Uso AWS IoT Core con puntos finales de VPC de interfaz - AWS IoT Core
Creación de puntos finales de VPC para el plano de datos AWS IoT CoreCreación de puntos de conexión de VPC para el proveedor de credenciales de AWS IoT CoreCreación de un punto de conexión de interfaz de Amazon VPCConfiguración de una zona alojada privadaControl del acceso a AWS IoT Core más de puntos finales de VPCLimitacionesEscalar los puntos finales de VPC con AWS IoT CoreUso de dominios personalizados con puntos de conexión de VPCDisponibilidad de puntos finales de VPC para AWS IoT Core

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso AWS IoT Core con puntos finales de VPC de interfaz

Con AWS IoT Core, puede crear puntos de enlace de datos de IoT dentro de su nube privada virtual (VPC) mediante puntos de enlace de VPC de interfaz. Los puntos finales de VPC de interfaz funcionan con una AWS tecnología que puede utilizar para acceder a los servicios en los que se ejecutan AWS mediante direcciones IP privadas. AWS PrivateLink Para obtener más información, consulte Amazon Virtual Private Cloud.

Para conectar dispositivos sobre el terreno en redes remotas, como una red corporativa, a su Amazon VPC, consulte las opciones que se muestran en la matriz de conectividad de la red a Amazon VPC.

Creación de puntos finales de VPC para el plano de datos AWS IoT Core

Puede crear un punto final de VPC para la API del plano de AWS IoT Core datos para conectar sus dispositivos a AWS IoT servicios y otros AWS servicios. Para empezar con los puntos de enlace de VPC, cree un punto de enlace de VPC de interfaz y selecciónelo como servicio. AWS IoT Core AWS Si utiliza la CLI, llame primero a describe-vpc-endpoint-services para asegurarse de que está eligiendo una zona de disponibilidad en la que esté presente en su entorno particular. AWS IoT Core Región de AWS Por ejemplo, en us-east-1, este comando tendría el siguiente aspecto:

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.data
nota

La característica VPC para crear automáticamente un registro DNS está desactivada. Para conectarse a estos puntos de conexión, debe crear manualmente un registro DNS privado. Para obtener más información sobre los registros DNS de la VPC privada, consulte DNS privado para puntos de conexión de interfaz. Para obtener más información sobre las limitaciones de la AWS IoT Core VPC, consulte. Limitaciones

Para conectar clientes MQTT a las interfaces de punto de conexión de VPC:

  • Dentro de su zona alojada privada, cree un registro de alias para cada IP de interfaz de red elástica para el punto de conexión de VPC. Si tiene varias IP de interfaz de red para varios puntos de conexión de VPC, cree registros DNS ponderados con pesos iguales en todos los registros ponderados. Estas direcciones IP están disponibles en la llamada a la API de DescribeNetworkInterfaces cuando se filtran por el ID del punto final de la VPC en el campo de descripción.

Consulte las instrucciones detalladas que aparecen a continuación para crear un punto final de interfaz de Amazon VPC y configurar una zona alojada privada para el plano de AWS IoT Core datos.

Creación de puntos de conexión de VPC para el proveedor de credenciales de AWS IoT Core

Puede crear un punto final de VPC para que el proveedor de AWS IoT Core credenciales conecte los dispositivos mediante la autenticación basada en certificados de cliente y obtenga AWS credenciales temporales en AWS formato Signature Version 4. Para empezar a utilizar los puntos de enlace de VPC para el proveedor de AWS IoT Core credenciales, ejecute el comando CLI create-vpc-endpoint para crear un punto de enlace de VPC de interfaz y seleccione el proveedor de credenciales como servicio. AWS IoT Core AWS Para asegurarse de elegir una zona de disponibilidad que esté presente en la suya, ejecute primero el comando AWS IoT Core describe-vpc-endpoint-services. Región de AWS Por ejemplo, en us-east-1, este comando tendría el siguiente aspecto:

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.credentials
nota

La característica VPC para crear automáticamente un registro DNS está desactivada. Para conectarse a estos puntos de conexión, debe crear manualmente un registro DNS privado. Para obtener más información sobre los registros DNS de la VPC privada, consulte DNS privado para puntos de conexión de interfaz. Para obtener más información sobre las limitaciones de la AWS IoT Core VPC, consulte. Limitaciones

Para conectar los clientes HTTP a las interfaces de punto de conexión de VPC:

  • Dentro de su zona alojada privada, cree un registro de alias para cada IP de interfaz de red elástica para el punto de conexión de VPC. Si tiene varias IP de interfaz de red para varios puntos de conexión de VPC, cree registros DNS ponderados con pesos iguales en todos los registros ponderados. Estas direcciones IP están disponibles en la llamada a la API de DescribeNetworkInterfaces cuando se filtran por el ID del punto final de la VPC en el campo de descripción.

Consulte las instrucciones detalladas que aparecen a continuación para crear un punto final de interfaz de Amazon VPC y configurar una zona alojada privada para el proveedor de AWS IoT Core credenciales.

Creación de un punto de conexión de interfaz de Amazon VPC

Puede crear un punto final de VPC de interfaz para conectarse a los AWS servicios impulsados por. AWS PrivateLink Utilice el siguiente procedimiento para crear un punto final de VPC de interfaz que se conecte al plano de AWS IoT Core datos o al proveedor de AWS IoT Core credenciales. Para obtener más información, consulte Acceder a un AWS servicio mediante un punto final de VPC de interfaz.

nota

Los procesos para crear un punto final de la interfaz de Amazon VPC para el plano de AWS IoT Core datos y el proveedor de AWS IoT Core credenciales son similares, pero debe realizar cambios específicos para que la conexión funcione.

Para crear un punto de conexión de VPC de interfaz utilizando la consola de puntos de conexión de VPC

  1. Vaya a la consola de puntos de conexión de VPC, en Nube virtual privada en el menú de la izquierda, elija Puntos de enlace y después Crear punto de conexión.

  2. En la página Crear punto de conexión, especifique la siguiente información.

    • Elija Servicio de AWS en Categoría de servicio.

    • En Nombre del servicio, busque introduciendo la palabra clave iot. En la lista de servicios de iot que se muestra, elija el punto de conexión.

      Si crea un punto de enlace de VPC para el plano de AWS IoT Core datos, elija el punto de enlace de la API del plano de AWS IoT Core datos para su región. El punto de conexión tendrá el formato com.amazonaws.region.iot.data.

      Si crea un punto de enlace de VPC para el proveedor de AWS IoT Core credenciales, elija el punto de enlace del proveedor de AWS IoT Core credenciales para su región. El punto de conexión tendrá el formato com.amazonaws.region.iot.credentials.

      nota

      El nombre del servicio para el plano AWS IoT Core de datos en la región de China tendrá ese formato. cn.com.amazonaws.region.iot.data La región de China no admite la creación de puntos finales de VPC para el proveedor de AWS IoT Core credenciales.

    • En VPC y Subredes, elija la VPC en la que desee crear el punto de conexión, así como las zonas de disponibilidad (AZ) en las que desee crear la red de puntos de conexión.

    • En Habilitar nombre de DNS, asegúrese de que Habilitar para este punto de conexiónno está seleccionado. Ni el plano AWS IoT Core de datos ni el proveedor de AWS IoT Core credenciales admiten todavía nombres DNS privados.

    • En Grupo de seguridad, elija los grupos de seguridad que deban asociarse a las interfaces de red de punto de conexión.

    • Puede agregar o eliminar etiquetas si lo desea. Las etiquetas son pares de nombre-valor que se utilizan para asociar al punto de conexión.

  3. Para crear su punto de conexión de VPC, elija Crear punto de conexión.

Después de crear el AWS PrivateLink punto final, en la pestaña Detalles del dispositivo, verá una lista de nombres de DNS. Puede utilizar uno de estos nombres DNS que ha creado en esta sección para configurar su zona alojada privada.

Configuración de una zona alojada privada

Puede utilizar uno de estos nombres de DNS que ha creado en la sección anterior para configurar su zona alojada privada.

Para el plano AWS IoT Core de datos

El nombre de DNS debe ser el nombre de configuración de su dominio o su punto de conexión de IoT:Data-ATS. Un nombre DNS de ejemplo puede ser: xxx-ats.data.iot.region.amazonaws.com.

Para el AWS IoT Core proveedor de credenciales

El nombre de DNS debe ser su de conexión de iot:CredentialProvider. Un nombre DNS de ejemplo puede ser: xxxx.credentials.iot.region.amazonaws.com.

nota

Los procesos para configurar la zona alojada privada para el plano de AWS IoT Core datos y el proveedor de AWS IoT Core credenciales son similares, pero debe realizar cambios específicos para que la conexión funcione.

Creación de una zona alojada privada

Para crear una zona alojada privada a través de la consola de Route 53

  1. Vaya a la consola Zonas alojadas de Route 53 y elija Crear zona alojada.

  2. En la página Crear zona alojada, especifique la siguiente información.

    • En Nombre de dominio, introduzca la dirección del punto de conexión de su punto de conexión iot:Data-ATS o iot:CredentialProvider. El siguiente comando de la CLI AWS muestra cómo obtener el punto de conexión a través de una red pública: aws iot describe-endpoint --endpoint-type iot:Data-ATS o aws iot describe-endpoint --endpoint-type iot:CredentialProvider.

      nota

      Si utiliza dominios personalizados, consulte Cómo usar dominios personalizados con puntos de conexión de VPC. El proveedor de AWS IoT Core credenciales no admite dominios personalizados.

    • En la lista Tipo, elija Zona alojada privada.

    • Si lo desea, puede agregar o eliminar etiquetas para asociarlas a su zona alojada.

  3. Para crear su zona alojada privada, seleccione Crear zona alojada.

Para obtener información, consulte Crear una zona alojada privada.

Crear un registro

Una vez que haya creado una zona alojada privada, puede crear un registro que indique al DNS cómo desea que se dirija el tráfico a ese dominio.

Para crear un registro

  1. En la lista de zonas alojadas que se muestra, elija la zona alojada privada que ha creado anteriormente y elija Crear registro.

  2. Utilice el método del asistente para crear el registro. Si la consola presenta el método Creación rápida, elija Cambiar al asistente.

  3. En Enrutamiento sencillo, elija Política de enrutamiento y, a continuación, elija Siguiente.

  4. En Configurar registros, elija Definir un registro simple.

  5. En la página Definir un registro simple:

    • En Nombre del registro, introduzca el punto de conexión iot:Data-ATS o el punto de conexión iot:CredentialProvider. Debe ser el mismo que el nombre de la zona alojada privada.

    • En Tipo de registro, mantenga el valor como A - Routes traffic to an IPv4 address and some AWS resources.

    • En Valor/Dirigir tráfico a, elija Alias del punto de conexión de VPC. A continuación, elija su Región y elija el punto de conexión que creó anteriormente, tal y como se describe en Creación de un punto de conexión de interfaz de Amazon VPC de la lista de puntos de conexión que se muestra.

  6. Elija Definir un registro simple para crear su registro.

Control del acceso a AWS IoT Core más de puntos finales de VPC

Puede restringir el acceso a los dispositivos para que solo se permita AWS IoT Core a través del punto de conexión de la VPC mediante claves de contexto de condición de la VPC. AWS IoT Core admite las siguientes claves de contexto relacionadas con la VPC:

nota

AWS IoT Core no admite políticas de puntos de conexión para puntos de conexión de VPC.

Por ejemplo, la siguiente política concede permiso para conectarse AWS IoT Core mediante un ID de cliente que coincida con el nombre de la cosa y para publicar en cualquier tema con el prefijo del nombre de la cosa, siempre que el dispositivo se conecte a un punto final de VPC con un ID de punto final de VPC concreto. Esta política denegaría los intentos de conexión a su punto de conexión de datos de IoT público.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-1a2b3c4d"
                }
            }
            
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*"
            ]
        }
    ]
}

Limitaciones

Los puntos de conexión de VPC actualmente solo se admiten para los puntos de conexión de datos de AWS IoT Core y los puntos de conexión de los proveedores de credenciales de AWS IoT Core.

Limitaciones de los puntos de conexión de VPC de datos de IoT

En esta sección se describen las limitaciones de los puntos de conexión de VPC de datos de IoT.

  • Los períodos keep-alive de MQTT están limitados a 230 segundos. Los períodos keep-alive que superen esa cantidad se reducirán automáticamente a 230 segundos.

  • Cada punto de conexión de VPC admite un total de 100 000 dispositivos conectados de forma simultánea. Si necesita más conexiones, consulte Escalar los puntos finales de VPC con AWS IoT Core.

  • Los puntos de conexión de VPC solo son compatibles con el tráfico IPv4.

  • Los puntos de conexión de VPC solo entregarán certificados ATS, excepto para los dominios personalizados.

  • Las políticas de punto de conexión de VPC no son compatibles.

  • En el caso de los puntos finales de VPC que se crean para el plano de AWS IoT Core datos, AWS IoT Core no admite el uso de registros DNS públicos zonales o regionales.

Limitaciones de los puntos de conexión de los proveedores de credenciales

En esta sección se describen las limitaciones de los puntos de conexión de VPC de los proveedores de credenciales.

  • Los puntos de conexión de VPC solo son compatibles con el tráfico IPv4.

  • Los puntos de conexión de VPC solo servirán certificados ATS.

  • Las políticas de punto de conexión de VPC no son compatibles.

  • Los dominios personalizados no son compatibles con los puntos de conexión de los proveedores de credenciales.

  • En el caso de los puntos finales de VPC que se crean para el proveedor de AWS IoT Core credenciales, AWS IoT Core no admite el uso de registros DNS públicos zonales o regionales.

Escalar los puntos finales de VPC con AWS IoT Core

AWS IoT Core Los puntos finales de VPC de interfaz están limitados a 100 000 dispositivos conectados en un único punto final de interfaz. Si su caso de uso requiere más conexiones simultáneas con el agente, le recomendamos usar varios puntos de conexión de VPC y enrutar manualmente los dispositivos a través de los puntos de conexión de interfaz. Al crear registros de DNS privados para enrutar el tráfico a sus puntos de conexión de VPC, asegúrese de crear tantos registros ponderados como puntos de conexión de VPC tenga para distribuir el tráfico entre sus múltiples puntos de conexión.

Uso de dominios personalizados con puntos de conexión de VPC

Si desea utilizar dominios personalizados con puntos de conexión de VPC, debe crear sus registros de nombres de dominio personalizados en una zona alojada privada y crear registros de enrutamiento en Route53. Para obtener información, consulte Crear una zona alojada privada.

nota

Los dominios personalizados solo se admiten para los puntos finales de AWS IoT Core datos.

Disponibilidad de puntos finales de VPC para AWS IoT Core

AWS IoT Core Los puntos finales de VPC de interfaz están disponibles en todas las AWS IoT Core regiones compatibles. AWS IoT Core Los puntos finales de VPC de interfaz para el proveedor de AWS IoT Core credenciales no son compatibles en la región de China y. AWS GovCloud (US) Regions