Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwendung AWS IoT Core mit VPC-Endpunkten mit Schnittstelle
Mit AWS IoT Core können Sie [IoT-Steuerebenen-Endpunkte und [IoT-Datenendpunkte](https://docs.aws.amazon.com//iot/latest/developerguide/iot-connect-devices.html)](https://docs.aws.amazon.com//iot/latest/developerguide/connect-to-iot.html#iot-service-endpoint-intro) in Ihrer Virtual Private Cloud (VPC) mithilfe von [Schnittstellen-VPC-Endpunkten](https://docs.aws.amazon.com//vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) erstellen. Schnittstellen-VPC-Endpoints basieren auf einer AWS Technologie AWS PrivateLink, mit der Sie mithilfe AWS von privaten IP-Adressen auf Dienste zugreifen können, auf denen sie ausgeführt werden. Weitere Informationen finden Sie unter [Amazon Virtual Private Cloud](https://docs.aws.amazon.com//AmazonVPC/latest/UserGuide/VPC_Introduction.html).
Informationen zum Verbinden von Geräten vor Ort in Remote-Netzwerken, z. B. einem Unternehmensnetzwerk, mit Ihrer Amazon VPC, finden Sie in den Optionen, die in der [Network-to-Amazon VPC-Konnektivitätsmatrix](https://docs.aws.amazon.com//whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) aufgeführt sind.
**Topics**
+ [VPC-Endpunkte für AWS IoT Core die Steuerungsebene erstellen](#Create-VPC-endpoints-CP)
+ [VPC-Endpunkte für AWS IoT Core die Datenebene erstellen](#Create-VPC-endpoints)
+ [VPC-Endpunkte für AWS IoT Core den Anmeldeinformationsanbieter erstellen](#Create-VPC-endpoints-credential-provider)
+ [Erstellen eines Amazon-VPC-Schnittstellenendpunkts](#Create-VPC-endpoints-core-create-vpc)
+ [Konfigurieren Sie eine private gehostete Zone](#connect-iot-core-create-phz-lns)
+ [Steuerung des Zugriffs auf AWS IoT Core über VPC-Endpunkte](#Control-VPC-access)
+ [Einschränkungen](#VPC-limitations)
+ [Skalierung von VPC-Endpunkten mit AWS IoT Core](#Scaling-VPC-endpoints)
+ [Verwenden von benutzerdefinierten Domains mit VPC-Endpunkten](#VPC-custom-domains)
+ [Verfügbarkeit von VPC-Endpunkten für AWS IoT Core](#VPC-availability)
+ [Verwenden von AWS IoT Device Management sicherem Tunneling mit VPC-Endpunkten mit Schnittstellen](IoTCore-ST-VPC.md)
## VPC-Endpunkte für AWS IoT Core die Steuerungsebene erstellen
Sie können einen VPC-Endpunkt für die AWS IoT Core Control Plane API erstellen, um Ihre Geräte mit AWS IoT Diensten und anderen AWS Diensten zu verbinden. Um mit VPC-Endpunkten zu beginnen, [erstellen Sie einen VPC-Schnittstellen-Endpunkt](https://docs.aws.amazon.com//vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) und wählen Sie ihn AWS IoT Core als Dienst aus. AWS Wenn Sie die CLI verwenden, rufen Sie zuerst an, [describe-vpc-endpoint-services](https://docs.aws.amazon.com//cli/latest/reference/ec2/describe-vpc-endpoint-services.html)um sicherzustellen, dass Sie eine Availability Zone auswählen, die in Ihrer Region vorhanden AWS IoT Core ist AWS-Region. In us-east-1 sähe dieser Befehl zum Beispiel wie folgt aus:
```
aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.api
```
Sehen Sie sich die detaillierten Anweisungen unten an, um [einen Amazon VPC-Schnittstellenendpunkt für die AWS IoT Core Kontrollebene zu erstellen](#Create-VPC-endpoints-core-create-vpc).
## VPC-Endpunkte für AWS IoT Core die Datenebene erstellen
Sie können einen VPC-Endpunkt für die AWS IoT Core Datenebene-API erstellen, um Ihre Geräte mit AWS IoT Diensten und anderen AWS Diensten zu verbinden. Um mit VPC-Endpunkten zu beginnen, [erstellen Sie einen VPC-Schnittstellen-Endpunkt](https://docs.aws.amazon.com//vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) und wählen Sie ihn AWS IoT Core als Dienst aus. AWS Wenn Sie die CLI verwenden, rufen Sie zuerst an, [describe-vpc-endpoint-services](https://docs.aws.amazon.com//cli/latest/reference/ec2/describe-vpc-endpoint-services.html)um sicherzustellen, dass Sie eine Availability Zone auswählen, die in Ihrer Region vorhanden AWS IoT Core ist AWS-Region. In us-east-1 sähe dieser Befehl zum Beispiel wie folgt aus:
```
aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.data
```
**Anmerkung**
Die VPC-Funktion zum automatischen Erstellen eines DNS-Eintrags ist deaktiviert. Erstellen Sie manuell einen privaten DNS-Eintrag, um eine Verbindung zu diesen Endpunkten herzustellen. Weitere Informationen über DNA-Einträge von privaten VPC finden Sie unter [Private DNS für Schnittstellenendpunkte](https://docs.aws.amazon.com//vpc/latest/privatelink/vpce-interface.html#vpce-private-dns). Weitere Informationen zu AWS IoT Core VPC-Einschränkungen finden Sie unter[Einschränkungen](#VPC-limitations).
So verbinden Sie MQTT-Clients mit den VPC-Endpunktschnittstellen:
+ Sie müssen manuell DNS-Einträge in einer privat gehosteten Zone erstellen, die an Ihre VPC angehängt ist. Informationen zu den ersten Schritten finden Sie unter [Erstellen einer privat gehosteten Zone](https://docs.aws.amazon.com//Route53/latest/DeveloperGuide/hosted-zone-private-creating.html).
+ Erstellen Sie in Ihrer privaten gehosteten Zone einen Alias-Datensatz für jede IP-Adresse der elastischen Netzwerkschnittstelle für den VPC-Endpunkt. Wenn Sie mehrere Netzwerkschnittstellen IPs für mehrere VPC-Endpunkte haben, erstellen Sie gewichtete DNS-Einträge mit gleicher Gewichtung für alle gewichteten Datensätze. Diese IP-Adressen sind im [DescribeNetworkInterfaces](https://docs.aws.amazon.com//AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html)API-Aufruf verfügbar, wenn sie nach der VPC-Endpunkt-ID im Beschreibungsfeld gefiltert werden.
Sehen Sie sich die detaillierten Anweisungen unten an, um [einen Amazon VPC-Schnittstellenendpunkt zu erstellen](#Create-VPC-endpoints-core-create-vpc) und eine [private gehostete Zone für die AWS IoT Core Datenebene zu konfigurieren](#connect-iot-core-create-phz-lns).
## VPC-Endpunkte für AWS IoT Core den Anmeldeinformationsanbieter erstellen
Sie können einen VPC-Endpunkt für den AWS IoT Core [Anmeldeinformationsanbieter](https://docs.aws.amazon.com//iot/latest/developerguide/authorizing-direct-aws.html) erstellen, um Geräte mithilfe der auf Client-Zertifikaten basierenden Authentifizierung zu verbinden und temporäre AWS Anmeldeinformationen im [AWS Signature](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_aws-signing.html) Version 4-Format abzurufen. Um mit VPC-Endpunkten für AWS IoT Core Credential Provider zu beginnen, führen Sie den [create-vpc-endpoint](https://docs.aws.amazon.com//cli/latest/reference/ec2/create-vpc-endpoint.html)CLI-Befehl aus, um [einen VPC-Schnittstellen-Endpunkt zu erstellen](https://docs.aws.amazon.com//vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint), und wählen Sie AWS IoT Core Credential Provider als Dienst aus. AWS Um sicherzustellen, dass Sie eine Availability Zone auswählen, in der sich Ihre Availability Zone AWS IoT Core befindet AWS-Region, führen Sie zunächst den Befehl aus. [describe-vpc-endpoint-services](https://docs.aws.amazon.com//cli/latest/reference/ec2/describe-vpc-endpoint-services.html) In us-east-1 sähe dieser Befehl zum Beispiel wie folgt aus:
```
aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.credentials
```
**Anmerkung**
Die VPC-Funktion zum automatischen Erstellen eines DNS-Eintrags ist deaktiviert. Erstellen Sie manuell einen privaten DNS-Eintrag, um eine Verbindung zu diesen Endpunkten herzustellen. Weitere Informationen über DNA-Einträge von privaten VPC finden Sie unter [Private DNS für Schnittstellenendpunkte](https://docs.aws.amazon.com//vpc/latest/privatelink/vpce-interface.html#vpce-private-dns). Weitere Informationen zu AWS IoT Core VPC-Einschränkungen finden Sie unter[Einschränkungen](#VPC-limitations).
So verbinden Sie HTTP-Clients mit den VPC-Endpunktschnittstellen:
+ Sie müssen manuell DNS-Einträge in einer privat gehosteten Zone erstellen, die an Ihre VPC angehängt ist. Informationen zu den ersten Schritten finden Sie unter [Eine private gehostete Zone erstellen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html).
+ Erstellen Sie in Ihrer privaten gehosteten Zone einen Alias-Datensatz für jede IP-Adresse der elastischen Netzwerkschnittstelle für den VPC-Endpunkt. Wenn Sie mehrere Netzwerkschnittstellen IPs für mehrere VPC-Endpunkte haben, erstellen Sie gewichtete DNS-Einträge mit gleicher Gewichtung für alle gewichteten Datensätze. Diese IP-Adressen sind im [DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html)API-Aufruf verfügbar, wenn sie nach der VPC-Endpunkt-ID im Beschreibungsfeld gefiltert werden.
Sehen Sie sich die detaillierten Anweisungen unten an, um [einen Amazon VPC-Schnittstellenendpunkt zu erstellen](#Create-VPC-endpoints-core-create-vpc) und eine [private gehostete Zone für den AWS IoT Core Anmeldeinformationsanbieter zu konfigurieren](#connect-iot-core-create-phz-lns).
## Erstellen eines Amazon-VPC-Schnittstellenendpunkts
Sie können einen VPC-Schnittstellen-Endpunkt erstellen, um eine Verbindung zu AWS Diensten herzustellen, von AWS PrivateLink denen unterstützt wird. Gehen Sie wie folgt vor, um einen VPC-Schnittstellen-Endpunkt zu erstellen, der eine Verbindung zur AWS IoT Core Datenebene oder zum AWS IoT Core Anmeldeinformationsanbieter herstellt. Weitere Informationen finden Sie unter [Zugreifen auf einen AWS Dienst über einen Schnittstellen-VPC-Endpunkt](https://docs.aws.amazon.com//vpc/latest/privatelink/create-interface-endpoint.html).
**Anmerkung**
Die Prozesse zum Erstellen eines Amazon VPC-Schnittstellenendpunkts für AWS IoT Core Datenebene und AWS IoT Core Anmeldeinformationsanbieter sind ähnlich, aber Sie müssen endpunktspezifische Änderungen vornehmen, damit die Verbindung funktioniert.
****So erstellen Sie einen Schnittstellen-VPC-Endpunkt mit der [VPC](https://console.aws.amazon.com/vpc/home#/endpoints)-Endpunkte**-Konsole**
1. **Navigieren Sie zur [VPC](https://console.aws.amazon.com/vpc/home#/endpoints)-**Endpunkte**-Konsole, wählen Sie im linken Menü unter **Virtual Private Cloud** die Option **Endpunkte** und dann Endpunkt erstellen** aus.
1. Geben Sie auf der Seite **Endpunkt erstellen** die folgenden Informationen an:
+ Wählen Sie **AWS-Service s** als **Servicekategorie** aus.
+ Suchen Sie nach dem **Servicenamen**, indem Sie das Schlüsselwort `iot` eingeben. Wählen Sie in der Liste der angezeigten `iot`-Services den Endpunkt aus.
Wenn Sie einen VPC-Endpunkt für die AWS IoT Core Kontrollebene erstellen, wählen Sie den API-Endpunkt der AWS IoT Core Kontrollebene für Ihren AWS-Region. Der Endpunkt wird das Format `com.amazonaws.region.iot.api` haben.
Wenn Sie einen VPC-Endpunkt für die AWS IoT Core Datenebene erstellen, wählen Sie den AWS IoT Core Datenebenen-API-Endpunkt für Ihre Region aus. Der Endpunkt wird das Format `com.amazonaws.region.iot.data` haben.
Wenn Sie einen VPC-Endpunkt für den AWS IoT Core Credential Provider erstellen, wählen Sie den AWS IoT Core Credential Provider-Endpunkt für Ihre Region aus. Der Endpunkt wird das Format `com.amazonaws.region.iot.credentials` haben.
Wenn Sie einen VPC-Endpunkt für FIPS-Regionen (Federal Information Processing Standard) erstellen, wählen Sie den FIPS-API-Endpunkt für Ihre. AWS-Region Der Endpunkt wird das Format `com.amazonaws.region.iot-fips.api` haben. Dies gilt nur für die Steuerungsebene.
**Anmerkung**
Der Dienstname für die AWS IoT Core Datenebene in der Region China wird das folgende Format haben`cn.com.amazonaws.region.iot.data`. Der Dienstname für die AWS IoT Core Steuerebene in der Region China wird das folgende Format haben`com.amazonaws.region.iot.api`.
+ Wählen Sie für **VPC** und **Subnetze** die VPC aus, in der Sie den Endpunkt erstellen möchten, und die Availability Zones (AZs), in denen Sie das Endpunktnetzwerk erstellen möchten.
+ Stellen Sie sicher, dass **unter DNS-Name aktivieren** die Option **Für diesen Endpunkt aktivieren nicht für** AWS IoT Core Datenebene und AWS IoT Core Anmeldeinformationsanbieter ausgewählt ist. Weder die AWS IoT Core Datenebene noch der AWS IoT Core Anmeldeinformationsanbieter unterstützen bisher private DNS-Namen.
Für die AWS IoT Core Steuerungsebene ist standardmäßig die Option **DNS-Name aktivieren** ausgewählt. Dadurch wird sichergestellt, dass alle Anfragen an die öffentlichen Endpunkte der AWS IoT Core Kontrollebene stattdessen über die VPC-Endpunkte weitergeleitet werden. Wenn dies aktiviert ist, müssen Sie keine private gehostete Zone konfigurieren.
+ Wählen Sie für **Sicherheitsgruppe** die Sicherheitsgruppen aus, die Sie den Endpunktnetzwerkschnittstellen zuordnen möchten.
+ Optional können Sie Tags hinzufügen oder entfernen. Tags sind Name-Wert-Paare, die Sie verwenden, um sie Ihrem Endpunkt zuzuordnen.
1. Wählen Sie **VPC-Endpunkt erstellen**, um den Schnittstellenendpunkt zu erstellen.
Nachdem Sie den AWS PrivateLink Endpunkt erstellt haben, sehen Sie auf der Registerkarte „**Details**“ Ihres Endpunkts eine Liste mit DNS-Namen. Sie können einen dieser DNS-Namen verwenden, die Sie in diesem Abschnitt erstellt haben, um [Ihre private gehostete Zone zu konfigurieren](#connect-iot-core-create-phz-lns). Wenn Sie die AWS IoT Core Steuerungsebene verwenden, müssen Sie keine private gehostete Zone konfigurieren.
## Konfigurieren Sie eine private gehostete Zone
**Anmerkung**
Wenn Sie die AWS IoT Core Steuerungsebene verwenden und die Option **DNS-Namen aktivieren** ausgewählt haben, müssen Sie keine private gehostete Zone konfigurieren. Wenn Sie es deaktivieren, müssen Sie dieses Verfahren befolgen, um eine private gehostete Zone zu konfigurieren.
Sie können einen dieser DNS-Namen verwenden, die Sie im vorigen Abschnitt erstellt haben, um Ihre private gehostete Zone zu konfigurieren.
**Für AWS IoT Core Datenebene**
Der DNS-Name muss der Name Ihrer Domainkonfiguration oder Ihr `IoT:Data-ATS`-Endpunkt sein. Ein mögliches Beispiel für einen DNS-Namen ist: ` xxx-ats.data.iot.region.amazonaws.com`.
**Für den AWS IoT Core Anbieter von Anmeldeinformationen**
Der DNS-Name muss Ihr `iot:CredentialProvider`-Endpunkt sein. Ein möglicher DNS-Name ist: ` xxxx.credentials.iot.region.amazonaws.com`.
**Für die AWS IoT Core Kontrollebene**
Der DNS-Name muss Ihr Endpunkt auf der AWS IoT Core Kontrollebene sein. Ein Beispiel für einen DNS-Namen für die AWS IoT Core Kontrollebene ist` xxxx.api.iot.region.amazonaws.com`.
**Anmerkung**
Die Verfahren zur Konfiguration der privaten gehosteten Zone für die AWS IoT Core Datenebene und den AWS IoT Core Anmeldeinformationsanbieter sind ähnlich, aber Sie müssen endpunktspezifische Änderungen vornehmen, damit die Verbindung funktioniert.
### Erstellen einer privaten gehosteten Zone
**So erstellen Sie eine privat gehostete Zone mit der Route-53-Konsole**
1. Navigieren Sie zur Konsole [Route 53](https://console.aws.amazon.com/route53/v2/hostedzones#/) **Gehostete Zonen** und wählen Sie **Gehostete Zone erstellen**.
1. Geben Sie auf der Seite **Gehostete Zone erstellen** die folgenden Informationen an.
+ Geben Sie **Domainname** die Endpunktadresse für Ihren `iot:Data-ATS` oder `iot:CredentialProvider`-Endpunkt ein. Der folgende AWS -CLI-Befehl zeigt, wie der Endpunkt über ein öffentliches Netzwerk abgerufen wird: `aws iot describe-endpoint --endpoint-type iot:Data-ATS` oder `aws iot describe-endpoint --endpoint-type iot:CredentialProvider`.
**Anmerkung**
Wenn Sie benutzerdefinierte Domains verwenden, finden Sie weitere Informationen unter [Verwenden von benutzerdefinierten Domains mit VPC-Endpunkten](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#VPC-custom-domains). Benutzerdefinierte Domänen werden für den AWS IoT Core Anmeldeinformationsanbieter nicht unterstützt.
+ Wählen Sie in der Liste **Typ** die Option **Privat gehostete Zone**.
+ Optional können Sie Tags hinzufügen oder entfernen, um sie Ihrer gehosteten Zone zuzuordnen.
1. Wählen Sie **Gehostete Zone erstellen**, um Ihre private gehostete Zone zu erstellen.
Weitere Informationen finden Sie unter [Erstellen einer privat gehosteten Zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html).
### Erstellen eines Datensatzes
Nachdem Sie eine private gehostete Zone eingerichtet haben, können Sie einen Eintrag erstellen, der dem DNS mitteilt, wie der Datenverkehr zu dieser Domain weitergeleitet werden soll.
**So erstellen Sie einen Datensatz**
1. Klicken Sie in der angezeigten Liste der gehosteten Zonen auf die privat gehostete Zone aus, die Sie zuvor erstellt haben, und wählen Sie **Datensatz erstellen**.
1. Erstellen Sie den Datensatz mithilfe des Assistenten. Wenn Ihnen in der Konsole die Methode **Schnelle Erstellung** angezeigt wird, wählen Sie **Zum Assistenten wechseln** aus.
1. Wählen Sie **Einfaches Routing** für **Routing-Richtlinie** und klicken Sie auf **Weiter**.
1. Wählen Sie unter **Datensätze konfigurieren** die Option **Einfachen Datensatz definieren**.
1. Gehen Sie auf der Seite **Einfachen Datensatz definieren** wie folgt vor:
+ Geben Sie als **Datensatzname** `iot:Data-ATS`-Endpunkt oder `iot:CredentialProvider`-Endpunkt ein. Dieser muss mit dem Namen der privaten gehosteten Zone übereinstimmen.
+ Wenn Sie für den **Datensatztyp** nur IPv4 Unterstützung wünschen, behalten Sie den Wert als bei`A - Routes traffic to an IPv4 address and some AWS resources`. Wenn Sie nur IPv6 Unterstützung wünschen, behalten Sie den Wert als bei`AAAA - Routes traffic to an IPv6 address and some AWS resources`. Wenn Sie Dual-Stack-Unterstützung (sowohl als auch IPv4 IPv6) wünschen, erstellen Sie zwei Datensätze (`A`und zwar `AAAA` in der Hosting-Zone) mit demselben **Datensatznamen** und demselben **Wert/Weiterleitungsdatenverkehr**.
+ Wählen Sie unter **Wert/Weiterleiten von Datenverkehr an** die Option **Alias zu VPC-Endpunkt**. Wählen Sie wie unter [Erstellen eines Amazon-VPC-Schnittstellenendpunkts](#Create-VPC-endpoints-core-create-vpc) beschrieben Ihre **Region** und dann den Endpunkt aus, den Sie zuvor erstellt haben, aus der angezeigten Liste der Endpunkte aus.
1. Wählen Sie **Einfachen Datensatz definieren**, um Ihren Datensatz zu erstellen.
## Steuerung des Zugriffs auf AWS IoT Core über VPC-Endpunkte
Sie können den Gerätezugriff so einschränken, dass er nur über AWS IoT Core den VPC-Endpunkt erlaubt ist, indem Sie [VPC-Bedingungskontextschlüssel](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html) verwenden. AWS IoT Core unterstützt die folgenden VPC-bezogenen Kontextschlüssel:
+ [SourceVpc](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc)
+ [SourceVpce](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce)
+ [VPCSourceIp](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpcsourceip)
**Anmerkung**
AWS IoT Core unterstützt keine [Endpunktrichtlinien für VPC-Endpunkte](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-policies).
Die folgende Richtlinie gewährt beispielsweise die Erlaubnis, eine Verbindung AWS IoT Core mit einer Client-ID herzustellen, die dem Ding-Namen entspricht, und die Veröffentlichung zu einem beliebigen Thema mit dem Ding-Namen, vorausgesetzt, dass das Gerät eine Verbindung zu einem VPC-Endpunkt mit einer bestimmten VPC-Endpunkt-ID herstellt. Diese Richtlinie verweigert Verbindungsversuche zu Ihrem öffentlichen IoT-Datenendpunkt.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:Connect"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
],
"Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-1a2b3c4d"
}
}
},
{
"Effect": "Allow",
"Action": [
"iot:Publish"
],
"Resource": [
"arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*"
]
}
]
}
```
## Einschränkungen
[VPC-Endpunkte werden derzeit für [AWS IoT Core Steuerungsebenen-Endpunkte,AWS IoT Core Datenendpunkte](https://docs.aws.amazon.com//iot/latest/developerguide/connect-to-iot.html#iot-service-endpoint-intro)[und AWS IoT Core Credential Provider-Endpunkte](https://docs.aws.amazon.com//iot/latest/developerguide/iot-connect-devices.html#iot-connect-device-endpoints) unterstützt.](https://docs.aws.amazon.com//iot/latest/developerguide/authorizing-direct-aws.htm) VPC-Endpunkte werden nur für [FIPS-Endpunkte (Federal Information Processing Standard) unterstützt, wenn die Steuerungsebene](https://docs.aws.amazon.com//iot/latest/developerguide/iot-connect-fips.html) verwendet wird. AWS IoT Core
### Einschränkungen von VPC-Endpunkten auf der IoT-Steuerungsebene
In diesem Abschnitt werden die Einschränkungen von VPC-Endpunkten auf IoT-Steuerungsebene behandelt.
+ VPC-Endpunkte stellen nur ATS-Zertifikate bereit.
+ Benutzerdefinierte Domänen werden für Endpunkte auf der Kontrollebene nicht unterstützt.
+ Informationen zu FIPS-Sicherheitsrichtlinien finden Sie unter [FIPS-Sicherheitsrichtlinien](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/describe-ssl-policies.html#fips-security-policies).
### Einschränkungen von VPC-Endpunkten für IoT-Daten
In diesem Abschnitt werden die Einschränkungen von VPC-Endpunkten für IoT-Daten behandelt.
+ Die Keep-Alive-Zeiträume von MQTT sind auf 230 Sekunden begrenzt. Längere Keep-Alive-Zeiträume werden automatisch auf 230 Sekunden reduziert.
+ Jeder VPC-Endpunkt unterstützt insgesamt 100.000 gleichzeitig verbundene Geräte. Wenn Sie mehr Verbindungen benötigen, siehe. [Skalierung von VPC-Endpunkten mit AWS IoT Core](#Scaling-VPC-endpoints)
+ VPC-Endpunkte stellen nur [ATS-Zertifikate](https://docs.aws.amazon.com//iot/latest/developerguide/server-authentication.html) bereit, mit Ausnahme von benutzerdefinierten Domains.
+ [VPC-Endpunktrichtlinien](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html) werden nicht unterstützt.
+ Für VPC-Endpoints, die für die AWS IoT Core Datenebene erstellt wurden, unterstützt AWS IoT Core nicht die Verwendung zonaler oder regionaler öffentlicher DNS-Einträge.
### Einschränkungen der Endpunkte von Anmeldeinformationsanbietern
In diesem Abschnitt werden die Einschränkungen von VPC-Endpunkten für Anmeldeinformationsanbieter behandelt.
+ VPC-Endpunkte stellen nur [ATS-Zertifikate](https://docs.aws.amazon.com//iot/latest/developerguide/server-authentication.html) bereit.
+ [VPC-Endpunktrichtlinien](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html) werden nicht unterstützt.
+ Benutzerdefinierte Domains werden für die Endpunkte von Anmeldeinformationsanbietern nicht unterstützt.
+ Für VPC-Endpoints, die für den AWS IoT Core Anmeldeinformationsanbieter erstellt wurden, unterstützt die Verwendung zonaler oder regionaler öffentlicher DNS-Einträge AWS IoT Core nicht.
## Skalierung von VPC-Endpunkten mit AWS IoT Core
AWS IoT Core Schnittstellen-VPC-Endpunkte sind auf 100.000 verbundene Geräte über einen einzigen Schnittstellenendpunkt begrenzt. Wenn Ihr Anwendungsfall mehr gleichzeitige Verbindungen zum Broker erfordert, empfehlen wir, mehrere VPC-Endpunkte zu verwenden und Ihre Geräte manuell über Ihre Schnittstellenendpunkte zu routen. Achten Sie beim Erstellen von privaten DNS-Datensätzen für die Weiterleitung von Datenverkehr zu Ihren VPC-Endpunkten darauf, so viele gewichtete Datensätze zu erstellen, wie Sie VPC-Endpunkte haben, um den Verkehr auf Ihre verschiedenen Endpunkte zu verteilen.
## Verwenden von benutzerdefinierten Domains mit VPC-Endpunkten
Wenn Sie benutzerdefinierte Domains mit VPC-Endpunkten verwenden möchten, müssen Sie Ihre benutzerdefinierten Domainnameneinträge in einer privaten gehosteten Zone und Routing-Datensätze in Route53 erstellen. Weitere Informationen finden Sie unter [Erstellen einer privat gehosteten Zone](https://docs.aws.amazon.com//Route53/latest/DeveloperGuide/hosted-zone-private-creating.html).
**Anmerkung**
Benutzerdefinierte Domänen werden nur für AWS IoT Core Datenendpunkte unterstützt.
## Verfügbarkeit von VPC-Endpunkten für AWS IoT Core
AWS IoT Core Schnittstellen-VPC-Endpunkte sind in allen [AWS IoT Core unterstützten](https://aws.amazon.com//about-aws/global-infrastructure/regional-product-services/) Regionen verfügbar. AWS IoT Core VPC-Schnittstellen-Endpunkte für den AWS IoT Core Anmeldeinformationsanbieter werden in der Region China und nicht unterstützt. AWS GovCloud (US) Regions