在網域組態中設定 TLS 設定 - AWS IoT Core
在網域組態中設定 TLS 設定 (主控台)在網域組態中設定 TLS 設定 (CLI)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在網域組態中設定 TLS 設定

AWS IoT Core 提供預先定義的安全性原則,讓您在網域組態中自訂 TLS 1.2 和 TLS 1.3 的傳輸層安全性 (TLS) 設定。安全政策是 TLS 通訊協定及其密碼的組合,用來決定在用戶端與伺服器之間進行 TLS 交涉期間支援的通訊協定和密碼。透過支援的安全性原則,您可以更靈活地管理裝置的 TLS 設定、在連接新裝置時套用最多的 up-to-date 安全性措施,並維持現有裝置的 TLS 設定一致。

下表說明安全政策、其 TLS 版本及支援的區域:

安全政策名稱 支援 AWS 區域
SecurityPolicyIoT 所有 AWS 區域
SecurityPolicyIoT 所有 AWS 區域
SecurityPolicyIoT 所有 AWS 區域
SecurityPolicyIoT ap-east-1,AP-東北 -2,在南 -1,AP-東南 -2,ca-central-1,CN-北 -1,CN-西北 -1,歐盟-西部 -1,eu-west-2,eu-west-3,我南 -1,SA-東 -1,美東 -2,美國西部 -1,美國西部 -1,us-west-1
SecurityPolicyIoT ap-northeast-1、ap-southeast-1、eu-central-1、eu-west-1、us-east-1、us-west-2

中的安全性原則名稱 AWS IoT Core 包含以發行年份和月份為基礎的版本資訊。如果您建立新的網域組態,安全政策將預設為 IoTSecurityPolicy_TLS13_1_2_2022_10。如需包含通訊協定、TCP 連接埠和密碼詳細資料的安全性原則的完整資料表,請參閱安全性原則。 AWS IoT Core 不支援自訂安全性原則。如需詳細資訊,請參閱 中的運輸安全 AWS IoT Core

若要在網域組態中設定 TLS 設定,您可以使用 AWS IoT 主控台或 AWS CLI.

在網域組態中設定 TLS 設定 (主控台)

使用 AWS IoT 主控台設定 TLS 設定

  1. 登入 AWS Management Console 並開啟AWS IoT 主控台

  2. 若要在建立新網域組態時設定 TLS 設定,請遵循下列步驟。

    1. 在左側導覽窗格中,選擇設定,然後從網域組態區段中選擇建立網域組態

    2. 建立網域組態頁面的自訂網域設定 - 選用區段中,從選取安全政策中選擇安全政策。

    3. 遵循小工具並完成其餘步驟。選擇建立網域組態

  3. 若要更新現有網域組態中的 TLS 設定,請遵循下列步驟。

    1. 在左側導覽窗格中,選擇設定,然後在網域組態下選擇網域組態。

    2. 網域組態詳細資訊頁面中,選擇編輯。然後,在自訂網域設定 - 選用區段的選取安全政策下,選擇安全政策。

    3. 選擇更新網域組態

如需詳細資訊,請參閱建立網域組態管理網域組態

在網域組態中設定 TLS 設定 (CLI)

您可以使用 create-domain-configurationupdate-domain-configuration CLI 命令,在網域組態中設定 TLS 設定。

  1. 若要使用 create-domain-configuration CLI 命令指定 TLS 設定:

    aws iot create-domain-configuration \
    --domain-configuration-name domainConfigurationName \
    --tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10

    此令命的輸出如下所示:

    {
"domainConfigurationName": "test",
"domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
}

    如果您建立新的網域組態,而未指定安全政策,則值將預設為 IoTSecurityPolicy_TLS13_1_2_2022_10

  2. 若要使用 describe-domain-configuration CLI 命令說明 TLS 設定:

    aws iot describe-domain-configuration \
    --domain-configuration-name domainConfigurationName

    此命令可以傳回網域組態詳細資訊,其中包含 TLS 設定,如下所示:

    {
 "tlsConfig": {
 "securityPolicy": "IoTSecurityPolicy_TLS13_1_2_2022_10"
 }, 
 "domainConfigurationStatus": "ENABLED", 
 "serviceType": "DATA", 
 "domainType": "AWS_MANAGED", 
 "domainName": "d1234567890abcdefghij-ats.iot.us-west-2.amazonaws.com",
 "serverCertificates": [], 
 "lastStatusChangeDate": 1678750928.997, 
 "domainConfigurationName": "test", 
 "domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
}

  3. 若要使用 update-domain-configuration CLI 命令更新 TLS 設定:

    aws iot update-domain-configuration \
    --domain-configuration-name domainConfigurationName \
    --tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10

    此令命的輸出如下所示:

    {
"domainConfigurationName": "test",
"domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
}

  4. 若要更新 ATS 端點的 TLS 設定,請執行 update-domain-configuration CLI 命令。ATS 端點的網域組態名稱為 iot:Data-ATS

    aws iot update-domain-configuration \
    --domain-configuration-name "iot:Data-ATS" \
    --tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10

    此命令的輸出如下所示:

    {
"domainConfigurationName": "iot:Data-ATS",
"domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/iot:Data-ATS"
}

如需詳細資訊,請參閱 AWS API 參考UpdateDomainConfiguration中的CreateDomainConfiguration和。