Cree un objeto de &IoT Cree un rol de IAM para utilizarlo como su rol de dispositivo Cree una política administrada de forma personalizada para que un usuario de IAM utilice Device Advisor Cree un usuario de IAM para utilizar Device Advisor Configuración del dispositivo

Configuración

Antes de usar Device Advisor por primera vez, realice las siguientes tareas:

Cree un objeto de &IoT

En primer lugar, cree un objeto IoT y asocie un certificado. Para ver un tutorial sobre cómo crear objetos, consulte Crear un objeto.

Cree un rol de IAM para utilizarlo como su rol de dispositivo

nota

Puede crear rápidamente el rol de dispositivo con la consola de Device Advisor. Para saber cómo configurar su función de dispositivo con la consola de Device Advisor, consulte Introducción a Device Advisor en la consola.

Ve a la AWS Identity and Access Management consola e inicia sesión en la que Cuenta de AWS utilizas para realizar las pruebas de Device Advisor.
En el panel de navegación izquierdo, elija Políticas.
Elija Crear política.
En Crear política, haga lo siguiente:
1. En Servicio, seleccione IoT.
2. En Acciones, elija una de las siguientes opciones:
  - (Recomendado) Seleccione acciones basadas en la política asociada al objeto o certificado IoT que creó en la sección anterior.
  - Busque las siguientes acciones en el cuadro Filtrar acción y selecciónelas:
    - Connect
    - Publish
    - Subscribe
    - Receive
    - RetainPublish
3. En Recursos, restrinja los recursos de cliente y tema. Restringir estos recursos es una de las prácticas recomendadas en materia de seguridad. Para restringir los recursos, haga lo siguiente:
  1. Seleccione Especificar ARN del recurso de cliente para la acción Conectar.
  2. Seleccione Agregar ARN y, a continuación, realice una de las siguientes acciones:
    
    nota
    El clientId es el ID del cliente MQTT que su dispositivo utiliza para interactuar con Device Advisor.
    - Rellene los campos Región, accountID y clientID en el editor ARN visual.
    - Introduzca manualmente los nombres de recursos de Amazon (ARN) de los temas de IoT con los que desee ejecutar sus casos de prueba.
  3. Elija Añadir.
  4. Elija Especificar ARN del recurso del tema para la recepción y una acción más.
  5. Seleccione Agregar ARN y, a continuación, realice una de las siguientes acciones:
    
    nota
    El nombre del tema es el tema MQTT en el que su dispositivo publica los mensajes.
    - Rellene los campos Región, accountID y Nombre del tema en el editor ARN visual.
    - Introduzca manualmente los ARN de los temas de IoT con los que desee ejecutar sus casos de prueba.
  6. Elija Agregar.
  7. Seleccione Especificar ARN del recurso topicFilter para la acción Suscribirse.
  8. Seleccione Agregar ARN y, a continuación, realice una de las siguientes acciones:
    
    nota
    El nombre del tema es el tema MQTT al que su dispositivo se suscribe.
    - Rellene los campos Región, accountID y Nombre del tema en el editor ARN visual.
    - Introduzca manualmente los ARN de los temas de IoT con los que desee ejecutar sus casos de prueba.
  9. Elija Agregar.
Elija Siguiente: etiquetas.
Elija Siguiente: Revisar.
En Revisar política, introduzca un nombre para su política.
Seleccione Crear política.
En el panel de navegación izquierdo, seleccione Roles.
Elija Crear rol.
En Seleccionar entidad de confianza, elija Política de confianza personalizada.

Introduzca la siguiente política de confianza en el cuadro Política de confianza personalizada. Para protegerse contra el problema de la sustitución confusa, agregue las claves contextuales de condición global aws:SourceArn y aws:SourceAccount a la política.

importante

Su aws:SourceArn debe ajustarse a format: arn:aws:iotdeviceadvisor:region:account-id:*.. Asegúrese de que region coincide con su región de AWS IoT y account-id con el ID de su cuenta de cliente. Para obtener más información, consulte Prevención de la sustitución confusa entre servicios.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAwsIoTCoreDeviceAdvisor",
            "Effect": "Allow",
            "Principal": {
                "Service": "iotdeviceadvisor.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:iotdeviceadvisor:*:111122223333:suitedefinition/*"
                }
            }
        }
    ]
}

Elija Siguiente.
Elija la política que creó en el paso 4.
(Opcional) En Establecer límite de permisos, seleccione Utilizar un límite de permisos para controlar los permisos que puede tener el rolo como máximo y, a continuación, seleccione la política que ha creado.
Elija Siguiente.
Introduzca un nombre de rol y una descripción del rol.
Seleccione Crear rol.

Cree una política administrada de forma personalizada para que un usuario de IAM utilice Device Advisor

Desplácese a la consola de IAM en https://console.aws.amazon.com/iam/. Si se le solicita, introduzca sus credenciales de AWS para iniciar sesión.
En el panel de navegación izquierdo, elija Policies (Políticas).
Elija Crear política y, a continuación, elija la pestaña JSON.
Agregue los permisos necesarios para utilizar Device Advisor. El documento de la política se encuentra en el tema Prácticas recomendadas de seguridad.
Elija Revisar la política.
Introduzca un Nombre y una Descripción.
Elija Crear política.

Cree un usuario de IAM para utilizar Device Advisor

nota

Le recomendamos que cree un usuario de IAM para utilizarlo cuando ejecute las pruebas de Device Advisor. Ejecutar las pruebas de Device Advisor desde un usuario administrador puede plantear riesgos de seguridad y no es recomendable.

Navegue hasta la consola de IAM en https://console.aws.amazon.com/iam/. Si se le solicita, introduzca sus credenciales de AWS para iniciar sesión.
En el panel de navegación izquierdo, elija Usuarios.
Elija Add user (Agregar usuario).
Introduzca un nombre de usuario.

Los usuarios necesitan acceso programático si quieren interactuar con personas AWS ajenas a. AWS Management Console La forma de conceder el acceso programático depende del tipo de usuario que acceda. AWS

Para conceder acceso programático a los usuarios, elija una de las siguientes opciones.

¿Qué usuario necesita acceso programático?	Para	De
Identidad del personal (Usuarios administrados en el Centro de identidades de IAM)	Usa credenciales temporales para firmar las solicitudes programáticas a los AWS CLI AWS SDK o las API. AWS	Siga las instrucciones de la interfaz que desea utilizar: Para ello AWS CLI, consulte Configuración del uso AWS IAM Identity Center en AWS CLI la Guía del AWS Command Line Interface usuario. Para obtener AWS información sobre los SDK, las herramientas y AWS las API, consulte la autenticación del IAM Identity Center en la Guía de referencia de AWS los SDK y las herramientas.
IAM	Utilice credenciales temporales para firmar las solicitudes programáticas a los AWS SDK o las AWS CLI API. AWS	Siga las instrucciones de Uso de credenciales temporales con AWS recursos de la Guía del usuario de IAM.
IAM	(No recomendado) Utilice credenciales de larga duración para firmar las solicitudes programáticas a los AWS CLI AWS SDK o las API. AWS	Siga las instrucciones de la interfaz que desea utilizar: Para ello AWS CLI, consulte Autenticación con credenciales de usuario de IAM en la Guía del usuario.AWS Command Line Interface Para obtener información AWS sobre los SDK y las herramientas, consulte Autenticarse con credenciales de larga duración en la Guía de referencia de los AWS SDK y las herramientas. Para obtener información AWS sobre las API, consulte Administrar las claves de acceso para los usuarios de IAM en la Guía del usuario de IAM.

¿Qué usuario necesita acceso programático?

Para

Identidad del personal

(Usuarios administrados en el Centro de identidades de IAM)

Usa credenciales temporales para firmar las solicitudes programáticas a los AWS CLI AWS SDK o las API. AWS

Siga las instrucciones de la interfaz que desea utilizar:

Para ello AWS CLI, consulte Configuración del uso AWS IAM Identity Center en AWS CLI la Guía del AWS Command Line Interface usuario.
Para obtener AWS información sobre los SDK, las herramientas y AWS las API, consulte la autenticación del IAM Identity Center en la Guía de referencia de AWS los SDK y las herramientas.

IAM

Utilice credenciales temporales para firmar las solicitudes programáticas a los AWS SDK o las AWS CLI API. AWS

Siga las instrucciones de Uso de credenciales temporales con AWS recursos de la Guía del usuario de IAM.

IAM

(No recomendado)

Utilice credenciales de larga duración para firmar las solicitudes programáticas a los AWS CLI AWS SDK o las API. AWS

Siga las instrucciones de la interfaz que desea utilizar:

Para ello AWS CLI, consulte Autenticación con credenciales de usuario de IAM en la Guía del usuario.AWS Command Line Interface
Para obtener información AWS sobre los SDK y las herramientas, consulte Autenticarse con credenciales de larga duración en la Guía de referencia de los AWS SDK y las herramientas.
Para obtener información AWS sobre las API, consulte Administrar las claves de acceso para los usuarios de IAM en la Guía del usuario de IAM.

Elija Siguiente: permisos.
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
- Usuarios y grupos en: AWS IAM Identity Center
  
  Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .
- Usuarios administrados en IAM a través de un proveedor de identidades:
  
  Cree un rol para la federación de identidades. Siga las instrucciones de Creación de un rol para un proveedor de identidades de terceros (federación) en la Guía del usuario de IAM.
- Usuarios de IAM:
  - Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.
  - (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.
Introduzca el nombre de la política administrada de forma personalizada que ha creado en el cuadro de búsqueda. A continuación, marque la casilla Nombre de la política.
Elija Siguiente: Etiquetas.
Elija Siguiente: Revisar.
Seleccione la opción Crear usuario.
Elija Close.

Device Advisor requiere el acceso a sus AWS recursos (cosas, certificados y puntos de conexión) en su nombre. Su usuario de IAM debe tener los permisos necesarios. Device Advisor también publicará los registros en Amazon CloudWatch si adjuntas la política de permisos necesaria a tu usuario de IAM.

Configuración del dispositivo

Device Advisor utiliza la extensión TLS de indicación de nombre de servidor (SNI) para aplicar configuraciones de TLS. Los dispositivos deben utilizar esta extensión cuando se conecten y pasen un nombre de servidor que sea idéntico al punto de conexión de prueba de Device Advisor.

Device Advisor permite la conexión TLS cuando una prueba está en el estado Running. Deniega la conexión TLS antes y después de cada prueba. Por esta razón, le recomendamos que utilice el mecanismo de reintento de conexión del dispositivo para una experiencia de prueba totalmente automatizada con Device Advisor. Puede ejecutar conjuntos de pruebas que incluyan más de un caso de prueba, como conexión TLS, conexión MQTT y publicación MQTT. Si ejecuta varios casos de prueba, le recomendamos que su dispositivo intente conectarse a nuestro punto de conexión de prueba cada cinco segundos. A continuación, puede automatizar la ejecución de varios casos de prueba en secuencia.

nota

Para preparar el software de su dispositivo para las pruebas, le recomendamos que utilice un SDK que pueda conectarse a AWS IoT Core. A continuación, deberá actualizar el SDK con el punto de conexión de prueba de Device Advisor proporcionado para su Cuenta de AWS.

Device Advisor admite dos tipos de puntos de conexión: puntos de conexión de nivel de cuenta y de nivel de dispositivo. Elija el punto de conexión que mejor se adapte a su caso. Para ejecutar simultáneamente varios conjuntos de pruebas para distintos dispositivos, utilice un punto de conexión de nivel de dispositivo.

Ejecute el siguiente comando para obtener el punto de conexión de nivel de dispositivo:

Para los clientes de MQTT que utilicen certificados de cliente X.509:


aws iotdeviceadvisor get-endpoint --thing-arn your-thing-arn


aws iotdeviceadvisor get-endpoint --certificate-arn your-certificate-arn

Para los WebSocket clientes de MQTT que utilizan la versión 4 de Signature:


aws iotdeviceadvisor get-endpoint --device-role-arn your-device-role-arn --authentication-method SignatureVersion4

Para ejecutar un conjunto de pruebas a la vez, elija un punto de conexión de nivel de cuenta. Ejecute el siguiente comando para obtener el punto de conexión de nivel cuenta:


aws iotdeviceadvisor get-endpoint

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Asesor de dispositivos

Introducción a Device Advisor en la consola