Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden von AWS IoT Device Management sicherem Tunneling mit VPC-Endpunkten mit Schnittstellen
AWS IoT Device Management Secure Tunneling unterstützt Schnittstellen-VPC-Endpunkte. Sie können VPC-Endpunkte verwenden, um den Verkehr zwischen Ihrer VPC und AWS IoT Secure Tunneling innerhalb des AWS Netzwerks aufrechtzuerhalten, ohne dass ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine Verbindung erforderlich ist. AWS Direct Connect
Interface-VPC-Endpunkte basieren auf einer Technologie [AWS PrivateLink](https://docs.aws.amazon.com//vpc/latest/privatelink/what-is-privatelink.html), mit der Sie privat auf Dienste zugreifen können, indem Sie private IP-Adressen verwenden. Weitere Informationen finden Sie im AWS PrivateLink Handbuch unter [Zugreifen auf einen AWS Dienst über einen Schnittstellen-VPC-Endpunkt](https://docs.aws.amazon.com//vpc/latest/privatelink/create-interface-endpoint.html).
**Topics**
+ [Voraussetzungen](#Create-ST-VPC-endpoints-prereq)
+ [Empfangen von Tunnelbenachrichtigungen über VPC-Endpunkte](#ST-VPC-Receive-notifications)
+ [VPC-Endpunkte für sicheres Tunneling erstellen](#Create-ST-VPC-endpoints-Create)
+ [Konfiguration von VPC-Endpunktrichtlinien auf dem Proxyserver](#Create-ST-VPC-endpoints-Configure)
+ [Nächste Schritte](#Create-ST-VPC-endpoints-Next)
## Voraussetzungen
Bevor Sie VPC-Endpoints für erstellen, stellen Sie sicher AWS IoT Secure Tunneling, dass Sie über Folgendes verfügen:
+ Ein AWS Konto mit den erforderlichen Berechtigungen zum Erstellen von VPC-Endpoints.
+ Eine VPC in Ihrem AWS Konto.
+ Verständnis von Konzepten für AWS IoT Device Management sicheres Tunneling.
+ Vertrautheit mit VPC-Endpunktrichtlinien und AWS Identity and Access Management (IAM)
## Empfangen von Tunnelbenachrichtigungen über VPC-Endpunkte
Um Tunnelbenachrichtigungen über einen VPC-Endpunkt zu erhalten, können Ihre Geräte über einen VPC-Endpunkt eine Verbindung zur AWS IoT Core Datenebene herstellen und das reservierte MQTT-Thema für sicheres Tunneling abonnieren.
Anweisungen zum Erstellen und Konfigurieren eines VPC-Endpunkts in der AWS IoT Core Datenebene finden Sie unter [VPC-Endpunkte AWS IoT Core mit der Schnittstelle verwenden](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html) im AWS IoT Entwicklerhandbuch.
## VPC-Endpunkte für sicheres Tunneling erstellen
Sie können VPC-Endpunkte sowohl für die Secure Tunneling-Kontrollebene als auch für den Proxyserver erstellen.
**So erstellen Sie einen VPC-Endpunkt für sicheres Tunneling**
1. Folgen Sie den Schritten unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com//vpc/latest/privatelink/create-interface-endpoint.html) im Amazon VPC Developer Guide
1. Wählen Sie für **den Servicenamen** je nach Endpunkttyp eine der folgenden Optionen aus:
**Steuerebene**
+ Standard: `com.amazonaws..iot.tunneling.api`
+ FIPS (in FIPS-Regionen verfügbar): `com.amazonaws..iot-fips.tunneling.api`
**Proxy-Server**
+ Standard: `com.amazonaws..iot.tunneling.data`
+ FIPS (in FIPS-Regionen verfügbar): `com.amazonaws..iot-fips.tunneling.data`
Ersetze es durch {{}} dein. AWS-Region Beispiel, `us-east-1`.
1. Führen Sie die verbleibenden Schritte im Prozess zur Erstellung von VPC-Endpunkten gemäß Ihren Netzwerkanforderungen aus.
## Konfiguration von VPC-Endpunktrichtlinien auf dem Proxyserver
Zusätzlich zur tokenbasierten Autorisierung für den Clientzugriff, die zur Autorisierung von Verbindungen zu Tunneln verwendet wird, können Sie VPC-Endpunktrichtlinien verwenden, um weiter einzuschränken, wie Geräte einen VPC-Endpunkt verwenden können, um eine Verbindung zum Secure Tunneling Proxy Server herzustellen. VPC-Endpunktrichtlinien folgen einer IAM-ähnlichen Syntax und werden auf dem VPC-Endpunkt selbst konfiguriert.
Beachten Sie, dass die einzige unterstützte IAM-Aktion für Proxyserver-VPC-Endpunktrichtlinien ist. `iot:ConnectToTunnel`
Im Folgenden finden Sie Beispiele für verschiedene VPC-Endpunktrichtlinien.
### Beispiele für VPC-Endpunktrichtlinien für Proxyserver
Die folgenden Beispiele zeigen die Konfigurationen der VPC-Endpunktrichtlinien für Proxyserver für allgemeine Anwendungsfälle.
**Example - Standardrichtlinie**
Diese Richtlinie ermöglicht es Geräten in Ihrer VPC, über jedes AWS Konto eine Verbindung zu jedem Tunnel herzustellen, der sich in demselben Tunnel befindet, in AWS-Region dem der Endpunkt erstellt wurde.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*"
}
]
}
```
**Example - Beschränken Sie den Zugriff auf bestimmte Konten AWS**
Diese Richtlinie ermöglicht es dem VPC-Endpunkt, sich nur mit Tunneln in bestimmten AWS Konten zu verbinden.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "iot:ConnectToTunnel",
"Resource": [
"arn:aws:iot:us-east-1:111122223333:tunnel/*",
"arn:aws:iot:us-east-1:444455556666:tunnel/*"
]
}
]
}
```
**Example - Beschränken Sie Verbindungen nach Tunnelendpunkt**
Sie können den VPC-Endpunktzugriff so einschränken, dass nur Geräte eine Verbindung zum Quell- oder Zielende eines Tunnels herstellen können.
Nur Quelle:
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "iot:ConnectToTunnel",
"Resource": "*",
"Condition": {
"StringEquals": {
"iot:ClientMode": "source"
}
}
}
]
}
```
Nur Ziel:
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "iot:ConnectToTunnel",
"Resource": "*",
"Condition": {
"StringEquals": {
"iot:ClientMode": "destination"
}
}
}
]
}
```
**Example - Beschränken Sie den Zugriff auf der Grundlage von Ressourcen-Tags**
Diese Richtlinie ermöglicht es dem VPC-Endpunkt, sich nur mit Tunneln zu verbinden, die mit einem bestimmten Schlüssel-Wert-Paar gekennzeichnet sind.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "iot:ConnectToTunnel",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Environment": "Production"
}
}
}
]
}
```
**Example - Kombinierte Versicherungsbedingungen**
Diese Politik zeigt die Kombination mehrerer politischer Elemente. Sie ermöglicht Verbindungen zu jedem Tunnel in einem bestimmten AWS Konto, aber nur, wenn der Tunnel mit `AllowConnectionsThroughPrivateLink` set to gekennzeichnet ist `true` und der Client keine Verbindung zum Zielende des Tunnels herstellt.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "iot:ConnectToTunnel",
"Resource": [
"arn:aws:iot:us-east-1:111122223333:tunnel/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AllowConnectionsThroughPrivateLink": "true"
}
}
},
{
"Effect": "Deny",
"Principal": "*",
"Action": "iot:ConnectToTunnel",
"Resource": [
"arn:aws:iot:us-east-1:111122223333:tunnel/*"
],
"Condition": {
"StringEquals": {
"iot:ClientMode": "destination"
}
}
}
]
}
```
## Nächste Schritte
Nachdem Sie Ihre VPC-Endpoints für erstellt und konfiguriert haben AWS IoT Secure Tunneling, sollten Sie Folgendes beachten:
+ Testen Sie Ihre VPC-Endpunktkonfiguration, indem Sie Geräte über den Endpunkt verbinden.
+ Überwachen Sie die VPC-Endpunktnutzung anhand von Amazon CloudWatch Metriken.
+ Überprüfen und aktualisieren Sie Ihre VPC-Endpunktrichtlinien nach Bedarf für Ihre Sicherheitsanforderungen.
Weitere Informationen zu AWS IoT Device Management Secure Tunneling finden Sie unter. [AWS IoT Secure Tunneling](https://docs.aws.amazon.com//iot/latest/developerguide/secure-tunneling.html)