Consideraciones para los puntos de conexión de VPC de AWS IoT Greengrass Crear un punto de conexión de VPC de interfaz para operaciones del plano de control AWS IoT Greengrass Creación de una política de puntos de conexión de VPC para AWS IoT Greengrass Operación de un dispositivo principal de AWS IoT Greengrass en VPC

AWS IoT Greengrass y puntos de conexión de VPC de interfaz (AWS PrivateLink)

Puede establecer una conexión privada entre la VPC y el plano de control de AWS IoT Greengrass mediante la creación de un punto de conexión de VPC de interfaz. Puede usar este punto de conexión para administrar los componentes, las implementaciones y los dispositivos principales del servicio de AWS IoT Greengrass. Los puntos de conexión de interfaz cuentan con tecnología de AWS PrivateLink que le permite acceder de forma privada a las API de AWS IoT Greengrass sin una puerta de enlace de Internet, un dispositivo NAT, una conexión de VPN o una conexión de AWS Direct Connect. Las instancias de su VPC no necesitan direcciones IP públicas para comunicar con las API de AWS IoT Greengrass. El tráfico entre la VPC y AWS IoT Greengrass no sale de la red de Amazon.

Cada punto de conexión de la interfaz está representado por una o más interfaces de red elásticas en las subredes.

Para obtener más información, consulte Puntos de conexión de la VPC de interfaz (AWS PrivateLink) en la Guía del usuario de Amazon VPC.

Temas

Consideraciones para los puntos de conexión de VPC de AWS IoT Greengrass
Crear un punto de conexión de VPC de interfaz para operaciones del plano de control AWS IoT Greengrass
Creación de una política de puntos de conexión de VPC para AWS IoT Greengrass
Operación de un dispositivo principal de AWS IoT Greengrass en VPC

Consideraciones para los puntos de conexión de VPC de AWS IoT Greengrass

Antes de configurar un punto de conexión de VPC de interfaz para AWS IoT Greengrass, revise las Propiedades y limitaciones de los puntos de conexión de interfaz en la Guía del usuario de Amazon VPC. Además, tenga en cuenta las siguientes consideraciones:

AWS IoT Greengrass admite realizar llamadas a todas sus acciones del plano de control de la API desde su VPC. El plano de control incluye operaciones como CreateDeployment y ListEffectiveDeployments. El plano de control no incluye operaciones como ResolveComponentCandidates y Discover, que son operaciones del plano de datos.
Los puntos de conexión de VPC para AWS IoT Greengrass actualmente no se admiten en las regiones de AWS de China.

Crear un punto de conexión de VPC de interfaz para operaciones del plano de control AWS IoT Greengrass

Puede crear un punto de conexión de VPC para el plano de control de AWS IoT Greengrass mediante la consola de Amazon VPC o la AWS Command Line Interface (AWS CLI). Para más información, consulte Creación de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

Cree un punto de conexión de VPC para AWS IoT Greengrass, mediante el siguiente nombre de servicio:

com.amazonaws.region.greengrass

Si habilita DNS privado para el punto de conexión, puede realizar solicitudes a la API para AWS IoT Greengrass usando su nombre de DNS predeterminado para la región, por ejemplo greengrass.us-east-1.amazonaws.com. El DNS privado está habilitado de forma predeterminada.

Para más información, consulte Acceso a un servicio a través de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

Creación de una política de puntos de conexión de VPC para AWS IoT Greengrass

Puede adjuntar una política de punto de conexión a su punto de conexión de VPC que controle el acceso a las operaciones del plano de control de AWS IoT Greengrass. La política especifica la siguiente información:

La entidad principal que puede realizar acciones.
Acciones que la entidad principal puede realizar.
Los recursos sobre los que la entidad principal puede realizar acciones.

Para obtener más información, consulte Control del acceso a los servicios con puntos de enlace de la VPC en la Guía del usuario de Amazon VPC.

ejemplo Ejemplo: política de punto de conexión de VPC para acciones de AWS IoT Greengrass

A continuación, se muestra un ejemplo de una política de puntos de conexión de AWS IoT Greengrass. Cuando se asocia con un punto de conexión, esta política concede acceso a las acciones de AWS IoT Greengrass mostradas para todas las entidades principales en todos los recursos.


{
    "Statement": [
        {
            "Principal": "*",
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateDeployment",
                "greengrass:ListEffectiveDeployments"
            ],
            "Resource": "*"
        }
    ]
}

Operación de un dispositivo principal de AWS IoT Greengrass en VPC

Puede operar un dispositivo principal de Greengrass y realizar implementaciones en VPC sin acceso público a Internet. Como mínimo, debe configurar los siguientes puntos de conexión de VPC con los alias de DNS correspondientes. Para obtener más información sobre cómo crear y utilizar puntos de conexión de VPC, consulte Crear un punto de conexión de VPC en la Guía del usuario de Amazon VPC.

nota

La característica de VPC para crear automáticamente un registro DNS está deshabilitada para AWS IoT data y credenciales AWS IoT. Para conectarse a estos puntos de conexión, debe crear manualmente un registro DNS privado. Para obtener más información, consulte DNS privado para puntos de conexión de interfaz. Para obtener más información sobre las limitaciones de los puntos de conexión de VPC AWS IoT Core, consulte Limitaciones de puntos de conexión de VPC.

Requisitos previos

Debe instalar el software AWS IoT Greengrass Core siguiendo los pasos de aprovisionamiento manual. Para obtener más información, consulte Instale el software AWS IoT Greengrass principal con aprovisionamiento manual de recursos.

Limitaciones

El funcionamiento de un dispositivo principal de Greengrass en VPC no es compatible en las regiones de China y AWS GovCloud (US) Regions.
Para obtener más información sobre las limitaciones de AWS IoT data y los puntos de conexión de VPC del proveedor de credenciales AWS IoT, consulte Limitaciones.

Configuración de su dispositivo principal de Greengrass para que funcione en VPC

Obtenga los puntos de conexión de AWS IoT para Cuenta de AWS y guárdelos para usarlos más adelante. El dispositivo usa estos puntos de conexión para conectarse a AWS IoT. Haga lo siguiente:
1. Obtenga el punto de conexión de datos de AWS IoT para su Cuenta de AWS.
```
aws iot describe-endpoint --endpoint-type iot:Data-ATS
```
  Si la solicitud se realiza exitosamente, la respuesta se parece al siguiente ejemplo.
```
{
  "endpointAddress": "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
}
```
2. Obtenga el punto de conexión de las credenciales de AWS IoT para su Cuenta de AWS.
```
aws iot describe-endpoint --endpoint-type iot:CredentialProvider
```
  Si la solicitud se realiza exitosamente, la respuesta se parece al siguiente ejemplo.
```
{
  "endpointAddress": "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
}
```
Cree una interfaz de Amazon VPC para AWS IoT data y los puntos de conexión de las credenciales AWS IoT:
1. Vaya a la consola de puntos de conexión de VPC, en Nube virtual privada en el menú de la izquierda, elija Puntos de enlace y después Crear punto de conexión.
2. En la página Crear punto de conexión, especifique la siguiente información.
  - Elija Servicio de AWS en Categoría de servicio.
  - En Nombre del servicio, busque introduciendo la palabra clave iot. En la lista de servicios de iot que se muestra, elija el punto de conexión.
    
    Si crea un punto de conexión de VPC para el plano de datos de AWS IoT Core, elija el punto de conexión de la API del plano de datos de AWS IoT Core para su región. El punto de conexión tendrá el formato com.amazonaws.region.iot.data.
    
    Si crea un punto de conexión de VPC para el proveedor de credenciales de AWS IoT Core, elija el punto de conexión del proveedor de credenciales de AWS IoT Core para su región. El punto de conexión tendrá el formato com.amazonaws.region.iot.credentials.
    
    nota
    El nombre del servicio para el plano de datos de AWS IoT Core en la región de China tendrá el formato cn.com.amazonaws.region.iot.data. La región de China no admite la creación de puntos de conexión de VPC para el proveedor de credenciales de AWS IoT Core.
  - En VPC y Subredes, elija la VPC en la que desee crear el punto de conexión, así como las zonas de disponibilidad (AZ) en las que desee crear la red de puntos de conexión.
  - En Habilitar nombre de DNS, asegúrese de que Habilitar para este punto de conexiónno está seleccionado. Ni el plano de datos de AWS IoT Core ni el proveedor de credenciales de AWS IoT Core admiten todavía nombres DNS privados.
  - En Grupo de seguridad, elija los grupos de seguridad que deban asociarse a las interfaces de red de punto de conexión.
  - Puede agregar o eliminar etiquetas si lo desea. Las etiquetas son pares de nombre-valor que se utilizan para asociar al punto de conexión.
3. Para crear su punto de conexión de VPC, elija Crear punto de conexión.
Después de crear el punto de conexión de AWS PrivateLink, en la pestaña Detalles del punto de conexión, verá una lista de nombres de DNS. Puede utilizar uno de estos nombres DNS que ha creado en esta sección para configurar su zona alojada privada.
Cree un punto de conexión de Amazon S3. Para obtener más información consulte Crear un punto de conexión de VPC de Amazon S3.
Si utiliza los componentes de Greengrass proporcionados por AWS, es posible que se necesiten configuraciones y puntos de conexión adicionales. Para ver los requisitos de los puntos de conexión, seleccione el componente de la lista de componentes proporcionados por AWS y consulte la sección de requisitos. Por ejemplo, los requisitos del componente del administrador de registros indican que este componente debe poder realizar las solicitudes salientes al punto de conexión logs.region.amazonaws.com.

Si utiliza su propio componente, es posible que deba revisar las dependencias y realizar pruebas adicionales para determinar si se requieren puntos de conexión adicionales.
En la configuración del núcleo de Greengrass, greengrassDataPlaneEndpoint debe estar configurado en iotdata. Para obtener más información, consulte la Configuración del núcleo de Greengrass.
Si se encuentra en la región us-east-1, defina el parámetro de configuración s3EndpointType en REGIONAL en la configuración del núcleo de Greengrass. Esta característica está disponible para las versiones 2.11.3 y posteriores del núcleo de Greengrass.

ejemplo Ejemplo: configuración de componentes


{
"aws.greengrass.Nucleus": {
   "configuration": {
      "awsRegion": "us-east-1",
      "iotCredEndpoint": "xxxxxx.credentials.iot.region.amazonaws.com",
      "iotDataEndpoint": "xxxxxx-ats.iot.region.amazonaws.com",
      "greengrassDataPlaneEndpoint": "iotdata",
      "s3EndpointType": "REGIONAL"
      ...
     }
   }
}

En la siguiente tabla, se proporciona información sobre los alias de DNS privados personalizados correspondientes.

Servicio	Nombre del servicio de punto de conexión de VPC	Tipo de punto de conexión de VPC	Alias de DNS privado personalizado	Notas
AWS IoT data	`com.amazonaws.region.iot.data`	Interfaz	`prefix-ats.iot.region.amazonaws.com`	El registro DNS privado debe coincidir con el punto de conexión AWS IoT data de su cuenta: `aws iot describe–endpoint ––endpoint–type iot:Data-ATS`.
Credenciales de AWS IoT	`com.amazonaws.region.iot.credentials`	Interfaz	`prefix.credentials.iot.region.amazonaws.com`	El registro DNS privado debe coincidir con el punto de conexión de credenciales AWS IoT de su cuenta: `aws iot describe–endpoint ––endpoint–type iot:CredentialProvider`.
Amazon S3	`com.amazonaws.region.s3`	Interfaz		El registro DNS se crea automáticamente.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Integridad del código

Prácticas recomendadas de seguridad