Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Einrichtung
Führen Sie die folgenden Schritte aus, bevor Sie Device Advisor zum ersten Mal verwenden:
Erstellen eines IoT-Dings
Erstellen Sie zunächst ein IoT-Ding und fügen Sie diesem Ding ein Zertifikat hinzu. Ein Tutorial zum Erstellen von Dingen finden Sie unter Create a thing object (Erstellen eines Dingobjekts).
Erstellen einer IAM-Rolle, die Sie als Ihre Geräterolle verwenden möchten
Anmerkung
Sie können die Geräterolle mit der Device-Advisor-Konsole schnell erstellen. Informationen zum Einrichten Ihrer Geräterolle mit der Device-Advisor-Konsole finden Sie unter Getting started with the Device Advisor in the console.
-
Gehen Sie zur AWS Identity and Access Management Konsole
und melden Sie sich bei dem an, den AWS-Konto Sie für Device Advisor-Tests verwenden. -
Wählen Sie im linken Navigationsbereich die Option Richtlinien aus.
-
Wählen Sie Richtlinie erstellen aus.
-
Gehen Sie unter Richtlinie erstellen wie folgt vor:
-
Wählen Sie unter Service die Option IoT aus.
-
Führen Sie unter Aktionen eine der folgenden Aktionen aus.
-
(Empfohlen) Wählen Sie Aktionen auf der Grundlage der Richtlinie aus, die dem IoT-Ding oder dem IoT-Zertifikat zugeordnet ist, das Sie im vorherigen Abschnitt erstellt haben.
-
Suchen Sie im Feld Filteraktion nach den folgenden Aktionen und wählen Sie sie aus:
-
Connect -
Publish -
Subscribe -
Receive -
RetainPublish
-
-
-
Schränken Sie unter Ressourcen die Ressourcen für Client und Thema ein. Die Einschränkung dieser Ressourcen ist eine bewährte Sicherheitsmethode. Gehen Sie wie folgt vor, um Ressourcen einzuschränken:
-
Wählen Sie Specify client resource ARN for the Connect action (Client-Ressourcen-ARN für die Connect-Aktion angeben) aus.
-
Wählen Sie ARN hinzufügen aus und führen Sie dann einen der folgenden Schritte aus:
Anmerkung
Die clientId ist die MQTT-Client-ID, die Ihr Gerät für die Interaktion mit Device Advisor verwendet.
-
Geben Sie die Region, die accountID und die clientID im visuellen ARN-Editor an.
-
Geben Sie manuell die Amazon-Ressourcennamen (ARNs) der IoT-Themen ein, mit denen Sie Ihre Testfälle ausführen möchten.
-
-
Wählen Sie Hinzufügen aus.
-
Wählen Specify topic resource ARN for the Receive and one more action (ARN der Themenressource für den Receive und eine weitere Aktion angeben) aus.
-
Wählen Sie ARN hinzufügen aus und führen Sie dann einen der folgenden Schritte aus:
Anmerkung
Der Themenname ist das MQTT-Thema, zu dem Ihr Gerät Nachrichten veröffentlicht.
-
Geben Sie die Region, die accountID und den Themennamen im visuellen ARN-Editor an.
-
Geben Sie manuell die ARNs der IoT-Themen ein, mit denen Sie Ihre Testfälle ausführen möchten.
-
-
Wählen Sie Hinzufügen aus.
-
Wählen Sie Specify topicFilter resource ARN for the Subscribe action (ARN der topicFilter-Ressource für die Subscribe-Aktion angeben) aus.
-
Wählen Sie ARN hinzufügen aus und führen Sie dann einen der folgenden Schritte aus:
Anmerkung
Der Themenname ist das MQTT-Thema, das Ihr Gerät abonniert.
-
Geben Sie die Region, die accountID und den Themennamen im visuellen ARN-Editor an.
-
Geben Sie manuell die ARNs der IoT-Themen ein, mit denen Sie Ihre Testfälle ausführen möchten.
-
-
Wählen Sie Hinzufügen aus.
-
-
-
Wählen Sie Next: Tags (Weiter: Tags) aus.
-
Klicken Sie auf Weiter: Prüfen.
-
Geben Sie unter Richtlinie überprüfen einen Namen für Ihre Richtlinie ein.
-
Wählen Sie Richtlinie erstellen aus.
-
Wählen Sie im linken Navigationsbereich Rollen aus.
-
Wählen Sie Create Role (Rolle erstellen) aus.
-
Wählen Sie unter Vertrauenswürdige Entitäten auswählen die Option Benutzerdefinierte Vertrauensrichtlinie aus.
-
Geben Sie die folgende Vertrauensrichtlinie in das Feld Benutzerdefinierte Vertrauensrichtlinie ein. Verwenden Sie die globalen Konditionsschlüssel
aws:SourceArnundaws:SourceAccountfür die Richtlinie, um vor dem Confused-Deputy-Problem zu schützen.Wichtig
Ihr
aws:SourceArnmuss mit demformat: arn:aws:iotdeviceadvisor:konform sein. Stellen Sie sicher, dassregion:account-id:*.regionaccount-id{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAwsIoTCoreDeviceAdvisor", "Effect": "Allow", "Principal": { "Service": "iotdeviceadvisor.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": "arn:aws:iotdeviceadvisor:*:111122223333:suitedefinition/*" } } } ] } -
Wählen Sie Weiter aus.
-
Wählen Sie die Richtlinie aus, den Sie in Schritt 4 erstellt haben.
-
(Optional) Wählen Sie unter Berechtigungsgrenze festlegen die Option Use a permissions boundary to control the maximum role permissions (Eine Berechtigungsgrenze verwenden, um die maximalen Rollenberechtigungen zu kontrollieren) aus und dann die Richtlinie, die Sie erstellt haben.
-
Wählen Sie Weiter aus.
-
Geben Sie einen Rollennamen und eine Rollenbeschreibung an.
-
Wählen Sie Rolle erstellen aus.
Erstellen einer individuell verwalteten Richtlinie für einen IAM-Benutzer zur Verwendung von Device Advisor
-
Navigieren Sie unter https://console.aws.amazon.com/iam/
zur IAM-Konsole. Geben Sie bei Aufforderung Ihre AWS -Anmeldeinformationen ein. -
Wählen Sie im linken Navigationsbereich Richtlinien aus.
-
Wählen Sie Richtlinie erstellen und anschließend die Registerkarte JSON aus.
-
Fügen Sie die erforderlichen Berechtigungen hinzu, um Device Advisor zu verwenden. Das Richtliniendokument finden Sie im Thema Bewährte Methoden für die Sicherheit.
-
Wählen Sie Review policy (Richtlinie überprüfen) aus.
-
Geben Sie Name (Name) und Description (Beschreibung) ein.
-
Wählen Sie Richtlinie erstellen aus.
Erstellen eines IAM-Benutzers für die Verwendung von Device Advisor
Anmerkung
Wir empfehlen, einen IAM-Benutzer für die Ausführung von Device-Advisor-Tests zu erstellen. Das Ausführen von Device-Advisor-Tests als Administratorbenutzer kann Sicherheitsrisiken bergen und wird nicht empfohlen.
-
Navigieren Sie zur IAM-Konsole unter https://console.aws.amazon.com/iam/
. Geben Sie bei Aufforderung Ihre AWS -Anmeldeinformationen ein. -
Wählen Sie im linken Navigationsbereich Benutzer aus.
-
Wählen Sie Benutzer hinzufügen.
-
Geben Sie einen Benutzernamen ein.
-
Benutzer benötigen programmgesteuerten Zugriff, wenn sie mit AWS außerhalb des AWS Management Console interagieren möchten. Die Art und Weise, wie programmatischer Zugriff gewährt wird, hängt vom Benutzertyp ab, der zugreift. AWS
Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.
Welcher Benutzer benötigt programmgesteuerten Zugriff? Bis Von Mitarbeiteridentität
(Benutzer, die in IAM Identity Center verwaltet werden)
Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an die AWS CLI, AWS SDKs oder APIs zu signieren. AWS Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.
-
Informationen zu den AWS CLI finden Sie unter Konfiguration der AWS CLI zu AWS IAM Identity Center verwendenden im AWS Command Line Interface Benutzerhandbuch.
-
Informationen zu AWS SDKs, Tools und AWS APIs finden Sie unter IAM Identity Center-Authentifizierung im Referenzhandbuch für AWS SDKs und Tools.
IAM Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an die AWS CLI, AWS SDKs oder APIs zu signieren. AWS Folgen Sie den Anweisungen unter Verwenden temporärer Anmeldeinformationen mit AWS Ressourcen im IAM-Benutzerhandbuch. IAM (Nicht empfohlen)
Verwenden Sie langfristige Anmeldeinformationen, um programmatische Anfragen an die AWS CLI, AWS SDKs oder APIs zu signieren. AWSBefolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.
-
Informationen dazu finden Sie unter Authentifizierung mithilfe von IAM-Benutzeranmeldedaten im Benutzerhandbuch. AWS CLIAWS Command Line Interface
-
Informationen zu AWS SDKs und Tools finden Sie unter Authentifizieren mit langfristigen Anmeldeinformationen im Referenzhandbuch für AWS SDKs und Tools.
-
Informationen zu AWS APIs finden Sie unter Verwaltung von Zugriffsschlüsseln für IAM-Benutzer im IAM-Benutzerhandbuch.
-
-
Wählen Sie Weiter: Berechtigungen aus.
-
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in: AWS IAM Identity Center
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
-
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Verbund) im IAM-Benutzerhandbuch.
-
IAM-Benutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen IAM-Benutzer im IAM-Benutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.
-
-
-
Geben Sie in das Suchfeld den Namen der individuell verwalteten Richtlinie ein, die Sie erstellt haben. Aktivieren Sie dann das Kontrollkästchen für Richtliniennamen.
-
Wählen Sie Next: Tags (Weiter: Tags) aus.
-
Klicken Sie auf Next: Review (Weiter: Prüfen).
-
Wählen Sie Create user aus.
-
Klicken Sie auf Schließen.
Device Advisor benötigt in Ihrem Namen Zugriff auf Ihre AWS Ressourcen (Dinge, Zertifikate und Endpunkte). Ihr IAM-Benutzer muss über die nötigen Berechtigungen verfügen. Device Advisor veröffentlicht auch Protokolle auf Amazon, CloudWatch wenn Sie Ihrem IAM-Benutzer die erforderlichen Berechtigungsrichtlinien zuordnen.
Konfigurieren Ihres Geräts
Device Advisor nutzt die TLS-Erweiterung für die Servernamenindikation (SNI), um TLS-Konfigurationen anzuwenden. Geräte müssen diese Erweiterung verwenden, wenn sie eine Verbindung herstellen und einen Servernamen übergeben, der mit dem Device-Advisor-Testendpunkt identisch ist.
Device Advisor ermöglicht die TLS-Verbindung, wenn sich ein Test im Running-Status befindet. Es verweigert die TLS-Verbindung vor und nach jedem Testlauf. Aus diesem Grund empfehlen wir, den Mechanismus zur Wiederholung der Geräteverbindung zu verwenden, um ein vollautomatisches Testerlebnis mit Device Advisor zu gewährleisten. Sie können Testsuiten ausführen, die mehr als einen Testfall enthalten, z. B. TLS Connect, MQTT Connect und MQTT Publish. Wenn Sie mehrere Testfälle ausführen, empfehlen wir, dass Ihr Gerät versucht, alle fünf Sekunden eine Verbindung zu unserem Testendpunkt herzustellen. Sie können dann die Ausführung mehrerer Testfälle nacheinander automatisieren.
Anmerkung
Um Ihre Gerätesoftware für das Testen vorzubereiten, empfehlen wir Ihnen, ein SDK zu verwenden, das eine Verbindung zu AWS IoT Core herstellen kann. Anschließend sollten Sie das SDK mit dem Device-Advisor-Testendpunkt aktualisieren, der für Ihr AWS-Konto bereitgestellt wurde.
Device Advisor unterstützt zwei Arten von Endpunkten: Endpunkte auf Kontoebene und Endpunkte auf Geräteebene. Wählen Sie den Endpunkt aus, der Ihrem Anwendungsfall am besten entspricht. Um mehrere Testsuiten für verschiedene Geräte gleichzeitig auszuführen, verwenden Sie einen Endpunkt auf Geräteebene.
Führen Sie den folgenden Befehl aus, um den Endpunkt auf Geräteebene abzurufen:
Für MQTT-Kunden, die X.509-Client-Zertifikate verwenden:
aws iotdeviceadvisor get-endpoint --thing-arnyour-thing-arn
or
aws iotdeviceadvisor get-endpoint --certificate-arnyour-certificate-arn
Für WebSocket MQTT-Kunden, die Signature Version 4 verwenden:
aws iotdeviceadvisor get-endpoint --device-role-arnyour-device-role-arn--authentication-method SignatureVersion4
Um jeweils eine Testsuite auszuführen, wählen Sie einen Endpunkt auf Kontoebene. Führen Sie den folgenden Befehl aus, um den Endpunkt auf Kontoebene abzurufen:
aws iotdeviceadvisor get-endpoint
