在網域組態中設定 TLS 設定 - AWS IoT Core
在網域組態中設定 TLS 設定 (主控台)在網域組態中設定 TLS 設定 (CLI)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在網域組態中設定 TLS 設定

AWS IoT Core 提供預先定義的安全政策,讓您自訂網域組態中 TLS 1.2TLS 1.3 的 Transport Layer Security (TLS) 設定。安全政策是 TLS 通訊協定及其密碼的組合,用來決定在用戶端與伺服器之間進行 TLS 交涉期間支援的通訊協定和密碼。使用支援的安全政策,您可以更靈活地管理裝置的 TLS 設定、在連線新裝置時套用最新的安全性措施,以及將現有裝置的 TLS 組態保持一致。

下表說明安全政策、其 TLS 版本及支援的區域:

安全政策名稱 支援的 AWS 區域
IoTSecurityPolicy_TLS13_1_3_2022_10 全部 AWS 區域
IoTSecurityPolicy_TLS13_1_2_2022_10 全部 AWS 區域
IoTSecurityPolicy_TLS12_1_2_2022_10 全部 AWS 區域
IoTSecurityPolicy_TLS12_1_0_2016_01 ap-east-1、ap-northeast-2、ap-south-1、ap-southeast-2、ca-central-1、cn-north-1、cn-northwest-1、eu-north-1、eu-west-2、eu-west-3、me-south-1、sa-east-1、us-east-2、us-west-1
IoTSecurityPolicy_TLS12_1_0_2015_01 ap-northeast-1、ap-southeast-1、eu-central-1、eu-west-1、us-east-1、us-west-2

中的安全政策名稱 AWS IoT Core 包含根據發行月份和年份的版本資訊。如果您建立新的網域組態,安全政策將預設為 IoTSecurityPolicy_TLS13_1_2_2022_10。如需包含通訊協定、TCP 連接埠和密碼詳細資訊的完整安全政策資料表,請參閱安全政策。 AWS IoT Core 不支援自訂安全政策。如需詳細資訊,請參閱中的傳輸安全性 AWS IoT Core

若要在網域組態中設定 TLS 設定,您可以使用 AWS IoT 主控台或 AWS CLI。

在網域組態中設定 TLS 設定 (主控台)

使用 AWS IoT 主控台設定 TLS 設定

  1. 登入 AWS Management Console 並開啟 AWS IoT 主控台

  2. 若要在建立新網域組態時設定 TLS 設定,請遵循下列步驟。

    1. 在左側導覽窗格中,選擇設定,然後從網域組態區段中選擇建立網域組態

    2. 建立網域組態頁面的自訂網域設定 - 選用區段中,從選取安全政策中選擇安全政策。

    3. 遵循小工具並完成其餘步驟。選擇建立網域組態

  3. 若要更新現有網域組態中的 TLS 設定,請遵循下列步驟。

    1. 在左側導覽窗格中,選擇設定,然後在網域組態下選擇網域組態。

    2. 網域組態詳細資訊頁面中,選擇編輯。然後,在自訂網域設定 - 選用區段的選取安全政策下,選擇安全政策。

    3. 選擇更新網域組態

如需詳細資訊,請參閱建立網域組態管理網域組態

在網域組態中設定 TLS 設定 (CLI)

您可以使用 create-domain-configurationupdate-domain-configuration CLI 命令,在網域組態中設定 TLS 設定。

  1. 若要使用 create-domain-configuration CLI 命令指定 TLS 設定:

    aws iot create-domain-configuration \
    --domain-configuration-name domainConfigurationName \
    --tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10

    此令命的輸出如下所示:

    {
"domainConfigurationName": "test",
"domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
}

    如果您建立新的網域組態,而未指定安全政策,則值將預設為 IoTSecurityPolicy_TLS13_1_2_2022_10

  2. 若要使用 describe-domain-configuration CLI 命令說明 TLS 設定:

    aws iot describe-domain-configuration \
    --domain-configuration-name domainConfigurationName

    此命令可以傳回網域組態詳細資訊,其中包含 TLS 設定,如下所示:

    {
 "tlsConfig": {
 "securityPolicy": "IoTSecurityPolicy_TLS13_1_2_2022_10"
 }, 
 "domainConfigurationStatus": "ENABLED", 
 "serviceType": "DATA", 
 "domainType": "AWS_MANAGED", 
 "domainName": "d1234567890abcdefghij-ats.iot.us-west-2.amazonaws.com",
 "serverCertificates": [], 
 "lastStatusChangeDate": 1678750928.997, 
 "domainConfigurationName": "test", 
 "domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
}

  3. 若要使用 update-domain-configuration CLI 命令更新 TLS 設定:

    aws iot update-domain-configuration \
    --domain-configuration-name domainConfigurationName \
    --tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10

    此令命的輸出如下所示:

    {
"domainConfigurationName": "test",
"domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
}

  4. 若要更新 ATS 端點的 TLS 設定,請執行 update-domain-configuration CLI 命令。ATS 端點的網域組態名稱為 iot:Data-ATS

    aws iot update-domain-configuration \
    --domain-configuration-name "iot:Data-ATS" \
    --tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10

    此命令的輸出如下所示:

    {
"domainConfigurationName": "iot:Data-ATS",
"domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/iot:Data-ATS"
}

如需詳細資訊,請參閱《AWS API 參考》中的 CreateDomainConfigurationUpdateDomainConfiguration