本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AWS IoT 安全 每个连接的设备或客户端都必须具有与 AWS IoT进行交互所需的凭证。所有进出 AWS IoT 流量均通过传输层安全 (TLS) 安全发送。 AWS 云安全机制可在数据与其他 AWS 服务 AWS IoT 之间移动时对其进行保护。 ![\[AWS IoT 安全工作流程,包括与之交互的凭据 AWS IoT、用于安全连接的传输层安全以及用于保护数据的 AWS 云安全机制。\]](http://docs.aws.amazon.com/zh_cn/iot/latest/developerguide/images/thunderball-overview.png) + 您负责管理 AWS IoT中的设备证书(X.509 证书、 AWS 凭证、Amazon Cognito Identity、联合身份或自定义身份验证令牌)和策略。您还负责将唯一身份分配给每台设备并管理每个设备或每组设备的权限。 + 您的设备 AWS IoT 使用 X.509 证书或亚马逊 Cognito 身份通过安全的 TLS 连接进行连接。在研发期间,对于某些调用或使用 API 的应用程序 WebSockets,您还可以使用 IAM 用户和群组或自定义身份验证令牌进行身份验证。有关更多信息,请参阅 [IAM 用户、组和角色](iam-users-groups-roles.md)。 + 使用 AWS IoT 身份验证时,消息代理负责对您的设备进行身份验证,安全地摄取设备数据,并使用策略授予或拒绝您为设备指定的访问权限。 AWS IoT + 使用自定义身份验证时,自定义授权机构负责对您的设备进行身份验证,并使用 AWS IoT 或 IAM 策略授予或拒绝您为设备指定的访问权限。 + AWS IoT 规则引擎根据您定义的规则将设备数据转发到其他设备或其他 AWS 服务。它用于 AWS Identity and Access Management 将数据安全地传输到其最终目的地。有关更多信息,请参阅 [的身份和访问管理 AWS IoT](security-iam.md)。