Überlegungen zu AWS IoT Greengrass-VPC-Endpunkten Erstellen eines Schnittstellen-VPC-Endpunkts für Operationen auf AWS IoT Greengrass Steuerebene Erstellen einer VPC-Endpunktrichtlinie für AWS IoT Greengrass Betreiben eines -AWS IoT GreengrassCore-Geräts in der VPC

AWS IoT Greengrass und Schnittstellen-VPC-Endpunkte (AWS PrivateLink)

Sie können eine private Verbindung zwischen Ihrer VPC und der AWS IoT Greengrass Steuerebene herstellen, indem Sie einen Schnittstellen-VPC-Endpunkt erstellen. Sie können diesen Endpunkt verwenden, um Komponenten, Bereitstellungen und Core-Geräte im AWS IoT Greengrass Service zu verwalten. Schnittstellenendpunkte werden von unterstütztAWS PrivateLink, einer Technologie, mit der Sie privat ohne Internet-Gateway, NAT-Gerät, VPN-Verbindung oder AWS Direct-Connect-Verbindung auf AWS IoT Greengrass APIs zugreifen können. Die Instances in Ihrer VPC benötigen für die Kommunikation mit AWS IoT Greengrass-APIs keine öffentlichen IP-Adressen. Datenverkehr zwischen Ihrer VPC und AWS IoT Greengrass verlässt das Amazon-Netzwerk nicht.

Jeder Schnittstellenendpunkt wird durch eine oder mehrere Elastic-Network-Schnittstellen in Ihren Subnetzen dargestellt.

Weitere Informationen finden Sie unter Schnittstellen-VPC-Endpunkte (AWS PrivateLink) im Amazon-VPC-Benutzerhandbuch.

Themen

Überlegungen zu AWS IoT Greengrass-VPC-Endpunkten
Erstellen eines Schnittstellen-VPC-Endpunkts für Operationen auf AWS IoT Greengrass Steuerebene
Erstellen einer VPC-Endpunktrichtlinie für AWS IoT Greengrass
Betreiben eines -AWS IoT GreengrassCore-Geräts in der VPC

Überlegungen zu AWS IoT Greengrass-VPC-Endpunkten

Bevor Sie einen Schnittstellen-VPC-Endpunkt für einrichtenAWS IoT Greengrass, lesen Sie die Eigenschaften und Einschränkungen von Schnittstellenendpunkten im Amazon-VPC-Benutzerhandbuch. Beachten Sie außerdem die folgenden Überlegungen:

AWS IoT Greengrass unterstützt Aufrufe an alle API-Aktionen der Steuerebene von Ihrer VPC aus. Die Steuerebene umfasst Operationen wie CreateDeployment und ListEffectiveDeployments. Die Steuerebene enthält keine Operationen wie ResolveComponentCandidates und Discover, bei denen es sich um Operationen auf Datenebene handelt.
VPC-Endpunkte für AWS IoT Greengrass werden derzeit in AWS China-Regionen nicht unterstützt.

Erstellen eines Schnittstellen-VPC-Endpunkts für Operationen auf AWS IoT Greengrass Steuerebene

Sie können einen VPC-Endpunkt für die AWS IoT Greengrass Steuerebene entweder über die Amazon-VPC-Konsole oder die AWS Command Line Interface (AWS CLI) erstellen. Weitere Informationen finden Sie unter Erstellung eines Schnittstellenendpunkts im Benutzerhandbuch für Amazon VPC.

Erstellen Sie einen VPC-Endpunkt für AWS IoT Greengrass mit dem folgenden Servicenamen:

com.amazonaws.region.greengrass

Wenn Sie einen privaten DNS für den Endpunkt aktivieren, können Sie mittels seines standardmäßigen DNS-Namen für die Region, beispielsweise greengrass.us-east-1.amazonaws.com, API-Anforderungen an AWS IoT Greengrass senden. Die Option für ein privates DNS ist standardmäßig aktiviert.

Weitere Informationen finden Sie unter Zugriff auf einen Service über einen Schnittstellenendpunkt im Benutzerhandbuch für Amazon VPC.

Erstellen einer VPC-Endpunktrichtlinie für AWS IoT Greengrass

Sie können eine Endpunktrichtlinie an Ihren VPC-Endpunkt anfügen, der den Zugriff auf Operationen auf AWS IoT Greengrass Steuerebene steuert. Die Richtlinie gibt die folgenden Informationen an:

Prinzipal, der die Aktionen ausführen kann
Die Aktionen, die der Prinzipal ausführen kann.
Die Ressourcen, für die der Prinzipal Aktionen ausführen kann.

Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.

Beispiel: VPC-Endpunktrichtlinie für AWS IoT Greengrass-Aktionen

Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für AWS IoT Greengrass. Wenn diese Richtlinie an einen Endpunkt angefügt wird, gewährt sie Zugriff auf die aufgelisteten AWS IoT Greengrass-Aktionen für alle Prinzipale auf allen Ressourcen.


{
    "Statement": [
        {
            "Principal": "*",
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateDeployment",
                "greengrass:ListEffectiveDeployments"
            ],
            "Resource": "*"
        }
    ]
}

Betreiben eines -AWS IoT GreengrassCore-Geräts in der VPC

Sie können ein Greengrass-Core-Gerät betreiben und Bereitstellungen in VPC ohne öffentlichen Internetzugang durchführen. Sie müssen mindestens die folgenden VPC-Endpunkte mit den entsprechenden DNS-Aliassen einrichten. Weitere Informationen zum Erstellen und Verwenden von VPC-Endpunkten finden Sie unter Erstellen eines VPC-Endpunkts im Amazon-VPC-Benutzerhandbuch.

Anmerkung

Die VPC-Funktion zum automatischen Erstellen eines DNS-Datensatzes ist für - AWS IoT data und -AWS IoTAnmeldeinformationen deaktiviert. Um diese Endpunkte zu verbinden, müssen Sie manuell einen privaten DNS-Datensatz erstellen. Weitere Informationen finden Sie unter Privates DNS für Schnittstellenendpunkte. Weitere Informationen zu AWS IoT Core VPC-Einschränkungen finden Sie unter Einschränkungen von VPC-Endpunkten.

Voraussetzungen

Sie müssen die AWS IoT Greengrass Core-Software mithilfe der manuellen Bereitstellungsschritte installieren. Weitere Informationen finden Sie unter Installieren Sie die AWS IoT Greengrass Core-Software mit manueller Ressourcenbereitstellung.

Einschränkungen

Der Betrieb eines Greengrass-Core-Geräts in VPC wird in den China-Regionen und nicht unterstütztAWS GovCloud (US) Regions.
Weitere Informationen zu den Einschränkungen von AWS IoT data und VPCAWS IoT-Endpunkten des Anmeldeinformationsanbieters finden Sie unter Einschränkungen.

Einrichten Ihres Greengrass-Core-Geräts für den Betrieb in der VPC

Rufen Sie die AWS IoT Endpunkte für Ihr ab AWS-Kontound speichern Sie sie zur späteren Verwendung. Ihr Gerät verwendet diese Endpunkte, um eine Verbindung zu herzustellenAWS IoT. Gehen Sie wie folgt vor:
1. Rufen Sie den AWS IoT Datenendpunkt für Ihr abAWS-Konto.
```
aws iot describe-endpoint --endpoint-type iot:Data-ATS
```
  Die Antwort sieht ähnlich wie im folgenden Beispiel aus, wenn die Anforderung erfolgreich ist.
```
{
  "endpointAddress": "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
}
```
2. Rufen Sie den AWS IoT Anmeldeinformationsendpunkt für Ihr abAWS-Konto.
```
aws iot describe-endpoint --endpoint-type iot:CredentialProvider
```
  Die Antwort sieht ähnlich wie im folgenden Beispiel aus, wenn die Anforderung erfolgreich ist.
```
{
  "endpointAddress": "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
}
```
Erstellen Sie eine Amazon-VPC-Schnittstelle für - AWS IoT data und -AWS IoTAnmeldeinformationsendpunkte:
1. Navigieren Sie zur VPC-Endpunkte-Konsole, wählen Sie im linken Menü unter Virtual Private Cloud die Option Endpunkte und dann Endpunkt erstellen aus.
2. Geben Sie auf der Seite Endpunkt erstellen die folgenden Informationen an:
  - Wählen Sie AWS-Services als Servicekategorie aus.
  - Suchen Sie nach dem Servicenamen, indem Sie das Schlüsselwort iot eingeben. Wählen Sie in der Liste der angezeigten iot-Services den Endpunkt aus.
    
    Wenn Sie einen VPC-Endpunkt für die AWS IoT Core-Datenebene erstellen, wählen Sie den API-Endpunkt der AWS IoT Core-Datenebene für Ihre Region aus. Der Endpunkt wird das Format com.amazonaws.region.iot.data haben.
    
    Wenn Sie einen VPC-Endpunkt für den AWS IoT Core-Anmeldeinformationsanbieter erstellen, wählen Sie den Endpunkt des AWS IoT Core-Anmeldeinformationsanbieter für Ihre Region aus. Der Endpunkt wird das Format com.amazonaws.region.iot.credentials haben.
    
    Anmerkung
    Der Dienstname für die AWS IoT Core-Datenebene in der Region China wird das folgende Format cn.com.amazonaws.region.iot.data haben. Das Erstellen von VPC-Endpunkten für den AWS IoT Core-Anmeldeinformationsanbieter wird in der Region China nicht unterstützt.
  - Wählen Sie für VPC und Subnetze die VPC aus, in der Sie den Endpunkt erstellen möchten, und die Availability Zones (AZs), in denen Sie das Endpunktnetzwerk einrichten möchten.
  - Wählen Sie für DNS-Namen aktivieren die Option Für diesen Endpunkt aktivieren. Weder die AWS IoT Core-Datenebene noch der AWS IoT Core-Anmeldeinformationsanbieter unterstützen bisher private DNS-Namen.
  - Wählen Sie für Sicherheitsgruppe die Sicherheitsgruppen aus, die Sie den Endpunktnetzwerkschnittstellen zuordnen möchten.
  - Optional können Sie Tags hinzufügen oder entfernen. Tags sind Name-Wert-Paare, die Sie verwenden, um sie Ihrem Endpunkt zuzuordnen.
3. Wählen Sie VPC-Endpunkt erstellen, um den Schnittstellenendpunkt zu erstellen.
Nachdem Sie den AWS PrivateLink-Endpunkt erstellt haben, sehen Sie auf der Registerkarte Details Ihres Endpunkts eine Liste mit DNS-Namen. Sie können einen dieser DNS-Namen verwenden, die Sie in diesem Abschnitt erstellt haben, um Ihre private gehostete Zone zu konfigurieren.
Erstellen Sie einen Amazon S3-Endpunkt. Weitere Informationen finden Sie unter Erstellen eines VPC-Endpunkts für Amazon S3.
Wenn Sie von AWSbereitgestellte Greengrass-Komponenten verwenden, sind möglicherweise zusätzliche Endpunkte und Konfigurationen erforderlich. Um die Endpunktanforderungen anzuzeigen, wählen Sie die Komponente aus der Liste der von AWSbereitgestellten Komponenten aus und sehen Sie sich den Abschnitt Anforderungen an. Die Anforderungen an die Log Manager-Komponente weisen beispielsweise darauf hin, dass diese Komponente in der Lage sein muss, ausgehende Anfragen an den Endpunkt auszuführenlogs.region.amazonaws.com.

Wenn Sie Ihre eigene Komponente verwenden, müssen Sie möglicherweise die Abhängigkeiten überprüfen und zusätzliche Tests durchführen, um festzustellen, ob zusätzliche Endpunkte erforderlich sind.
In der Greengrass-Kernkonfiguration greengrassDataPlaneEndpoint muss auf gesetzt seiniotdata. Weitere Informationen finden Sie unter Greengrass-Kernkonfiguration.
Wenn Sie sich in der us-east-1 Region befinden, legen Sie den Konfigurationsparameter REGIONAL in der Greengrass-Kernkonfiguration s3EndpointType auf fest. Diese Funktion ist für Greengrass-Kernversionen 2.11.3 oder höher verfügbar.

Beispiel: Komponentenkonfiguration


{
"aws.greengrass.Nucleus": {
   "configuration": {
      "awsRegion": "us-east-1",
      "iotCredEndpoint": "xxxxxx.credentials.iot.region.amazonaws.com",
      "iotDataEndpoint": "xxxxxx-ats.iot.region.amazonaws.com",
      "greengrassDataPlaneEndpoint": "iotdata",
      "s3EndpointType": "REGIONAL"
      ...
     }
   }
}

Die folgende Tabelle enthält Informationen zu den entsprechenden benutzerdefinierten privaten DNS-Aliassen.

Service	Name des VPC-Endpunkt-Service	VPC-Endpunkttyp	Benutzerdefinierter privater DNS-Alias	Hinweise
AWS IoT data	`com.amazonaws.region.iot.data`	Schnittstelle	`prefix-ats.iot.region.amazonaws.com`	Der private DNS-Datensatz sollte mit dem AWS IoT data Endpunkt Ihres Kontos übereinstimmen: `aws iot describe–endpoint ––endpoint–type iot:Data-ATS`.
AWS IoT-Anmeldedaten	`com.amazonaws.region.iot.credentials`	Schnittstelle	`prefix.credentials.iot.region.amazonaws.com`	Der private DNS-Eintrag sollte mit dem Endpunkt Ihrer AWS IoT Kontoanmeldeinformationen übereinstimmen: `aws iot describe–endpoint ––endpoint–type iot:CredentialProvider`.
Amazon S3	`com.amazonaws.region.s3`	Schnittstelle		Der DNS-Datensatz wird automatisch erstellt.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Integrität des Codes

Bewährte Methoden für die Gewährleistung der Sicherheit