VPC-Endpunkte für AWS IoT Core die Datenebene erstellen Erstellen von VPC-Endpunkten für den AWS IoT Core -Anmeldeinformationsanbieter Erstellen eines Amazon-VPC-Schnittstellenendpunkts Konfigurieren einer privat gehosteten Zone Steuerung des Zugriffs auf AWS IoT Core über VPC-Endpunkte Einschränkungen Skalierung von VPC-Endpunkten mit AWS IoT Core Verwenden von benutzerdefinierten Domains mit VPC-Endpunkten Verfügbarkeit von VPC-Endpunkten für AWS IoT Core

Verwendung AWS IoT Core mit VPC-Endpunkten mit Schnittstelle

Mit AWS IoT Core können Sie IoT-Datenendpunkte in Ihrer Virtual Private Cloud (VPC) mithilfe von Schnittstellen-VPC-Endpunkten erstellen. Schnittstellen-VPC-Endpoints basieren auf einer AWS Technologie AWS PrivateLink, mit der Sie mithilfe AWS von privaten IP-Adressen auf Dienste zugreifen können, auf denen sie ausgeführt werden. Weitere Informationen finden Sie unter Amazon Virtual Private Cloud.

Um Geräte vor Ort in Remote-Netzwerken, wie z. B. ein Unternehmensnetzwerk, mit Ihrer Amazon VPC zu verbinden, nutzen Sie die Optionen, die in der Netzwerk-zu-Amazon-VPC-Konnektivitätsmatrix aufgeführt sind.

Inhalt

VPC-Endpunkte für AWS IoT Core die Datenebene erstellen
Erstellen von VPC-Endpunkten für den AWS IoT Core -Anmeldeinformationsanbieter
Erstellen eines Amazon-VPC-Schnittstellenendpunkts
Konfigurieren einer privat gehosteten Zone
Steuerung des Zugriffs auf AWS IoT Core über VPC-Endpunkte
Einschränkungen
Skalierung von VPC-Endpunkten mit AWS IoT Core
Verwenden von benutzerdefinierten Domains mit VPC-Endpunkten
Verfügbarkeit von VPC-Endpunkten für AWS IoT Core

VPC-Endpunkte für AWS IoT Core die Datenebene erstellen

Sie können einen VPC-Endpunkt für die AWS IoT Core Datenebene-API erstellen, um Ihre Geräte mit AWS IoT Diensten und anderen AWS Diensten zu verbinden. Um mit VPC-Endpunkten zu beginnen, erstellen Sie einen VPC-Schnittstellen-Endpunkt und wählen Sie ihn AWS IoT Core als Dienst aus. AWS Wenn Sie die CLI verwenden, rufen Sie zunächst describe-vpc-endpoint-services auf, um sicherzustellen, dass Sie eine Availability Zone auswählen, in der sich diese befindet AWS IoT Core . AWS-Region In us-east-1 sähe dieser Befehl zum Beispiel wie folgt aus:


aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.data

Anmerkung

Die VPC-Funktion zum automatischen Erstellen eines DNS-Eintrags ist deaktiviert. Erstellen Sie manuell einen privaten DNS-Eintrag, um eine Verbindung zu diesen Endpunkten herzustellen. Weitere Informationen über DNA-Einträge von privaten VPC finden Sie unter Private DNS für Schnittstellenendpunkte. Weitere Informationen zu AWS IoT Core VPC-Einschränkungen finden Sie unterEinschränkungen.

So verbinden Sie MQTT-Clients mit den VPC-Endpunktschnittstellen:

Sie müssen manuell DNS-Einträge in einer privat gehosteten Zone erstellen, die an Ihre VPC angehängt ist. Informationen zu den ersten Schritten finden Sie unter Erstellen einer privat gehosteten Zone.

Erstellen Sie in Ihrer privaten gehosteten Zone einen Alias-Datensatz für jede IP-Adresse der elastischen Netzwerkschnittstelle für den VPC-Endpunkt. Wenn Sie mehrere Netzwerkschnittstellen-IPs für mehrere VPC-Endpunkte haben, erstellen Sie gewichtete DNS-Einträge mit gleicher Gewichtung für alle gewichteten Datensätze. Diese IP-Adressen sind im API-Aufruf für DescribeNetworkSchnittstellen verfügbar, wenn sie nach der VPC-Endpunkt-ID im Beschreibungsfeld gefiltert werden.

Sehen Sie sich die detaillierten Anweisungen unten an, um einen Amazon VPC-Schnittstellenendpunkt zu erstellen und eine private gehostete Zone für die AWS IoT Core Datenebene zu konfigurieren.

Erstellen von VPC-Endpunkten für den AWS IoT Core -Anmeldeinformationsanbieter

Sie können einen VPC-Endpunkt für den AWS IoT Core Anmeldeinformationsanbieter erstellen, um Geräte mithilfe der auf Client-Zertifikaten basierenden Authentifizierung zu verbinden und temporäre AWS Anmeldeinformationen im AWS Signature Version 4-Format abzurufen. Um mit VPC-Endpunkten für AWS IoT Core Credential Provider zu beginnen, führen Sie den CLI-Befehl create-vpc-endpoint aus, um einen VPC-Schnittstellen-Endpunkt zu erstellen, und wählen Sie Credential Provider als Dienst aus. AWS IoT Core AWS Um sicherzustellen, dass Sie eine Availability Zone auswählen, in der sich Ihre Availability Zone AWS IoT Core befindet, führen Sie zunächst den Befehl describe-vpc-endpoint-services aus. AWS-Region In us-east-1 sähe dieser Befehl zum Beispiel wie folgt aus:


aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.credentials

Anmerkung

So verbinden Sie HTTP-Clients mit den VPC-Endpunktschnittstellen:

Sie müssen manuell DNS-Einträge in einer privat gehosteten Zone erstellen, die an Ihre VPC angehängt ist. Informationen zu den ersten Schritten finden Sie unter Eine private gehostete Zone erstellen.

Erstellen Sie in Ihrer privaten gehosteten Zone einen Alias-Datensatz für jede IP-Adresse der elastischen Netzwerkschnittstelle für den VPC-Endpunkt. Wenn Sie mehrere Netzwerkschnittstellen-IPs für mehrere VPC-Endpunkte haben, erstellen Sie gewichtete DNS-Einträge mit gleicher Gewichtung für alle gewichteten Datensätze. Diese IP-Adressen sind im API-Aufruf für DescribeNetworkSchnittstellen verfügbar, wenn sie nach der VPC-Endpunkt-ID im Beschreibungsfeld gefiltert werden.

Sehen Sie sich die detaillierten Anweisungen unten an, um einen Amazon VPC-Schnittstellenendpunkt zu erstellen und eine private gehostete Zone für den AWS IoT Core Anmeldeinformationsanbieter zu konfigurieren.

Erstellen eines Amazon-VPC-Schnittstellenendpunkts

Sie können einen VPC-Schnittstellen-Endpunkt erstellen, um eine Verbindung zu AWS Diensten herzustellen, von AWS PrivateLink denen unterstützt wird. Gehen Sie wie folgt vor, um einen VPC-Schnittstellen-Endpunkt zu erstellen, der eine Verbindung zur AWS IoT Core Datenebene oder zum AWS IoT Core Anmeldeinformationsanbieter herstellt. Weitere Informationen finden Sie unter Zugreifen auf einen AWS Dienst über einen Schnittstellen-VPC-Endpunkt.

Anmerkung

Die Prozesse zum Erstellen eines Amazon VPC-Schnittstellenendpunkts für AWS IoT Core Datenebene und AWS IoT Core Anmeldeinformationsanbieter sind ähnlich, aber Sie müssen endpunktspezifische Änderungen vornehmen, damit die Verbindung funktioniert.

So erstellen Sie einen Schnittstellen-VPC-Endpunkt mit der VPC-Endpunkte-Konsole

Navigieren Sie zur VPC-Endpunkte-Konsole, wählen Sie im linken Menü unter Virtual Private Cloud die Option Endpunkte und dann Endpunkt erstellen aus.
Geben Sie auf der Seite Endpunkt erstellen die folgenden Informationen an:
- Wählen Sie AWS-Service s als Servicekategorie aus.
- Suchen Sie nach dem Servicenamen, indem Sie das Schlüsselwort iot eingeben. Wählen Sie in der Liste der angezeigten iot-Services den Endpunkt aus.
  
  Wenn Sie einen VPC-Endpunkt für die AWS IoT Core Datenebene erstellen, wählen Sie den AWS IoT Core Datenebenen-API-Endpunkt für Ihre Region aus. Der Endpunkt wird das Format com.amazonaws.region.iot.data haben.
  
  Wenn Sie einen VPC-Endpunkt für den AWS IoT Core Credential Provider erstellen, wählen Sie den AWS IoT Core Credential Provider-Endpunkt für Ihre Region aus. Der Endpunkt wird das Format com.amazonaws.region.iot.credentials haben.
  
  Anmerkung
  Der Dienstname für die AWS IoT Core Datenebene in der Region China wird das folgende Format haben. cn.com.amazonaws.region.iot.data Das Erstellen von VPC-Endpunkten für den AWS IoT Core Anmeldeinformationsanbieter wird in der Region China nicht unterstützt.
- Wählen Sie für VPC und Subnetze die VPC aus, in der Sie den Endpunkt erstellen möchten, und die Availability Zones (AZs), in denen Sie das Endpunktnetzwerk einrichten möchten.
- Wählen Sie für DNS-Namen aktivieren die Option Für diesen Endpunkt aktivieren. Weder die AWS IoT Core Datenebene noch der AWS IoT Core Anmeldeinformationsanbieter unterstützen bisher private DNS-Namen.
- Wählen Sie für Sicherheitsgruppe die Sicherheitsgruppen aus, die Sie den Endpunktnetzwerkschnittstellen zuordnen möchten.
- Optional können Sie Tags hinzufügen oder entfernen. Tags sind Name-Wert-Paare, die Sie verwenden, um sie Ihrem Endpunkt zuzuordnen.
Wählen Sie VPC-Endpunkt erstellen, um den Schnittstellenendpunkt zu erstellen.

Nachdem Sie den AWS PrivateLink Endpunkt erstellt haben, sehen Sie auf der Registerkarte „Details“ Ihres Endpunkts eine Liste mit DNS-Namen. Sie können einen dieser DNS-Namen verwenden, die Sie in diesem Abschnitt erstellt haben, um Ihre private gehostete Zone zu konfigurieren.

Konfigurieren einer privat gehosteten Zone

Sie können einen dieser DNS-Namen verwenden, die Sie im vorigen Abschnitt erstellt haben, um Ihre private gehostete Zone zu konfigurieren.

Für die AWS IoT Core Datenebene

Der DNS-Name muss der Name Ihrer Domainkonfiguration oder Ihr IoT:Data-ATS-Endpunkt sein. Ein mögliches Beispiel für einen DNS-Namen ist: xxx-ats.data.iot.region.amazonaws.com.

Für den AWS IoT Core Anbieter von Anmeldeinformationen

Der DNS-Name muss Ihr iot:CredentialProvider-Endpunkt sein. Ein möglicher DNS-Name ist: xxxx.credentials.iot.region.amazonaws.com.

Anmerkung

Die Verfahren zur Konfiguration der privaten gehosteten Zone für die AWS IoT Core Datenebene und den AWS IoT Core Anmeldeinformationsanbieter sind ähnlich, aber Sie müssen endpunktspezifische Änderungen vornehmen, damit die Verbindung funktioniert.

Erstellen einer privaten gehosteten Zone

So erstellen Sie eine privat gehostete Zone mit der Route-53-Konsole

Navigieren Sie zur Konsole Route 53 Gehostete Zonen und wählen Sie Gehostete Zone erstellen.
Geben Sie auf der Seite Gehostete Zone erstellen die folgenden Informationen an.
- Geben Sie Domainname die Endpunktadresse für Ihren iot:Data-ATS oder iot:CredentialProvider-Endpunkt ein. Der folgende AWS -CLI-Befehl zeigt, wie der Endpunkt über ein öffentliches Netzwerk abgerufen wird: aws iot describe-endpoint --endpoint-type iot:Data-ATS oder aws iot describe-endpoint --endpoint-type iot:CredentialProvider.
  
  Anmerkung
  Wenn Sie benutzerdefinierte Domains verwenden, finden Sie weitere Informationen unter Verwenden von benutzerdefinierten Domains mit VPC-Endpunkten. Benutzerdefinierte Domänen werden für den AWS IoT Core Anmeldeinformationsanbieter nicht unterstützt.
- Wählen Sie in der Liste Typ die Option Privat gehostete Zone.
- Optional können Sie Tags hinzufügen oder entfernen, um sie Ihrer gehosteten Zone zuzuordnen.
Wählen Sie Gehostete Zone erstellen, um Ihre private gehostete Zone zu erstellen.

Weitere Informationen finden Sie unter Erstellen einer privat gehosteten Zone.

Erstellen eines Datensatzes

Nachdem Sie eine private gehostete Zone eingerichtet haben, können Sie einen Eintrag erstellen, der dem DNS mitteilt, wie der Datenverkehr zu dieser Domain weitergeleitet werden soll.

So erstellen Sie einen Datensatz

Klicken Sie in der angezeigten Liste der gehosteten Zonen auf die privat gehostete Zone aus, die Sie zuvor erstellt haben, und wählen Sie Datensatz erstellen.
Erstellen Sie den Datensatz mithilfe des Assistenten. Wenn Ihnen in der Konsole die Methode Schnelle Erstellung angezeigt wird, wählen Sie Zum Assistenten wechseln aus.
Wählen Sie Einfaches Routing für Routing-Richtlinie und klicken Sie auf Weiter.
Wählen Sie unter Datensätze konfigurieren die Option Einfachen Datensatz definieren.
Gehen Sie auf der Seite Einfachen Datensatz definieren wie folgt vor:
- Geben Sie als Datensatzname iot:Data-ATS-Endpunkt oder iot:CredentialProvider-Endpunkt ein. Dieser muss mit dem Namen der privaten gehosteten Zone übereinstimmen.
- Behalten Sie für Datensatztyp den Wert A - Routes traffic to an IPv4 address and some AWS resources bei.
- Wählen Sie unter Wert/Weiterleiten von Datenverkehr an die Option Alias zu VPC-Endpunkt. Wählen Sie wie unter Erstellen eines Amazon-VPC-Schnittstellenendpunkts beschrieben Ihre Region und dann den Endpunkt aus, den Sie zuvor erstellt haben, aus der angezeigten Liste der Endpunkte aus.
Wählen Sie Einfachen Datensatz definieren, um Ihren Datensatz zu erstellen.

Steuerung des Zugriffs auf AWS IoT Core über VPC-Endpunkte

Sie können den Gerätezugriff so einschränken, dass er nur über AWS IoT Core den VPC-Endpunkt erlaubt ist, indem Sie VPC-Bedingungskontextschlüssel verwenden. AWS IoT Core unterstützt die folgenden VPC-bezogenen Kontextschlüssel:

Anmerkung

AWS IoT Core unterstützt keine Endpunktrichtlinien für VPC-Endpunkte.

Die folgende Richtlinie gewährt beispielsweise die Erlaubnis, eine Verbindung AWS IoT Core mit einer Client-ID herzustellen, die dem Namen des Dings entspricht, und die Veröffentlichung zu einem beliebigen Thema, dem der Dingname vorangestellt ist, vorausgesetzt, dass das Gerät eine Verbindung zu einem VPC-Endpunkt mit einer bestimmten VPC-Endpunkt-ID herstellt. Diese Richtlinie verweigert Verbindungsversuche zu Ihrem öffentlichen IoT-Datenendpunkt.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-1a2b3c4d"
                }
            }
            
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*"
            ]
        }
    ]
}

Einschränkungen

VPC-Endpunkte werden derzeit nur für AWS IoT Core -Datenendpunkte und Endpunkte von AWS IoT Core -Anmeldeinformationsanbietern unterstützt.

Einschränkungen von VPC-Endpunkten für IoT-Daten

In diesem Abschnitt werden die Einschränkungen von VPC-Endpunkten für IoT-Daten behandelt.

Die Keep-Alive-Zeiträume von MQTT sind auf 230 Sekunden begrenzt. Längere Keep-Alive-Zeiträume werden automatisch auf 230 Sekunden reduziert.
Jeder VPC-Endpunkt unterstützt insgesamt 100.000 gleichzeitig verbundene Geräte. Wenn Sie mehr Verbindungen benötigen, finden Sie weitere Informationen unter Skalierung von VPC-Endpunkten mit AWS IoT Core.
VPC-Endpunkte unterstützen nur IPv4-Datenverkehr.
VPC-Endpunkte stellen nur ATS-Zertifikate bereit, mit Ausnahme von benutzerdefinierten Domains.
VPC-Endpunktrichtlinien werden nicht unterstützt.
Für VPC-Endpoints, die für die AWS IoT Core Datenebene erstellt wurden, unterstützt AWS IoT Core nicht die Verwendung zonaler oder regionaler öffentlicher DNS-Einträge.

Einschränkungen der Endpunkte von Anmeldeinformationsanbietern

In diesem Abschnitt werden die Einschränkungen von VPC-Endpunkten für Anmeldeinformationsanbieter behandelt.

VPC-Endpunkte unterstützen nur IPv4-Datenverkehr.
VPC-Endpunkte stellen nur ATS-Zertifikate bereit.
VPC-Endpunktrichtlinien werden nicht unterstützt.
Benutzerdefinierte Domains werden für die Endpunkte von Anmeldeinformationsanbietern nicht unterstützt.
Für VPC-Endpoints, die für den AWS IoT Core Anmeldeinformationsanbieter erstellt wurden, unterstützt die Verwendung zonaler oder regionaler öffentlicher DNS-Einträge AWS IoT Core nicht.

Skalierung von VPC-Endpunkten mit AWS IoT Core

AWS IoT Core Schnittstellen-VPC-Endpunkte sind auf 100.000 verbundene Geräte über einen einzigen Schnittstellenendpunkt begrenzt. Wenn Ihr Anwendungsfall mehr gleichzeitige Verbindungen zum Broker erfordert, empfehlen wir, mehrere VPC-Endpunkte zu verwenden und Ihre Geräte manuell über Ihre Schnittstellenendpunkte zu routen. Achten Sie beim Erstellen von privaten DNS-Datensätzen für die Weiterleitung von Datenverkehr zu Ihren VPC-Endpunkten darauf, so viele gewichtete Datensätze zu erstellen, wie Sie VPC-Endpunkte haben, um den Verkehr auf Ihre verschiedenen Endpunkte zu verteilen.

Verwenden von benutzerdefinierten Domains mit VPC-Endpunkten

Wenn Sie benutzerdefinierte Domains mit VPC-Endpunkten verwenden möchten, müssen Sie Ihre benutzerdefinierten Domainnameneinträge in einer privaten gehosteten Zone und Routing-Datensätze in Route53 erstellen. Weitere Informationen finden Sie unter Erstellen einer privat gehosteten Zone.

Anmerkung

Benutzerdefinierte Domänen werden nur für AWS IoT Core Datenendpunkte unterstützt.

Verfügbarkeit von VPC-Endpunkten für AWS IoT Core

AWS IoT Core Schnittstellen-VPC-Endpunkte sind in allen AWS IoT Core unterstützten Regionen verfügbar. AWS IoT Core VPC-Schnittstellen-Endpunkte für den AWS IoT Core Anmeldeinformationsanbieter werden in der Region China und nicht unterstützt. AWS GovCloud (US) Regions

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Ausfallsicherheit

Sicherheit der Infrastruktur