Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Sûreté des transports dans AWS IoT Core
TLS(Transport Layer Security) est un protocole cryptographique conçu pour sécuriser les communications sur un réseau informatique. Le AWS IoT Core Device Gateway oblige les clients à chiffrer toutes les communications pendant le transport en les utilisant TLS pour les connexions entre les appareils et la passerelle. TLSest utilisé pour garantir la confidentialité des protocoles d'application (MQTTHTTP, et WebSocket) pris en charge par AWS IoT Core. TLSle support est disponible dans un certain nombre de langages de programmation et de systèmes d'exploitation. Données contenues dans AWS est crypté par le AWS service. Pour plus d'informations sur le cryptage des données sur d'autres AWS services, consultez la documentation de sécurité relative à ce service.
Table des matières
TLSprotocoles
AWS IoT Core prend en charge les versions suivantes du TLS protocole :
-
TLS1.3
-
TLS1.2
Avec AWS IoT Core, vous pouvez configurer les TLS paramètres (pour TLS1.2
Stratégies de sécurité
Une politique de sécurité est une combinaison de TLS protocoles et de leurs chiffrements qui déterminent quels protocoles et chiffrements sont pris en charge lors des TLS négociations entre un client et un serveur. Vous pouvez configurer vos appareils pour utiliser des politiques de sécurité prédéfinies en fonction de vos besoins. Notez que AWS IoT Core ne prend pas en charge les politiques de sécurité personnalisées.
Vous pouvez choisir l'une des politiques de sécurité prédéfinies pour vos appareils lorsque vous les connectez à AWS IoT Core. Les noms des politiques de sécurité prédéfinies les plus récentes dans AWS IoT Core inclure des informations sur les versions en fonction de l'année et du mois de leur publication. La stratégie de sécurité prédéfinie par défaut est IoTSecurityPolicy_TLS13_1_2_2022_10. Pour définir une politique de sécurité, vous pouvez utiliser AWS IoT console ou AWS CLI. Pour plus d'informations, consultezConfiguration des paramètres TLS dans les configurations de domaine.
Le tableau suivant décrit les dernières politiques de sécurité prédéfinies qui AWS IoT Core soutient. Le IotSecurityPolicy_ a été supprimé des noms de stratégie dans la ligne d'en-tête afin qu'ils correspondent.
| Politique de sécurité | TLS13_1_3_2022_10 | TLS13_1_2_2022_10 | TLS12_1_2_2022_10 | TLS12_1_0_2016_01* | TLS12_1_0_2015_01* | ||
|---|---|---|---|---|---|---|---|
| TCPPort |
443/8443/8883 |
443/8443/8883 |
443/8443/8883 |
443 | 8443/8883 | 443 | 8443/8883 |
| TLSProtocoles | |||||||
| TLS1.2 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| TLS1.3 | ✓ | ✓ | |||||
| TLSChiffrements | |||||||
| TLS_ AES GCM _128_ _ SHA256 | ✓ | ✓ | |||||
| TLS_ AES GCM _256_ _ SHA384 | ✓ | ✓ | |||||
| TLS_ CHACHA2 0_ 05_ POLY13 SHA256 | ✓ | ✓ | |||||
| ECDHE-RSA-AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES256-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| DHE-RSA-AES256-SHA | ✓ | ✓ | |||||
| ECDHE-ECDSA-AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES256-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
Note
TLS12_1_0_2016_01n'est disponible que dans les pays suivants Régions AWS: ap-east-1, ap-northeast-2, ap-south-1, ap-southeast-2, ap-southeast-2, ca-central-1, cn-nord-1, cn-northwest-1, eu-nord-1, eu-ouest-2, eu-west-3 west-3, me-south-1, sa-east-1, us-east-2, -1, -2, us-west-1. us-gov-west us-gov-west
TLS12_1_0_2015_01n'est disponible que dans les pays suivants Régions AWS: ap-northeast-1, ap-southeast-1, eu-central-1, eu-west-1, us-est-1, us-west-2.
Remarques importantes pour la sécurité des transports dans AWS IoT Core
Pour les appareils qui se connectent à AWS IoT Core en utilisant MQTT, TLS chiffre la connexion entre les appareils et le courtier, et AWS IoT Core utilise l'authentification TLS du client pour identifier les appareils. Pour plus d’informations, consultez Authentification client. Pour les appareils qui se connectent à AWS IoT Core en utilisant HTTP, TLS chiffre la connexion entre les appareils et le courtier, et l'authentification est déléguée à AWS Version de signature 4. Pour plus d'informations, consultez la section Signature des demandes avec Signature version 4 dans le AWS Référence générale.
Lorsque vous connectez des appareils à AWS IoT Core, l'envoi de l'extension Server Name Indication (SNI)host_name champ. Le champ host_name doit contenir le point de terminaison que vous invoquez. Ce point de terminaison doit être l'un des éléments suivants :
-
L’adresse
endpointAddressrenvoyée paraws iot describe-endpoint--endpoint-type iot:Data-ATS -
L’adresse
domainNamerenvoyée paraws iot describe-domain-configuration–-domain-configuration-name " domain_configuration_name"
Les connexions tentées par des appareils dont la host_name valeur est incorrecte ou non valide échoueront. AWS IoT Core enregistrera les échecs CloudWatch pour le type d'authentification de l'authentification personnalisée.
AWS IoT Core ne prend pas en charge l'SessionTicket TLSextension
Sécurité du transport pour les appareils LoRa WAN sans fil
LoRaWANles appareils respectent les pratiques de sécurité décrites dans LoRaWAN™ SECURITY : un livre blanc préparé pour l' LoRa Alliance™ par Gemalto, Actility et Semtech
Pour plus d'informations sur la sécurité du transport avec des LoRa WAN appareils, consultez la section Sécurité LoRa WAN des données et du transport.
