Consideraciones para los puntos de conexión de VPC de AWS IoT Greengrass Crear un punto de conexión de VPC de interfaz para operaciones del plano de control AWS IoT Greengrass Creación de una política de puntos de conexión de VPC para AWS IoT Greengrass Opere un dispositivo AWS IoT Greengrass central en VPC

AWS IoT Greengrass y puntos de conexión de VPC de interfaz (AWS PrivateLink)

Puede establecer una conexión privada entre la VPC y el plano de control deAWS IoT Greengrass mediante la creación de un punto de conexión de VPC de interfaz. Puede usar este punto final para administrar los componentes, las implementaciones y los dispositivos principales del AWS IoT Greengrass servicio. Los puntos de conexión de interfaz cuentan con tecnología de AWS PrivateLink que le permite acceder de forma privada a las API de AWS IoT Greengrass sin una puerta de enlace de Internet, un dispositivo NAT, una conexión de VPN o una conexión de AWS Direct Connect. Las instancias de su VPC no necesitan direcciones IP públicas para comunicar con las API de AWS IoT Greengrass. El tráfico entre la VPC y AWS IoT Greengrass no sale de la red de Amazon.

Cada punto de conexión de la interfaz está representado por una o más interfaces de red elásticas en las subredes.

Para obtener más información, consulte Puntos de conexión de la VPC de interfaz (AWS PrivateLink) en la Guía del usuario de Amazon VPC.

Temas

Consideraciones para los puntos de conexión de VPC de AWS IoT Greengrass
Crear un punto de conexión de VPC de interfaz para operaciones del plano de control AWS IoT Greengrass
Creación de una política de puntos de conexión de VPC para AWS IoT Greengrass
Opere un dispositivo AWS IoT Greengrass central en VPC

Consideraciones para los puntos de conexión de VPC de AWS IoT Greengrass

Antes de configurar un punto de conexión de VPC de interfaz para AWS IoT Greengrass, revise las Propiedades y limitaciones de los puntos de conexión de interfaz en la Guía del usuario de Amazon VPC. Además, tenga en cuenta las siguientes consideraciones:

AWS IoT Greengrass admite realizar llamadas a todas sus acciones de la API de plano de control desde su VPC. El plano de control incluye operaciones como CreateDeploymenty ListEffectiveDeployments. El plano de control no incluye operaciones como ResolveComponentCandidates Discover, que son operaciones del plano de datos.
Los puntos de conexión de VPC para AWS IoT Greengrass actualmente no se admiten en las regiones de AWS de China.

Crear un punto de conexión de VPC de interfaz para operaciones del plano de control AWS IoT Greengrass

Puede crear un punto de conexión de VPC para el plano de control AWS IoT Greengrass mediante la consola de Amazon VPC o la AWS Command Line Interface (AWS CLI). Para obtener más información, consulte Creación de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

Cree un punto de enlace de la VPC para AWS IoT Greengrass, mediante el siguiente nombre de servicio:

com.amazonaws.region.greengrass

Si habilita DNS privado para el punto de enlace, puede realizar solicitudes a la API para AWS IoT Greengrass usando su nombre de DNS predeterminado para la región, por ejemplo greengrass.us-east-1.amazonaws.com. El DNS privado está habilitado de forma predeterminada.

Para obtener más información, consulte Acceso a un servicio a través de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

Creación de una política de puntos de conexión de VPC para AWS IoT Greengrass

Puede adjuntar una política de punto de conexión a su punto de conexión de VPC que controle el acceso a las operaciones del plano de control AWS IoT Greengrass. La política especifica la siguiente información:

La entidad principal que puede realizar acciones.
Acciones que la entidad principal puede realizar.
Los recursos sobre los que la entidad principal puede realizar acciones.

Para obtener más información, consulte Control del acceso a los servicios con puntos de enlace de la VPC en la Guía del usuario de Amazon VPC.

ejemplo Ejemplo: política de punto de conexión de VPC para acciones de AWS IoT Greengrass

A continuación, se muestra un ejemplo de una política de puntos de conexión de AWS IoT Greengrass. Cuando se asocia con un punto de conexión, esta política concede acceso a las acciones de AWS IoT Greengrass mostradas para todas las entidades principales en todos los recursos.


{
    "Statement": [
        {
            "Principal": "*",
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateDeployment",
                "greengrass:ListEffectiveDeployments"
            ],
            "Resource": "*"
        }
    ]
}

Opere un dispositivo AWS IoT Greengrass central en VPC

Puede operar un dispositivo principal de Greengrass y realizar despliegues en una VPC sin acceso público a Internet. Como mínimo, debe configurar los siguientes puntos de enlace de VPC con los alias de DNS correspondientes. Para obtener más información sobre cómo crear y usar puntos de enlace de VPC, consulte Crear un punto de enlace de VPC en la Guía del usuario de Amazon VPC.

nota

La función de VPC para crear automáticamente un registro DNS está deshabilitada para las credenciales AWS IoT data yAWS IoT. Para conectar estos puntos de conexión, debe crear manualmente un registro de DNS privado. Para obtener más información, consulte DNS privado para puntos finales de interfaz. Para obtener más información sobre las limitaciones de la AWS IoT Core VPC, consulte Limitaciones de los puntos finales de la VPC.

Requisitos previos

Debe instalar el software AWS IoT Greengrass principal siguiendo los pasos de aprovisionamiento manual. Para obtener más información, consulte Instale el software AWS IoT Greengrass principal con aprovisionamiento manual de recursos.

Limitaciones

El funcionamiento de un dispositivo principal de Greengrass en VPC no es compatible en las regiones de China y. AWS GovCloud (US) Regions
Para obtener más información sobre las limitaciones de los puntos de AWS IoT data enlace de VPC del proveedor de AWS IoT credenciales, consulte Limitaciones.

Configure su dispositivo principal de Greengrass para que funcione en VPC

Obtenga los AWS IoT puntos finales que desee y guárdelos para usarlos más adelante. Cuenta de AWS El dispositivo utiliza estos puntos finales para conectarse a ellos. AWS IoT Haga lo siguiente:
1. Obtenga el punto final AWS IoT de datos para su. Cuenta de AWS
```
aws iot describe-endpoint --endpoint-type iot:Data-ATS
```
  La respuesta es similar a la del siguiente ejemplo, si la solicitud se realiza correctamente.
```
{
  "endpointAddress": "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
}
```
2. Obtenga el punto final de AWS IoT credenciales para su. Cuenta de AWS
```
aws iot describe-endpoint --endpoint-type iot:CredentialProvider
```
  La respuesta es similar a la del siguiente ejemplo, si la solicitud se realiza correctamente.
```
{
  "endpointAddress": "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
}
```
Cree una interfaz de Amazon VPC para los puntos de enlace AWS IoT data y AWS IoT las credenciales:
1. Vaya a la consola de puntos de conexión de VPC, en Nube virtual privada en el menú de la izquierda, elija Puntos de enlace y después Crear punto de conexión.
2. En la página Crear punto de conexión, especifique la siguiente información.
  - Elija Servicio de AWS en Categoría de servicio.
  - En Nombre del servicio, busque introduciendo la palabra clave iot. En la lista de servicios de iot que se muestra, elija el punto de conexión.
    
    Si crea un punto de conexión de VPC para el plano de datos de AWS IoT Core, elija el punto de conexión de la API del plano de datos de AWS IoT Core para su región. El punto de conexión tendrá el formato com.amazonaws.region.iot.data.
    
    Si crea un punto de conexión de VPC para el proveedor de credenciales de AWS IoT Core, elija el punto de conexión del proveedor de credenciales de AWS IoT Core para su región. El punto de conexión tendrá el formato com.amazonaws.region.iot.credentials.
    
    nota
    El nombre del servicio para el plano de datos de AWS IoT Core en la región de China tendrá el formato cn.com.amazonaws.region.iot.data. La región de China no admite la creación de puntos de conexión de VPC para el proveedor de credenciales de AWS IoT Core.
  - En VPC y Subredes, elija la VPC en la que desee crear el punto de conexión, así como las zonas de disponibilidad (AZ) en las que desee crear la red de puntos de conexión.
  - En Habilitar nombre de DNS, asegúrese de que Habilitar para este punto de conexiónno está seleccionado. Ni el plano de datos de AWS IoT Core ni el proveedor de credenciales de AWS IoT Core admiten todavía nombres DNS privados.
  - En Grupo de seguridad, elija los grupos de seguridad que deban asociarse a las interfaces de red de punto de conexión.
  - Puede agregar o eliminar etiquetas, si lo desea. Las etiquetas son pares de nombre-valor que se utilizan para asociar al punto de conexión.
3. Para crear su punto de conexión de VPC, elija Crear punto de conexión.
Después de crear el punto de conexión de AWS PrivateLink, en la pestaña Detalles del punto de conexión, verá una lista de nombres de DNS. Puede utilizar uno de estos nombres DNS que ha creado en esta sección para configurar su zona alojada privada.
Cree un punto de conexión Amazon S3. Para obtener más información, consulte Crear un punto de enlace de VPC para Amazon S3.
Si utiliza los componentes AWSde Greengrass proporcionados por Greengrass, es posible que se necesiten configuraciones y puntos finales adicionales. Para ver los requisitos de los puntos finales, seleccione el componente de la lista de componentes AWS proporcionados y consulte la sección de requisitos. Por ejemplo, los requisitos del componente del administrador de registros indican que este componente debe poder realizar las solicitudes salientes al punto final. logs.region.amazonaws.com

Si utiliza su propio componente, es posible que deba revisar las dependencias y realizar pruebas adicionales para determinar si se requieren puntos finales adicionales.
En la configuración del núcleo de Greengrass, greengrassDataPlaneEndpoint debe estar configurado en. iotdata Para obtener más información, consulte Configuración del núcleo de Greengrass.
Si se encuentra en la us-east-1 región, s3EndpointType defina el parámetro de configuración REGIONAL en la configuración del núcleo de Greengrass. Esta función está disponible para las versiones 2.11.3 o posteriores del núcleo de Greengrass.

ejemplo Ejemplo: configuración de componentes


{
"aws.greengrass.Nucleus": {
   "configuration": {
      "awsRegion": "us-east-1",
      "iotCredEndpoint": "xxxxxx.credentials.iot.region.amazonaws.com",
      "iotDataEndpoint": "xxxxxx-ats.iot.region.amazonaws.com",
      "greengrassDataPlaneEndpoint": "iotdata",
      "s3EndpointType": "REGIONAL"
      ...
     }
   }
}

La siguiente tabla proporciona información sobre los alias de DNS privados personalizados correspondientes.

Servicio	Nombre del servicio de punto de conexión de VPC	Tipo de punto final de VPC	Alias de DNS privado personalizado	Notas
AWS IoT data	`com.amazonaws.region.iot.data`	Interfaz	`prefix-ats.iot.region.amazonaws.com`	El registro DNS privado debe coincidir con el AWS IoT data punto final de su cuenta:`aws iot describe–endpoint ––endpoint–type iot:Data-ATS`.
Credenciales de AWS IoT	`com.amazonaws.region.iot.credentials`	Interfaz	`prefix.credentials.iot.region.amazonaws.com`	El registro DNS privado debe coincidir con el punto final de AWS IoT las credenciales de su cuenta:`aws iot describe–endpoint ––endpoint–type iot:CredentialProvider`.
Amazon S3	`com.amazonaws.region.s3`	Interfaz		El registro DNS se crea automáticamente.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Integridad código

Prácticas recomendadas de seguridad