AWS IoT oferece suporte ao provisionamento automatizado de frotas usando modelos de provisionamento. Os modelos de provisionamento descrevem os recursos AWS IoT necessários para provisionar seu dispositivo. Os modelos contêm variáveis que permitem usar um modelo para provisionar vários dispositivos. Ao provisionar um dispositivo, especifique valores para as variáveis específicas do dispositivo usando um dicionário ou mapa. Para provisionar outro dispositivo, especifique novos valores no dicionário.

É possível usar o provisionamento automatizado independentemente de os dispositivos terem certificados exclusivos (e a chave privada associada) ou não.

APIs de provisionamento de frota

Existem várias categorias de APIs usadas no provisionamento de frotas:

• Essas funções do plano de controle criam e gerenciam os modelos de provisionamento de frota e configuram políticas de usuário confiáveis.

  • CreateProvisioningTemplate

  • CreateProvisioningTemplateVersion

  • DeleteProvisioningTemplate

  • DeleteProvisioningTemplateVersion

  • DescribeProvisioningTemplate

  • DescribeProvisioningTemplateVersion

  • ListProvisioningTemplates

  • ListProvisioningTemplateVersions

  • UpdateProvisioningTemplate

• Usuários confiáveis podem usar essa função de plano de controle para gerar uma reivindicação de integração temporária. Essa reivindicação temporária é passada para o dispositivo durante a configuração da rede Wi-Fi ou método semelhante.

  • CreateProvisioningClaim

• A API MQTT usada durante o processo de provisionamento por dispositivos com um certificado de reivindicação de provisionamento incorporado em um dispositivo ou passado para ele por um usuário confiável.

  • CreateCertificateFromCsr

  • CreateKeysAndCertificate

  • RegisterThing