Configuration - AWS IoT Core
Création d’un objet IoTCréez un IAM rôle à utiliser comme rôle sur votre appareilCréez une politique gérée personnalisée pour qu'un IAM utilisateur puisse utiliser Device AdvisorCréation d'un IAM utilisateur pour utiliser Device AdvisorConfigurer votre appareil

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration

Avant d'utiliser Device Advisor pour la première fois, effectuez les tâches suivantes :

Création d’un objet IoT

Tout d'abord, créez un objet IoT et associez un certificat. Pour un didacticiel sur la création d'objets, voir Création d'un d'objet.

Créez un IAM rôle à utiliser comme rôle sur votre appareil

Note

Vous pouvez rapidement créer le rôle d'appareil à l'aide de la console Device Advisor. Pour savoir comment configurer le rôle de votre appareil avec la console Device Advisor, consultez Commencer à utiliser Device Advisor dans la console.

  1. Accédez à la AWS Identity and Access Management console et connectez-vous à celle que Compte AWS vous utilisez pour tester Device Advisor.

  2. Dans le panneau de navigation de gauche, choisissez Politiques.

  3. Choisissez Create Policy (Créer une politique).

  4. Sous Review Policy (Examiner une politique), procédez comme suit :

    1. Pour Service, choisissez loT.

    2. Sous Actions, effectuez l'une des opérations suivantes :

      • (Recommandé) Sélectionnez les actions en fonction de la politique associée à l'objet ou au certificat IoT que vous avez créé dans la section précédente.

      • Recherchez les actions suivantes dans Filter action (Action de filtrage) et sélectionnez-les :

        • Connect

        • Publish

        • Subscribe

        • Receive

        • RetainPublish

    3. Sous Ressources, limitez le client, le sujet et les ressources du sujet. Restreindre ces ressources constitue une bonne pratique de sécurité. Pour limiter les ressources, procédez comme suit :

      1. Choisissez Spécifier la ressource client ARN pour l'action Connect.

      2. Choisissez Ajouter ARN, puis effectuez l'une des opérations suivantes :

        Note

        clientIdIl s'agit de l'ID MQTT client que votre appareil utilise pour interagir avec Device Advisor.

        • Spécifiez la région, l'AccountID et le ClientID dans l'éditeur visuel. ARN

        • Entrez manuellement les Amazon Resource Names (ARNs) des sujets IoT avec lesquels vous souhaitez exécuter vos scénarios de test.

      3. Choisissez Ajouter.

      4. Choisissez Spécifier la ressource thématique ARN pour la réception et une autre action.

      5. Choisissez Ajouter ARN, puis effectuez l'une des opérations suivantes :

        Note

        Le nom du sujet est le MQTT sujet dans lequel votre appareil publie des messages.

        • Spécifiez la région, l'AccountID et le nom de la rubrique dans l'éditeur visuel. ARN

        • Entrez manuellement ARNs les sujets IoT avec lesquels vous souhaitez exécuter vos scénarios de test.

      6. Choisissez Ajouter.

      7. Choisissez Spécifier la topicFilter ressource ARN pour l'action S'abonner.

      8. Choisissez Ajouter ARN, puis effectuez l'une des opérations suivantes :

        Note

        Le nom de la rubrique est la MQTT rubrique à laquelle votre appareil est abonné.

        • Spécifiez la région, l'AccountID et le nom de la rubrique dans l'éditeur visuel. ARN

        • Entrez manuellement ARNs les sujets IoT avec lesquels vous souhaitez exécuter vos scénarios de test.

      9. Choisissez Ajouter.

  5. Choisissez Suivant : Balises.

  6. Choisissez Suivant : Vérification.

  7. Sous Review policy, (Examiner une politique), saisissez un Nom pour votre politique.

  8. Choisissez Create Policy (Créer une politique).

  9. Dans le panneau de navigation de gauche, choisissez Rôles.

  10. Choisissez Create Role (Créer le rôle).

  11. Sous Select trusted entity (Sélectionner une entité de confiance) , choisissez Custom trust policy. (Stratégie de confiance personnalisée)

  12. Entrez la politique de confiance suivante dans le champ Custom trust policy (Politique de confiance personnalisée) Ajoutez les clés de condition globale aws:SourceArn et aws:SourceAccount à la politique pour vous protéger contre le problème de l’adjoint confus.

    Important

    Votre aws:SourceArn doit se conformer à la section format: arn:aws:iotdeviceadvisor:region:account-id:*. Assurez-vous que region correspond à votre AWS IoT région et que account-id correspond à votre numéro de compte client. Pour plus d’informations, consultez Prévention du problème de l’adjoint confus entre services.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAwsIoTCoreDeviceAdvisor",
            "Effect": "Allow",
            "Principal": {
                "Service": "iotdeviceadvisor.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:iotdeviceadvisor:*:111122223333:suitedefinition/*"
                }
            }
        }
    ]
}

  13. Choisissez Suivant.

  14. Choisissez la politique que vous avez créée à l'étape 4.

  15. (Facultatif) Sous Définir la limite d'autorisations, choisissez Utiliser une limite des autorisations pour contrôler les autorisations de rôle maximales, puis sélectionnez la stratégie que vous avez créée.

  16. Choisissez Suivant.

  17. Entrez un nom de rôle et une description.

  18. Sélectionnez Créer un rôle.

Créez une politique gérée personnalisée pour qu'un IAM utilisateur puisse utiliser Device Advisor

  1. Accédez à la console IAM à l'adresse https://console.aws.amazon.com/iam/. Si vous y êtes invité, saisissez vos informations d'identification AWS .

  2. Dans le panneau de navigation de gauche, choisissez Politiques.

  3. Choisissez Create Policy, puis sélectionnez l'JSONonglet.

  4. Ajoutez les autorisations nécessaires pour utiliser Device Advisor. Le document de politique se trouve dans la rubrique Bonnes pratiques en matière de sécurité.

  5. Choisissez Review Policy (Examiner une stratégie).

  6. Saisissez un Name (Nom) et une Description.

  7. Choisissez Create Policy (Créer une stratégie).

Création d'un IAM utilisateur pour utiliser Device Advisor

Note

Nous vous recommandons de créer un IAM utilisateur à utiliser lorsque vous exécutez des tests Device Advisor. L'exécution de tests Device Advisor par un utilisateur administrateur peut présenter des risques de sécurité et n'est donc pas recommandée.

  1. Accédez à la IAM console sur https://console.aws.amazon.com/iam/Si vous y êtes invité, entrez vos AWS informations d'identification pour vous connecter.

  2. Dans le volet de navigation de gauche, choisissez Utilisateurs.

  3. Sélectionnez Ajouter un utilisateur.

  4. Entrez un nom d'utilisateur.

  5. Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui y accède AWS.

    Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.

    Quel utilisateur a besoin d’un accès programmatique ? Pour Par

    Identité de la main-d’œuvre

    (Utilisateurs gérés dans IAM Identity Center)

    		 Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs.

    Suivez les instructions de l’interface que vous souhaitez utiliser.
    IAM Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. Suivez les instructions de la section Utilisation d'informations d'identification temporaires avec les AWS ressources du Guide de IAM l'utilisateur.
    IAM

    (Non recommandé)

    Utilisez des informations d'identification à long terme pour signer des demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs.

    Suivez les instructions de l’interface que vous souhaitez utiliser.

  6. Sélectionnez Next: Permissions (Étape suivante : autorisations).

  7. Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

  8. Entrez le nom de la politique gérée par le client que vous avez créée dans la zone de recherche. Cochez ensuite la case Nom de la stratégie.

  9. Choisissez Suivant : Balises.

  10. Choisissez Next: Review (Suivant : Vérification).

  11. Choisissez Create user.

  12. Choisissez Close (Fermer).

Device Advisor a besoin d'accéder à vos AWS ressources (objets, certificats et terminaux) en votre nom. Votre IAM utilisateur doit disposer des autorisations nécessaires. Device Advisor publiera également des journaux sur Amazon CloudWatch si vous associez la politique d'autorisation nécessaire à votre IAM utilisateur.

Configurer votre appareil

Device Advisor utilise l'TLSextension d'indication du nom du serveur (SNI) pour appliquer TLS les configurations. Les appareils doivent utiliser cette extension lorsqu'ils se connectent et transmettent un nom de serveur identique à celui du point de terminaison de test Device Advisor.

Device Advisor autorise la TLS connexion lorsqu'un test est en Running cours. Il refuse la TLS connexion avant et après chaque test. C'est pourquoi nous vous recommandons d'utiliser le mécanisme de nouvelle tentative de connexion de l'appareil pour une expérience de test entièrement automatisée avec Device Advisor. Vous pouvez exécuter des suites de tests qui incluent plusieurs scénarios de test, tels que TLS connect, MQTT connect et MQTT publish. Si vous exécutez plusieurs scénarios de test, nous recommandons que votre appareil essaie de se connecter à notre point de terminaison de test toutes les cinq secondes. Vous pouvez ensuite automatiser l'exécution de plusieurs scénarios de test en séquence.

Note

Pour préparer le logiciel de votre appareil à des fins de test, nous vous recommandons d'utiliser un logiciel SDK auquel vous pouvez vous connecter AWS IoT Core. Vous devez ensuite le mettre à jour SDK avec le point de terminaison de test Device Advisor fourni pour votre Compte AWS.

Device Advisor prend en charge deux types de points de terminaison : les points de terminaison au niveau du compte et au niveau de l'appareil. Choisissez le point de terminaison qui correspond le mieux à votre cas d’utilisation. Pour exécuter simultanément plusieurs suites de tests pour différents appareils, utilisez un point de terminaison au niveau de l'appareil.

Exécutez la commande suivante pour obtenir le point de terminaison au niveau de l'appareil :

Pour les MQTT clients utilisant des certificats client X.509 :

aws iotdeviceadvisor get-endpoint --thing-arn your-thing-arn

or

aws iotdeviceadvisor get-endpoint --certificate-arn your-certificate-arn

Pour les WebSocket clients utilisant MQTT plus de Signature Version 4 :

aws iotdeviceadvisor get-endpoint --device-role-arn your-device-role-arn --authentication-method SignatureVersion4

Pour exécuter une suite de tests à la fois, choisissez un point de terminaison au niveau du compte. Exécutez la commande suivante pour obtenir le point de terminaison au niveau du compte :

aws iotdeviceadvisor get-endpoint