Device-Advisor-VPC-Endpunkte (AWS PrivateLink) - AWS IoT Core
Überlegungen zu AWS IoT Core Device Advisor VPC-EndpunktenErstellen eines Schnittstellen-VPC-Endpunkts für AWS IoT Core Device AdvisorSteuerung des Zugriffs auf AWS IoT Core Device Advisor über VPC-Endpunkte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Device-Advisor-VPC-Endpunkte (AWS PrivateLink)

Sie können eine private Verbindung zwischen Ihrer VPC und dem AWS IoT Core Device Advisor Testendpunkt (Datenebene) herstellen, indem Sie einen VPC-Schnittstellen-Endpunkt erstellen. Sie können diesen Endpunkt verwenden, um die zuverlässige und sichere Konnektivität von AWS IoT Geräten zu überprüfen, AWS IoT Core bevor Sie sie in der Produktion einsetzen. Die vorgefertigten Tests von Device Advisor helfen Ihnen dabei, Ihre Gerätesoftware anhand von Best Practices für die Verwendung von TLS-, MQTT-, Device Shadow- und AWS IoT -Aufträgen zu validieren.

AWS PrivateLinkversorgt die Schnittstellenendpunkte, die mit Ihren IoT-Geräten verwendet werden. Über diesen Service können Sie privat auf den AWS IoT Core Device Advisor -Testendpunkt zugreifen, ohne Internet-Gateway, NAT-Gerät, VPN-Verbindung oder AWS Direct Connect -Verbindung. Instances in Ihrer VPC, die TCP- und MQTT-Pakete senden, benötigen keine öffentlichen IP-Adressen, um mit AWS IoT Core Device Advisor Testendpunkten zu kommunizieren. Verkehr zwischen Ihrer VPC und AWS IoT Core Device Advisor geht nicht. AWS Cloud Jegliche TLS- und MQTT-Kommunikation zwischen IoT-Geräten und Device-Advisor-Testfällen bleibt innerhalb der Ressourcen in Ihrem AWS-Konto.

Jeder Schnittstellenendpunkt wird durch eine oder mehrere Elastic Network-Schnittstellen in Ihren Subnetzen dargestellt.

Weitere Informationen zur Verwendung von Schnittstelllen-VPC-Endpunkten finden Sie unter Schnittstellen-VPC-Endpunkte (AWS PrivateLink) im Amazon-VPC-Benutzerhandbuch.

Überlegungen zu AWS IoT Core Device Advisor VPC-Endpunkten

Bevor Sie Schnittstellen-VPC-Endpunkte einrichten, lesen Sie über die Eigenschaften und Einschränkungen von Schnittstellenendpunkten im Amazon-VPC-Benutzerhandbuch nach. Beachten Sie Folgendes, bevor Sie fortfahren:

  • AWS IoT Core Device Advisor unterstützt derzeit Aufrufe an den Device Advisor-Testendpunkt (Datenebene) von Ihrer VPC aus. Ein Message Broker verwendet Kommunikation auf Datenebene, um Daten zu senden und zu empfangen. Dies geschieht mithilfe von TLS- und MQTT-Paketen. VPC-Endpunkte für die AWS IoT Core Device Advisor Verbindung Ihres AWS IoT Geräts mit Device Advisor-Testendpunkten. API-Aktionen der Steuerebene werden von diesem VPC-Endpunkt nicht verwendet. Verwenden Sie die Konsole, ein AWS SDK oder eine AWS Befehlszeilenschnittstelle über das öffentliche Internet, um eine Testsuite oder andere APIs für die Steuerungsebene zu erstellen oder auszuführen.

  • Die folgenden AWS-Regionen unterstützen VPC-Endpunkte für: AWS IoT Core Device Advisor

    • USA Ost (Nord-Virginia)

    • USA West (Oregon)

    • Asien-Pazifik (Tokio)

    • Europa (Irland)

  • Device Advisor unterstützt MQTT mit X.509-Clientzertifikaten und RSA-Serverzertifikaten.

  • VPC-Endpunktrichtlinien werden derzeit nicht unterstützt.

  • Anweisungen zum Erstellen von Ressourcen, die VPC-Endpunkte verbinden, finden Sie unter Voraussetzungen für VPC-Endpunkte. Sie müssen eine VPC und private Subnetze erstellen, um AWS IoT Core Device Advisor VPC-Endpoints verwenden zu können.

  • Es gibt Kontingente für Ihre Ressourcen. AWS PrivateLink Weitere Informationen finden Sie unter AWS PrivateLink -Kontingente.

  • VPC-Endpunkte unterstützen nur IPv4-Datenverkehr.

Erstellen eines Schnittstellen-VPC-Endpunkts für AWS IoT Core Device Advisor

Erstellen Sie einen Schnittstellen-VPC-Endpunkt, um erste Schritte mit VPC-Endpunkten zu unternehmen. Wählen Sie AWS IoT Core Device Advisor als Nächstes als AWS-Service. Wenn Sie den verwenden AWS CLI, rufen Sie an, describe-vpc-endpoint-servicesum zu bestätigen, dass er AWS IoT Core Device Advisor sich in einer Availability Zone in Ihrem befindet AWS-Region. Vergewissern Sie sich, dass die dem Endpunkt zugeordnete Sicherheitsgruppe die TCP-Protokollkommunikation für MQTT- und TLS-Datenverkehr zulässt. Verwenden Sie zum Beispiel in der Region USA Ost (Nord-Virginia) den folgenden Befehl: 

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.deviceadvisor.iot

Sie können einen VPC-Endpunkt für die AWS IoT Core Verwendung des folgenden Dienstnamens erstellen:

  • com.amazonaws.region.deviceadvisor.iot

Standardmäßig ist privates DNS für den Endpunkt aktiviert. Dadurch wird sichergestellt, dass der Standard-Testendpunkt weiterhin in Ihren privaten Subnetzen verwendet wird. Verwenden Sie die Konsole oder ein AWS SDK, um Ihren Endpunkt auf Konto AWS CLI - oder Geräteebene zu erhalten. Wenn Sie beispielsweise get-endpoint in einem öffentlichen Subnetz oder im öffentlichen Internet ausführen, können Sie Ihren Endpunkt abrufen und ihn verwenden, um eine Verbindung zu Device Advisor herzustellen. Weitere Informationen finden Sie unter Zugriff auf einen Service über einen Schnittstellenendpunkt im Benutzerhandbuch für Amazon VPC.

Um MQTT-Clients mit den VPC-Endpunktschnittstellen zu verbinden, erstellt der AWS PrivateLink Dienst DNS-Einträge in einer privaten gehosteten Zone, die an Ihre VPC angeschlossen ist. Diese DNS-Einträge leiten die Anforderungen des AWS IoT -Geräts an den VPC-Endpunkt weiter.

Steuerung des Zugriffs auf AWS IoT Core Device Advisor über VPC-Endpunkte

Sie können den Gerätezugriff auf VPC-Endpunkte einschränken AWS IoT Core Device Advisor und den Zugriff nur über VPC-Endpunkte zulassen, indem Sie VPC-Bedingungskontextschlüssel verwenden. AWS IoT Core unterstützt die folgenden VPC-bezogenen Kontextschlüssel:

Anmerkung

AWS IoT Core Device Advisor unterstützt derzeit keine VPC-Endpunktrichtlinien.

Die folgende Richtlinie gewährt die Erlaubnis, AWS IoT Core Device Advisor mithilfe einer Client-ID, die dem Namen des Dings entspricht, eine Verbindung herzustellen. Außerdem veröffentlicht sie zu jedem Thema, dem der Dingname vorangestellt ist. Die Richtlinie ist abhängig davon, dass das Gerät eine Verbindung zu einem VPC-Endpunkt mit einer bestimmten VPC-Endpunkt-ID herstellt. Diese Richtlinie verweigert Verbindungsversuche zu Ihrem öffentlichen AWS IoT Core Device Advisor -Testendpunkt. 

{
"Version": "2012-10-17",
    "Statement": [
        {
"Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
            ],
            "Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-1a2b3c4d"
                }
            }
            
        },
        {
"Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*"
            ]
        }
    ]
}