Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Gerätekommunikationsprotokolle
AWS IoT Core unterstützt Geräte und Clients, die die Protokolle MQTT und MQTT over WebSocket Secure (WSS) verwenden, um Nachrichten zu veröffentlichen und zu abonnieren, Geräte und Clients, die das HTTPS-Protokoll zum Veröffentlichen von Nachrichten verwenden, und die Direct Messaging API, um Nachrichten an bestimmte verbundene Clients zu senden. Alle Protokolle unterstützen IPv4 und IPv6. In diesem Abschnitt werden die verschiedenen Verbindungsoptionen für Geräte und Kunden beschrieben.
Versionen des TLS-Protokolls
AWS IoT Core verwendet TLS
AWS IoT Geräte-SDKs unterstützen MQTT und MQTT over WSS und unterstützen die Sicherheitsanforderungen von Client-Verbindungen. Wir empfehlen die Verwendung von AWS IoT Geräte-SDKs, um Clients mit dem AWS IoT zu verbinden.
Protokolle, Port-Zuweisungen und Authentifizierung
Wie ein Gerät oder ein Client eine Verbindung zum Message Broker herstellt, kann mithilfe eines Authentifizierungstyps konfiguriert werden. Standardmäßig oder wenn keine SNI-Erweiterung gesendet wird, basiert die Authentifizierungsmethode auf dem Anwendungsprotokoll, dem Port und der TLS-Erweiterung Application Layer Protocol Negotiation (ALPN), die Geräte verwenden. In der folgenden Tabelle ist die erwartete Authentifizierung auf der Grundlage von Port, Port und ALPN aufgeführt.
| Protocol (Protokoll) | Unterstützte Operationen | Authentifizierung | Port | ALPN-Protokollname |
|---|---|---|---|---|
|
MQTT über WebSocket |
Veröffentlichen, Abonnieren | Signaturversion 4 | 443 |
N/A |
|
MQTT vorbei WebSocket |
Veröffentlichen, Abonnieren | Benutzerdefinierte Authentifizierung | 443 |
N/A |
|
MQTT |
Veröffentlichen, Abonnieren |
X.509 Client-Zertifikat |
443† |
|
| MQTT | Veröffentlichen, Abonnieren | X.509 Client-Zertifikat | 8883 | N/A |
|
MQTT |
Veröffentlichen, Abonnieren |
Benutzerdefinierte Authentifizierung |
443† |
|
|
HTTPS |
Nur veröffentlichen |
Signaturversion 4 |
443 |
N/A |
|
HTTPS |
Nur veröffentlichen |
X.509 Client-Zertifikat |
443† |
|
| HTTPS | Nur veröffentlichen | X.509 Client-Zertifikat | 8443 | N/A |
| HTTPS | Nur veröffentlichen | Benutzerdefinierte Authentifizierung | 443 | N/A |
ALPN (Application Layer Protocol Negotiation)
† Bei Verwendung von Standard-Endpunktkonfigurationen müssen Clients, die sich über Port 443 mit X.509 Client-Zertifikatsauthentifizierung verbinden, die TLS-Erweiterung Application Layer Protocol Negotiation (ALPN)ClientHello
Auf Port 443 unterstützt der IoT:Data-ATSEndpunkt ALPN x-amzn-http-ca HTTP, der Endpunkt jedoch nicht. IoT:Jobs
An Port 8443 HTTPS und Port 443 MQTT mit ALPN x-amzn-mqtt-ca kann die benutzerdefinierte Authentifizierung nicht verwendet werden.
Clients stellen eine Verbindung zu ihren Geräteendpunkten her. AWS-Konto Informationen darüber, wie Sie die Geräteendpunkte Ihres Kontos finden, finden Sie unter AWS IoT Gerätedaten und Dienstendpunkte.
Anmerkung
AWS SDKs benötigen nicht die gesamte URL. Sie benötigen nur den Endpunkt-Hostnamen, z. B. das pubsub.pyBeispiel für AWS IoT Device SDK for Python on GitHub
|
Protocol (Protokoll) |
Endpunkt oder URL |
|---|---|
|
MQTT |
|
|
MQTT over WSS |
|
|
HTTPS |
|
Wählen Sie ein Anwendungsprotokoll für die Kommunikation mit Ihrem Gerät
Für den Großteil der IoT-Gerätekommunikation über die Geräteendpunkte sollten Sie die Protokolle Secure MQTT oder MQTT over WebSocket Secure (WSS) verwenden. Die Geräteendpunkte unterstützen jedoch auch HTTPS.
In der folgenden Tabelle wird verglichen, wie die beiden High-Level-Protokolle (MQTT und HTTPS) für die Gerätekommunikation AWS IoT Core verwendet werden.
|
Funktion |
||
|---|---|---|
|
Publish/Subscribe Unterstützung |
Veröffentlichen und Abonnieren |
Nur veröffentlichen |
|
SDK-Unterstützung |
AWS Geräte-SDKs unterstützen die Protokolle MQTT und WSS |
Keine SDK-Unterstützung, aber Sie können sprachspezifische Methoden verwenden, um HTTPS-Anfragen zu stellen |
|
Qualität der Service-Unterstützung |
QoS wird durch die Übergabe eines Abfragezeichenfolge-Parameter ?qos=qos unterstütz, dessen Wert 0 oder 1 sein kann. Sie können diese Abfragezeichenfolge hinzufügen, um eine Nachricht mit dem gewünschten QoS-Wert zu veröffentlichen. |
|
| Können empfangene Nachrichten verpasst werden, während das Gerät offline war | Ja | Nein |
|
Unterstützung von |
Ja |
Nein |
|
Erkennung von Geräteunterbrechungen |
Ja |
Nein |
|
Sichere Kommunikationen |
Ja. Siehe Protokolle, Port-Zuweisungen und Authentifizierung |
Ja. Siehe Protokolle, Port-Zuweisungen und Authentifizierung |
|
Themendefinitionen |
Anwendung definiert |
Anwendung definiert |
|
Format der Nachrichtendaten |
Anwendung definiert |
Anwendung definiert |
| Protokoll-Overhead | Niedriger | Höher |
| Stromverbrauch | Niedriger | Höher |
Wählen Sie einen Authentifizierungstyp für Ihre Gerätekommunikation
Sie können den Authentifizierungstyp für Ihren IoT-Endpunkt mithilfe konfigurierbarer Endpunkte konfigurieren. Verwenden Sie alternativ die Standardkonfiguration und legen Sie fest, wie sich Ihre Geräte mit der Kombination aus Anwendungsprotokoll, Port und ALPN TLS-Erweiterung authentifizieren. Der von Ihnen gewählte Authentifizierungstyp bestimmt, wie sich Ihre Geräte authentifizieren, wenn sie eine Verbindung herstellen. AWS IoT Core Es gibt fünf Authentifizierungstypen:
X.509 Zertifikat
Authentifizieren Sie Geräte mithilfe von X.509 Client-Zertifikaten, wodurch die Authentifizierung des Geräts AWS IoT Core bestätigt wird. Dieser Authentifizierungstyp funktioniert mit den Protokollen Secure MQTT (MQTT over TLS) und HTTPS.
X.509 Zertifikat mit benutzerdefiniertem Authorizer
Authentifizieren Sie Geräte mithilfe von X.509 Client-Zertifikaten und führen Sie zusätzliche Authentifizierungsaktionen mithilfe eines benutzerdefinierten Autorisierers durch, der Informationen zum X.509 Client-Zertifikat empfängt. Dieser Authentifizierungstyp funktioniert mit den Protokollen Secure MQTT (MQTT over TLS) und HTTPS. Dieser Authentifizierungstyp ist nur mit konfigurierbaren Endpunkten mit X.509 benutzerdefinierter Authentifizierung möglich. Es gibt keine ALPN-Option.
AWS Signatur Version 4 (SigV4)
Authentifizieren Sie Geräte mit Cognito oder Ihrem Backend-Service und unterstützen Sie so den Verbund von sozialen Netzwerken und Unternehmen. Dieser Authentifizierungstyp funktioniert mit den Protokollen MQTT over WebSocket Secure (WSS) und HTTPS.
Benutzerdefinierter Autorisierer
Authentifizieren Sie Geräte, indem Sie eine Lambda-Funktion konfigurieren, um benutzerdefinierte Authentifizierungsinformationen zu verarbeiten, an die gesendet werden. AWS IoT Core Dieser Authentifizierungstyp funktioniert mit den Protokollen Secure MQTT (MQTT over TLS), HTTPS und MQTT over WebSocket Secure (WSS).
Standard
Authentifizieren Sie Geräte auf der Grundlage der von den Geräten verwendeten ALPN-Erweiterung (Port and/or Application Layer Protocol Negotiation). Einige zusätzliche Authentifizierungsoptionen werden nicht unterstützt. Weitere Informationen finden Sie unter Protokolle, Port-Zuweisungen und Authentifizierung.
Die folgende Tabelle zeigt alle unterstützten Kombinationen von Authentifizierungstypen und Anwendungsprotokollen.
| Authentifizierungstyp | Sicheres MQTT (MQTT über TLS) | MQTT über WebSocket Secure (WSS) | HTTPS | Standard |
|---|---|---|---|---|
| X.509 Zertifikat | ✓ | ✓ | ||
| X.509 Zertifikat mit benutzerdefiniertem Authorizer | ✓ | ✓ | ||
| AWS Signatur Version 4 (Sigv4) | ✓ | ✓ | ||
| Benutzerdefinierter Autorisierer | ✓ | ✓ | ✓ | |
| Standard | ✓ |
Einschränkungen der Verbindungsdauer
Es kann nicht garantiert werden, dass HTTPS-Verbindungen länger dauern als die Zeit, die für den Empfang und die Beantwortung von Anfragen benötigt wird.
Die Dauer der MQTT-Verbindung ist von der Authentifizierungsfunktion abhängig, die Sie verwenden. In der folgenden Tabelle ist die maximale Verbindungsdauer unter idealen Bedingungen für jede Funktion aufgeführt.
|
Feature |
Maximale Dauer * |
|---|---|
|
X.509 Client-Zertifikat |
1 bis 2 Wochen |
|
Benutzerdefinierte Authentifizierung |
1 bis 2 Wochen |
|
Signaturversion 4 |
Bis zu 24 Stunden |
* Nicht garantiert
Bei X.509 Zertifikaten und benutzerdefinierter Authentifizierung gibt es keine feste Grenze für die Verbindungsdauer, sie kann jedoch nur wenige Minuten betragen. Verbindungsunterbrechungen können aus verschiedenen Gründen auftreten. Die folgende Liste enthält einige der gängigsten Gründe.
-
Wi-Fi Unterbrechungen der Verfügbarkeit
-
Verbindungsunterbrechungen des Internetdienstanbieters (ISP)
-
Service-Patches
-
Dienstbereitstellungen
-
Service Auto Scaling
-
Nicht verfügbarer Dienst-Host
-
Load Balancer-Probleme und -Aktualisierungen
-
Client-side Fehler
Ihre Geräte müssen Strategien zur Erkennung von Verbindungsabbrüchen und zur Wiederherstellung der Verbindung implementieren. Informationen zu Trennungsereignissen und Anleitungen, wie Sie damit umgehen können, finden Sie in Ereignisse im Lebenszyklus unter Connect/Disconnect Ereignisse.
