AWS IoT Greengrass dan antarmuka titik akhir VPC ()AWS PrivateLink - AWS IoT Greengrass
Pertimbangan untuk titik akhir AWS IoT Greengrass VPCBuat titik akhir VPC antarmuka untuk AWS IoT Greengrass operasi bidang kontrolMembuat kebijakan titik akhir VPC untuk AWS IoT GreengrassMengoperasikan perangkat AWS IoT Greengrass inti di VPC

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS IoT Greengrass dan antarmuka titik akhir VPC ()AWS PrivateLink

Anda dapat membuat koneksi pribadi antara VPC Anda dan bidang AWS IoT Greengrass kontrol dengan membuat titik akhir VPC antarmuka. Anda dapat menggunakan endpoint ini untuk mengelola komponen, penerapan, dan perangkat inti dalam layanan. AWS IoT Greengrass Endpoint antarmuka didukung oleh AWS PrivateLink, teknologi yang memungkinkan Anda mengakses AWS IoT Greengrass APIs secara pribadi tanpa gateway internet, perangkat NAT, koneksi VPN, atau koneksi Direct AWS Connect. Instans di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi. AWS IoT Greengrass APIs Lalu lintas antara VPC Anda dan AWS IoT Greengrass tidak meninggalkan jaringan Amazon.

Setiap titik akhir antarmuka diwakili oleh satu atau beberapa Antarmuka Jaringan Elastis di subnet Anda.

Untuk informasi selengkapnya, lihat Antarmuka VPC endpoint (AWS PrivateLink) dalam Panduan Pengguna Amazon VPC.

Pertimbangan untuk titik akhir AWS IoT Greengrass VPC

Sebelum menyiapkan titik akhir VPC antarmuka AWS IoT Greengrass, tinjau properti dan batasan titik akhir Antarmuka di Panduan Pengguna Amazon VPC. Selain itu, perhatikan pertimbangan berikut:

  • AWS IoT Greengrass mendukung panggilan ke semua tindakan API bidang kontrolnya dari VPC Anda. Pesawat kontrol mencakup operasi seperti CreateDeploymentdan ListEffectiveDeployments. Pesawat kontrol tidak termasuk operasi seperti ResolveComponentCandidatesdan Discover, yang merupakan operasi pesawat data.

  • Titik akhir VPC untuk saat ini tidak AWS IoT Greengrass didukung di Wilayah Tiongkok AWS .

Buat titik akhir VPC antarmuka untuk AWS IoT Greengrass operasi bidang kontrol

Anda dapat membuat titik akhir VPC untuk bidang AWS IoT Greengrass kontrol menggunakan konsol VPC Amazon atau (). AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat Membuat titik akhir antarmuka dalam Panduan Pengguna Amazon VPC.

Buat titik akhir VPC untuk AWS IoT Greengrass menggunakan nama layanan berikut:

  • com.amazonaws. region.greengrass

Jika Anda mengaktifkan DNS pribadi untuk titik akhir, Anda dapat membuat permintaan API untuk AWS IoT Greengrass menggunakan nama DNS default untuk Wilayah, misalnya,. greengrass.us-east-1.amazonaws.com DNS pribadi diaktifkan secara default.

Untuk informasi selengkapnya, lihat Mengakses layanan melalui titik akhir antarmuka dalam Panduan Pengguna Amazon VPC.

Membuat kebijakan titik akhir VPC untuk AWS IoT Greengrass

Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC yang mengontrol akses AWS IoT Greengrass untuk mengontrol operasi pesawat. Kebijakan titik akhir menentukan informasi berikut:

  • Prinsip yang dapat melakukan tindakan.

  • Tindakan yang dapat dilakukan oleh prinsip.

  • Sumber daya yang dapat dilakukan oleh kepala sekolah.

Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan titik akhir VPC dalam Panduan Pengguna Amazon VPC.

contoh Contoh: Kebijakan titik akhir VPC untuk tindakan AWS IoT Greengrass

Berikut ini adalah contoh kebijakan endpoint untuk AWS IoT Greengrass. Saat dilampirkan ke titik akhir, kebijakan ini memberikan akses ke AWS IoT Greengrass tindakan yang tercantum untuk semua prinsipal di semua sumber daya.

{
    "Statement": [
        {
            "Principal": "*",
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateDeployment",
                "greengrass:ListEffectiveDeployments"
            ],
            "Resource": "*"
        }
    ]
}

Mengoperasikan perangkat AWS IoT Greengrass inti di VPC

Anda dapat mengoperasikan perangkat inti Greengrass dan melakukan penerapan di VPC tanpa akses internet publik. Minimal, Anda harus mengatur titik akhir VPC berikut dengan alias DNS yang sesuai. Untuk informasi selengkapnya tentang cara membuat dan menggunakan titik akhir VPC, lihat Membuat titik akhir VPC di Panduan Pengguna Amazon VPC.

catatan

Fitur VPC untuk membuat catatan DNS secara otomatis dinonaktifkan untuk AWS IoT data dan Kredensialnya. AWS IoT Untuk menghubungkan titik akhir ini, Anda harus membuat catatan DNS Pribadi secara manual. Untuk informasi selengkapnya, lihat DNS pribadi untuk titik akhir antarmuka. Untuk informasi selengkapnya tentang batasan AWS IoT Core VPC, lihat Batasan titik akhir VPC.

Prasyarat

Batasan

Siapkan perangkat inti Greengrass Anda untuk beroperasi di VPC

  1. Dapatkan AWS IoT titik akhir untuk Anda Akun AWS, dan simpan untuk digunakan nanti. Perangkat Anda menggunakan titik akhir ini untuk tersambung ke AWS IoT. Lakukan hal-hal berikut:

    1. Dapatkan titik akhir AWS IoT data untuk Anda Akun AWS.

      aws iot describe-endpoint --endpoint-type iot:Data-ATS

      Respons tersebut serupa dengan contoh berikut ini, jika permintaannya berhasil.

      {
  "endpointAddress": "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
}

    2. Dapatkan titik akhir AWS IoT kredensial untuk Anda. Akun AWS

      aws iot describe-endpoint --endpoint-type iot:CredentialProvider

      Respons tersebut serupa dengan contoh berikut ini, jika permintaannya berhasil.

      {
  "endpointAddress": "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
}

  2. Buat antarmuka Amazon VPC untuk AWS IoT data dan titik akhir AWS IoT kredensialnya:

    1. Arahkan ke konsol VPC Endpoints, di bawah Virtual private cloud di menu sebelah kiri, pilih Endpoints lalu Create Endpoint.

    2. Di halaman Buat titik akhir, tentukan informasi berikut.

      • Pilih Layanan AWS s untuk kategori Layanan.

      • Untuk Nama Layanan, cari dengan memasukkan kata kunciiot. Dalam daftar iot layanan yang ditampilkan, pilih titik akhir.

        Jika Anda membuat titik akhir VPC untuk bidang AWS IoT Core data, pilih titik akhir API bidang AWS IoT Core data untuk Wilayah Anda. Titik akhir akan menjadi formatcom.amazonaws.region.iot.data.

        Jika Anda membuat titik akhir VPC untuk penyedia AWS IoT Core kredensi, pilih titik akhir penyedia AWS IoT Core kredensi untuk Wilayah Anda. Titik akhir akan menjadi formatcom.amazonaws.region.iot.credentials.

        catatan

        Nama layanan untuk pesawat AWS IoT Core data di Wilayah Tiongkok akan menjadi cn.com.amazonaws.region.iot.data format. Membuat titik akhir VPC untuk penyedia AWS IoT Core kredensi tidak didukung di Wilayah Tiongkok.

      • Untuk VPC dan Subnet, pilih VPC tempat Anda ingin membuat titik akhir, dan Availability Zones (AZs) tempat Anda ingin membuat jaringan endpoint.

      • Untuk Aktifkan nama DNS, pastikan Aktifkan untuk titik akhir ini tidak dipilih. Baik pesawat AWS IoT Core data maupun penyedia AWS IoT Core kredensi belum mendukung nama DNS pribadi.

      • Untuk grup Keamanan, pilih grup keamanan yang ingin Anda kaitkan dengan antarmuka jaringan titik akhir.

      • Secara opsional, Anda dapat menambah atau menghapus tag. Tag adalah pasangan nama-nilai yang Anda gunakan untuk mengaitkan dengan titik akhir Anda.

    3. Untuk membuat titik akhir VPC Anda, pilih Buat titik akhir.

  3. Setelah Anda membuat AWS PrivateLink titik akhir, di tab Detail titik akhir Anda, Anda akan melihat daftar nama DNS. Anda dapat menggunakan salah satu nama DNS yang Anda buat di bagian ini untuk mengonfigurasi zona host pribadi Anda.

  4. Buat titik akhir Amazon S3. Untuk informasi selengkapnya, lihat Membuat titik akhir VPC untuk Amazon S3.

  5. Jika Anda menggunakan komponen Greengrass AWS-provided, titik akhir dan konfigurasi tambahan mungkin diperlukan. Untuk melihat persyaratan titik akhir, pilih komponen dari daftar komponen AWS yang disediakan dan lihat bagian Persyaratan. Misalnya, persyaratan komponen pengelola log menyarankan bahwa komponen ini harus dapat melakukan permintaan keluar ke titik akhirlogs.region.amazonaws.com.

    Jika Anda menggunakan komponen Anda sendiri, Anda mungkin perlu meninjau dependensi dan melakukan pengujian tambahan untuk menentukan apakah ada titik akhir tambahan yang diperlukan.

  6. Dalam konfigurasi greengrassDataPlaneEndpoint inti Greengrass, harus diatur ke. iotdata Untuk informasi selengkapnya, lihat konfigurasi nukleus Greengrass.

  7. Jika Anda berada di us-east-1 wilayah tersebut, atur parameter konfigurasi s3EndpointType ke REGIONAL dalam konfigurasi inti Greengrass. Fitur ini tersedia untuk Greengrass nucleus versi 2.11.3 atau yang lebih baru.

contoh Contoh: Konfigurasi komponen
{
"aws.greengrass.Nucleus": {
   "configuration": {
      "awsRegion": "us-east-1",
      "iotCredEndpoint": "xxxxxx.credentials.iot.region.amazonaws.com",
      "iotDataEndpoint": "xxxxxx-ats.iot.region.amazonaws.com",
      "greengrassDataPlaneEndpoint": "iotdata",
      "s3EndpointType": "REGIONAL"
      ...
     }
   }
}

Tabel berikut memberikan informasi tentang alias DNS pribadi kustom yang sesuai.

Layanan Nama layanan titik akhir VPC Jenis titik akhir VPC Alias DNS pribadi khusus Catatan

AWS IoT data

com.amazonaws.region.iot.data

Antarmuka

prefix-ats.iot.region.amazonaws.com

Catatan DNS pribadi harus sesuai dengan AWS IoT data titik akhir akun Anda:. aws iot describe–endpoint ––endpoint–type iot:Data-ATS

AWS IoT Kredensialnya

com.amazonaws.region.iot.credentials

Antarmuka

prefix.credentials.iot.region.amazonaws.com

Catatan DNS pribadi harus sesuai dengan titik akhir AWS IoT Kredensial akun Anda:. aws iot describe–endpoint ––endpoint–type iot:CredentialProvider

Amazon S3

com.amazonaws.region.s3

Antarmuka

Catatan DNS dibuat secara otomatis.