Erteilen von Mindestberechtigungen Keine Hartcodierung von Anmeldeinformationen in Lambda-Funktionen Keine Protokollierung sensibler Informationen Erstellen gezielter Abonnements Synchronisieren der internen Uhr Ihres Geräts Verwalten der Geräteauthentifizierung mit dem Greengrass Core Weitere Informationen finden Sie auch unter

AWS IoT Greengrass Version 1 trat am 30. Juni 2023 in die erweiterte Lebensphase ein. Weitere Informationen finden Sie in der AWS IoT Greengrass V1 Wartungsrichtlinie. Nach diesem Datum AWS IoT Greengrass V1 werden keine Updates mehr veröffentlicht, die Funktionen, Verbesserungen, Bugfixes oder Sicherheitspatches bieten. Geräte, die auf laufen, werden AWS IoT Greengrass V1 nicht gestört und funktionieren weiterhin und stellen eine Verbindung zur Cloud her. Wir empfehlen Ihnen dringend, zu migrieren AWS IoT Greengrass Version 2, da dies wichtige neue Funktionen und Unterstützung für zusätzliche Plattformen bietet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Sicherheit für AWS IoT Greengrass

Dieses Thema behandelt bewährte Methoden in Bezug auf die Sicherheit für AWS IoT Greengrass.

Erteilen von Mindestberechtigungen

Folgen Sie dem Prinzip der geringsten Berechtigung, indem Sie den Mindestsatz von Berechtigungen in IAM-Rollen verwenden. Beschränken Sie die Verwendung des * Platzhalters für die Resource Eigenschaften Action und in Ihren IAM-Richtlinien. Deklarieren Sie stattdessen, wenn möglich, eine endliche Menge von Aktionen und Ressourcen. Weitere Informationen zu den geringsten Berechtigungen und anderen bewährten Methoden für Richtlinien finden Sie unter Bewährte Methoden für Richtlinien.

Die bewährte Methode mit den geringsten Berechtigungen gilt auch für AWS IoT Richtlinien, die Sie an Ihre Greengrass-Kern- und Clientgeräte anfügen.

Keine Hartcodierung von Anmeldeinformationen in Lambda-Funktionen

Kodieren Sie keine Anmeldeinformationen in Ihren benutzerdefinierten Lambda-Funktionen fest. So schützen Sie Ihre Anmeldeinformationen besser:

Um mit AWS-Services zu interagieren, definieren Sie Berechtigungen für bestimmte Aktionen und Ressourcen in der Greengrass-Gruppenrolle.
Verwenden Sie lokale Secrets, um Ihre Anmeldeinformationen zu speichern. Wenn die Funktion das AWS SDK verwendet, verwenden Sie auch Anmeldeinformationen aus der standardmäßigen Anbieterkette für Anmeldeinformationen.

Keine Protokollierung sensibler Informationen

Sie sollten die Protokollierung von Anmeldeinformationen und anderen persönlich identifizierbaren Informationen (PII) verhindern. Wir empfehlen Ihnen, die folgenden Sicherheitsmaßnahmen zu implementieren, obwohl für den Zugriff auf lokale Protokolle auf einem Core-Gerät Stammrechte erforderlich sind und für den Zugriff auf CloudWatch Protokolle IAM-Berechtigungen erforderlich sind.

Verwenden Sie keine sensiblen Informationen in MQTT-Themenpfaden.
Verwenden Sie keine sensiblen Informationen in Gerätenamen (Objektnamen), Typen und Attributen in der AWS IoT Core-Registrierung.
Protokollieren Sie keine sensiblen Informationen in Ihren benutzerdefinierten Lambda-Funktionen.
Verwenden Sie keine vertraulichen Informationen in den Namen und IDs von Greengrass-Ressourcen:
- Konnektoren
- Kerne
- Geräte
- Funktionen
- Gruppen
- Logger
- Ressourcen (lokal, Machine Learning oder Secrets)
- Subscriptions (Abonnements)

Erstellen gezielter Abonnements

Abonnements steuern den Informationsfluss in einer Greengrass-Gruppe, indem sie definieren, wie Nachrichten zwischen Services, Geräten und Lambda-Funktionen ausgetauscht werden. Um sicherzustellen, dass eine Anwendung nur das tun kann, was sie tun soll, sollten Ihre Abonnements Herausgebern erlauben, Nachrichten nur an bestimmte Themen zu senden, und die Abonnenten darauf beschränken, Nachrichten nur von Themen zu erhalten , die für ihre Funktionalität erforderlich sind.

Synchronisieren der internen Uhr Ihres Geräts

Es ist wichtig, dass Sie eine genaue Uhrzeit auf Ihrem Gerät haben. X.509-Zertifikate haben ein Ablaufdatum und eine Ablaufzeit. Die Uhr auf Ihrem Gerät wird verwendet, um sicherzustellen, dass ein Serverzertifikat noch gültig ist. Geräteuhren können im Laufe der Zeit unpräzise werden, oder die Batterien werden entladen.

Weitere Informationen finden Sie in der bewährten Methode Synchronisieren der internen Uhr Ihres Geräts im AWS IoT Core-Entwicklerhandbuch.

Verwalten der Geräteauthentifizierung mit dem Greengrass Core

Client-Geräte können FreeRTOS ausführen oder das AWS IoT Geräte-SDK oder die AWS IoT Greengrass Discovery-API verwenden, um Erkennungsinformationen abzurufen, die für die Verbindung und Authentifizierung mit dem Kern in derselben Greengrass-Gruppe verwendet werden. Zu den Erkennungsinformationen gehören:

Verbindungsinformationen für den Greengrass-Kern, der sich in derselben Greengrass-Gruppe wie das Client-Gerät befindet. Diese Informationen beinhalten die Hostadresse und die Portnummer jedes Endpunkts für das Kerngerät.
Das CA-Gruppenzertifikat, das zum Signieren des lokalen MQTT-Serverzertifikats verwendet wird. Client-Geräte verwenden das Gruppenzertifizierungsstellenzertifikat, um das vom Core vorgelegte MQTT-Serverzertifikat zu validieren.

Im Folgenden finden Sie bewährte Methoden für Client-Geräte zur Verwaltung der gegenseitigen Authentifizierung mit einem Greengrass-Kern. Diese Methoden können dazu beitragen, Ihr Risiko zu verringern, wenn Ihr Kerngerät gefährdet ist.

Überprüfen Sie das lokale MQTT-Serverzertifikat für jede Verbindung.: Client-Geräte sollten das vom Core vorgelegte MQTT-Serverzertifikat jedes Mal validieren, wenn sie eine Verbindung mit dem Core herstellen. Diese Validierung ist die Client-Geräteseite der gegenseitigen Authentifizierung zwischen einem Core-Gerät und Client-Geräten. Client-Geräte müssen in der Lage sein, einen Fehler zu erkennen und die Verbindung zu beenden.
Codieren Sie Erkennungsinformationen nicht fest.: Client-Geräte sollten sich auf Erkennungsvorgänge verlassen, um Kernkonnektivitätsinformationen und das CA-Gruppenzertifikat abzurufen, auch wenn der Kern eine statische IP-Adresse verwendet. Client-Geräte sollten diese Erkennungsinformationen nicht fest codieren.
Aktualisieren Sie die Erkennungsinformationen regelmäßig.: Client-Geräte sollten regelmäßig Erkennungen ausführen, um die Kernkonnektivitätsinformationen und das CA-Gruppenzertifikat zu aktualisieren. Wir empfehlen, dass Client-Geräte diese Informationen aktualisieren, bevor sie eine Verbindung mit dem Core herstellen. Da kürzere Dauern zwischen Erkennungsvorgängen Ihre potenzielle Risikozeit minimieren können, empfehlen wir Client-Geräte, die Verbindung regelmäßig zu trennen und erneut zu verbinden, um das Update auszulösen.

Wenn Sie die Kontrolle über ein Greengrass-Core-Gerät verlieren und verhindern möchten, dass Client-Geräte Daten an den Core übertragen, gehen Sie wie folgt vor:

Entfernen Sie den Greengrass-Kern aus der Greengrass-Gruppe.
Rotieren Sie das CA-Gruppenzertifikat. In der AWS IoT Konsole können Sie das CA-Zertifikat auf der Seite Einstellungen der Gruppe rotieren. In der AWS IoT Greengrass -API können Sie die -CreateGroupCertificateAuthorityAktion verwenden.

Wir empfehlen auch, die vollständige Festplattenverschlüsselung zu verwenden, wenn die Festplatte Ihres Kerngeräts anfällig für Diebstahl ist.

Weitere Informationen finden Sie unter Geräteauthentifizierung und -autorisierung für AWS IoT Greengrass.

Weitere Informationen finden Sie auch unter

Bewährte Methoden für die Sicherheit in AWS IoT Core im -AWS IoTEntwicklerhandbuch
Zehn goldene Sicherheitsregeln für industrielle IoT-Lösungen im Internet der Dinge im AWS offiziellen Blog

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

VPC-Endpunkte (AWS PrivateLink)

Protokollierung und Überwachung