Diagnostic des problèmes de connectivité - AWS IoT Core
ConnexionAuthentificationAutorisationSécurité et identité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Diagnostic des problèmes de connectivité

Aidez-nous à améliorer ce sujet

Dites-nous ce qui pourrait contribuer à l'améliorer

Une connexion réussie à AWS IoT nécessite :

  • Une connexion valide

  • Un certificat valide et actif

  • Une politique qui autorise la connexion et le fonctionnement souhaités

Connexion

Comment trouver le bon point de terminaison ?

  • L’adresse endpointAddress renvoyée par aws iot describe-endpoint --endpoint-type iot:Data-ATS

    or

  • L’adresse domainName renvoyée par aws iot describe-domain-configuration –-domain-configuration-name "domain_configuration_name"

Comment puis-je trouver la valeur SNI (Server Name Indication) correcte ?

La valeur SNI correcte est celle endpointAddress renvoyée par describe-endpoint ou domainName renvoyée par les describe-domain-configuration commandes. Il s'agit de la même adresse que celle du point de terminaison de l'étape précédente. Lorsqu'ils connectent des appareils à AWS IoT Core, les clients peuvent envoyer l'extension SNI (Server Name Indication), ce qui n'est pas obligatoire mais fortement recommandé. Pour utiliser des fonctionnalités telles que l'enregistrement multi-comptes, les domaines personnalisés et les points de terminaison d'un VPC, vous devez utiliser l'extension SNI. Pour plus d'informations, voir Sécurité du transport dans AWS IoT.

Comment résoudre un problème de connectivité qui persiste ?

Vous pouvez utiliser AWS Device Advisor pour résoudre les problèmes. Les tests prédéfinis de Device Advisor vous aident à valider le logiciel de votre appareil par rapport aux meilleures pratiques en matière d'utilisation des protocoles TLS, MQTT, AWS IoT Device Shadow, et AWS IoT IoT Jobs.

Voici un lien vers le contenu existant de Device Advisor.

Authentification

Les appareils doivent être authentifiés pour se connecter aux points de AWS IoT terminaison. Pour les appareils utilisés Certificats client X.509 pour l'authentification, les certificats doivent être enregistrés AWS IoT et actifs.

Comment mes appareils authentifient-ils les AWS IoT terminaux ?

Ajoutez le certificat AWS IoT CA au trust store de votre client. Reportez-vous à la documentation sur l'authentification de serveur dans AWS IoT Core et suivez les liens pour télécharger le certificat CA approprié.

Qu'est-ce qui est vérifié lorsqu'un appareil se connecte à AWS IoT ?

Lorsqu'un appareil tente de se connecter à AWS IoT :

  1. AWS IoT vérifie la validité du certificat et de la valeur de l'indication du nom du serveur (SNI).

  2. AWS IoT vérifie que le certificat utilisé est enregistré auprès du AWS IoT compte et qu'il a été activé.

  3. Lorsqu'un appareil tente d'effectuer une action AWS IoT, telle que s'abonner ou publier un message, la politique attachée au certificat utilisé pour se connecter est vérifiée pour confirmer que le terminal est autorisé à effectuer cette action.

Comment puis-je valider un certificat correctement configuré ?

Utilisez la commande OpenSSL s_client pour tester une connexion à un point de terminaison AWS IoT  :

openssl s_client -connect custom_endpoint.iot.aws-region.amazonaws.com:8443 -CAfile CA.pem -cert cert.pem -key privateKey.pem

Pour plus d'informations sur l'utilisation d'openssl s_client, consultez la documentation OpenSSL s_client.

Comment puis-je vérifier le statut d'un certificat ?
  • Répertoriez les certificats.

    Si vous ne connaissez pas l'ID de certificat, vous pouvez consulter l'état de tous vos certificats à l'aide de la aws iot list-certificates commande.

  • Afficher les détails d'un certificat

    Si vous connaissez l'ID du certificat, cette commande affiche des informations plus détaillées sur le certificat.

    aws iot describe-certificate --certificate-id "certificateId"
  • Vérifiez le certificat dans la AWS IoT console

    Dans la AWS IoT console, dans le menu de gauche, choisissez Sécurisé, puis Certificats.

    Choisissez le certificat dans la liste pour ouvrir sa page de détail..

    Sur la page détaillée du certificat, vous pouvez voir son statut actuel.

    Le statut du certificat peut être modifié à l'aide du menu Actions en haut à droite de la page de détails.

Autorisation

AWS IoT ressources utilisées AWS IoT Core politiques pour autoriser ces ressources à effectuer des actions. Pour qu'une action soit autorisée, les AWS IoT ressources spécifiées doivent être associées à un document de politique autorisant l'exécution de cette action.

J'ai reçu une réponse PUBNACK ou SUBNACK de l'agent. Que puis-je faire ?

Assurez-vous qu'une politique est attachée au certificat que vous utilisez pour appeler AWS IoT. Toutes les opérations de publication/abonnement sont rejetées par défaut.

Assurez-vous que la politique ci-jointe autorise les actions que vous essayez d'effectuer.

Assurez-vous que la politique ci-jointe autorise les ressources qui tentent d'effectuer les actions autorisées.

J'ai une entrée AUTHORIZATION_FAILURE dans mes journaux.

Assurez-vous qu'une politique est attachée au certificat que vous utilisez pour appeler AWS IoT. Toutes les opérations de publication/abonnement sont rejetées par défaut.

Assurez-vous que la politique ci-jointe autorise les actions que vous essayez d'effectuer.

Assurez-vous que la politique ci-jointe autorise les ressources qui tentent d'effectuer les actions autorisées.

Comment puis-je vérifier ce que la politique autorise ?

Dans la AWS IoT console, dans le menu de gauche, choisissez Sécurisé, puis Certificats.

Choisissez le certificat dans la liste pour ouvrir sa page de détail..

Sur la page détaillée du certificat, vous pouvez voir son statut actuel.

Dans le menu de gauche de la page de détails du certificat, choisissez Politiques pour voir les politiques attachées au certificat.

Choisissez la politique de votre choix afin d'afficher sa page de détails.

Sur la page de détails de la politique, consultez le document de politique de la politique pour voir ce qu'il autorise.

Choisissez Modifier le document de stratégie pour apporter des modifications au document de stratégie.

Sécurité et identité

Lorsque vous fournissez les certificats de serveur pour une configuration de domaine AWS IoT personnalisée, les certificats ont un maximum de quatre noms de domaine.

Pour plus d’informations, consultez Points de terminaison et quotas AWS IoT Core.