AWS IoT Greengrass dan titik akhir VPC antarmuka (AWS PrivateLink) - AWS IoT Greengrass
Pertimbangan untuk VPC endpoint AWS IoT GreengrassBuat titik akhir VPC antarmuka untuk AWS IoT Greengrass operasi bidang kontrolMembuat kebijakan VPC endpoint untuk AWS IoT GreengrassMengoperasikan perangkat AWS IoT Greengrass inti di VPC

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS IoT Greengrass dan titik akhir VPC antarmuka (AWS PrivateLink)

Anda dapat membuat koneksi pribadi antara VPC Anda dan bidang AWS IoT Greengrass kontrol dengan membuat titik akhir VPC antarmuka. Anda dapat menggunakan endpoint ini untuk mengelola komponen, penerapan, dan perangkat inti dalam layanan. AWS IoT Greengrass Endpoint antarmuka didukung oleh AWS PrivateLink, teknologi yang memungkinkan Anda mengakses AWS IoT Greengrass API secara pribadi tanpa gateway internet, perangkat NAT, koneksi VPN, atau koneksi Direct AWS Connect. Instans dalam VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan API AWS IoT Greengrass. Lalu lintas antara VPC Anda dan AWS IoT Greengrass tidak meninggalkan jaringan Amazon.

Setiap titik akhir antarmuka diwakili oleh satu atau lebih Antarmuka Jaringan Elastis dalam subnet Anda.

Untuk informasi selengkapnya, lihat Antarmuka VPC endpoint (AWS PrivateLink) dalam Panduan Pengguna Amazon VPC.

Pertimbangan untuk VPC endpoint AWS IoT Greengrass

Sebelum menyiapkan titik akhir VPC antarmukaAWS IoT Greengrass, tinjau properti dan batasan titik akhir Antarmuka di Panduan Pengguna Amazon VPC. Selain itu, perhatikan pertimbangan berikut:

  • AWS IoT Greengrassmendukung panggilan ke semua tindakan API bidang kontrolnya dari VPC Anda. Pesawat kontrol mencakup operasi seperti CreateDeploymentdan ListEffectiveDeployments. Pesawat kontrol tidak termasuk operasi seperti ResolveComponentCandidatesdan Discover, yang merupakan operasi pesawat data.

  • Titik akhir VPC untuk AWS IoT Greengrass saat ini tidak didukung di AWS Wilayah China.

Buat titik akhir VPC antarmuka untuk AWS IoT Greengrass operasi bidang kontrol

Anda dapat membuat titik akhir VPC untuk bidang AWS IoT Greengrass kontrol menggunakan konsol VPC Amazon atau (). AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat Membuat titik akhir antarmuka dalam Panduan Pengguna Amazon VPC.

Buat titik akhir VPC untuk AWS IoT Greengrass menggunakan nama layanan berikut:

  • com.amazonaws. wilayah .greengrass

Jika Anda mengaktifkan DNS pribadi untuk titik akhir, Anda dapat membuat permintaan API untuk AWS IoT Greengrass menggunakan nama DNS default untuk Wilayah, misalnya,. greengrass.us-east-1.amazonaws.com DNS pribadi diaktifkan secara default.

Untuk informasi lebih lanjut, lihat Mengakses layanan melalui titik akhir antarmuka dalam Panduan Pengguna Amazon VPC.

Membuat kebijakan VPC endpoint untuk AWS IoT Greengrass

Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC yang mengontrol akses AWS IoT Greengrass untuk mengontrol operasi pesawat. Kebijakan titik akhir menentukan informasi berikut:

  • Prinsip yang dapat melakukan tindakan.

  • Tindakan yang dapat dilakukan oleh prinsip.

  • Sumber daya yang dapat dilakukan oleh kepala sekolah.

Untuk informasi lebih lanjut, lihat Mengendalikan akses ke layanan dengan titik akhir VPC dalam Panduan Pengguna Amazon VPC.

contoh Contoh: Kebijakan VPC endpoint untuk tindakan AWS IoT Greengrass

Berikut adalah contoh kebijakan titik akhir untuk AWS IoT Greengrass. Jika dilampirkan ke sebuah titik akhir, kebijakan ini memberikan akses ke tindakan AWS IoT Greengrass yang terdaftar untuk semua yang utama di semua sumber daya.

{
    "Statement": [
        {
            "Principal": "*",
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateDeployment",
                "greengrass:ListEffectiveDeployments"
            ],
            "Resource": "*"
        }
    ]
}

Mengoperasikan perangkat AWS IoT Greengrass inti di VPC

Anda dapat mengoperasikan perangkat inti Greengrass dan melakukan penerapan di VPC tanpa akses internet publik. Minimal, Anda harus mengatur titik akhir VPC berikut dengan alias DNS yang sesuai. Untuk informasi selengkapnya tentang cara membuat dan menggunakan titik akhir VPC, lihat Membuat titik akhir VPC di Panduan Pengguna Amazon VPC.

catatan

Fitur VPC untuk membuat catatan DNS secara otomatis dinonaktifkan untuk AWS IoT data dan Kredensialnya. AWS IoT Untuk menghubungkan titik akhir ini, Anda harus membuat catatan DNS Pribadi secara manual. Untuk informasi selengkapnya, lihat DNS pribadi untuk titik akhir antarmuka. Untuk informasi selengkapnya tentang batasan AWS IoT Core VPC, lihat Batasan titik akhir VPC.

Prasyarat

Batasan

Siapkan perangkat inti Greengrass Anda untuk beroperasi di VPC

  1. Dapatkan titik akhir AWS IoT untuk Akun AWS, dan simpan untuk digunakan nanti. Perangkat Anda menggunakan titik akhir ini untuk tersambung ke AWS IoT. Lakukan hal-hal berikut:

    1. Dapatkan titik akhir data AWS IoT untuk perangkat Akun AWS Anda.

      aws iot describe-endpoint --endpoint-type iot:Data-ATS

      Respons tersebut serupa dengan contoh berikut ini, jika permintaannya berhasil.

      {
  "endpointAddress": "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
}

    2. Dapatkan titik akhir kredensial AWS IoT untuk Akun AWS Anda.

      aws iot describe-endpoint --endpoint-type iot:CredentialProvider

      Respons tersebut serupa dengan contoh berikut ini, jika permintaannya berhasil.

      {
  "endpointAddress": "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
}

  2. Buat antarmuka Amazon VPC untuk AWS IoT data dan titik akhir AWS IoT kredensialnya:

    1. Arahkan ke konsol VPC Endpoints, di bawah Virtual private cloud di menu sebelah kiri, pilih Endpoints lalu Create Endpoint.

    2. Di halaman Buat titik akhir, tentukan informasi berikut.

      • Pilih Layanan AWSs untuk kategori Layanan.

      • Untuk Nama Layanan, cari dengan memasukkan kata kunciiot. Dalam daftar iot layanan yang ditampilkan, pilih titik akhir.

        Jika Anda membuat titik akhir VPC untuk bidang AWS IoT Core data, pilih titik akhir API bidang AWS IoT Core data untuk Wilayah Anda. Titik akhir akan menjadi formatcom.amazonaws.region.iot.data.

        Jika Anda membuat titik akhir VPC untuk penyedia AWS IoT Core kredensi, pilih titik akhir penyedia AWS IoT Core kredensi untuk Wilayah Anda. Titik akhir akan menjadi formatcom.amazonaws.region.iot.credentials.

        catatan

        Nama layanan untuk pesawat AWS IoT Core data di Wilayah China akan menjadi formatcn.com.amazonaws.region.iot.data. Membuat titik akhir VPC untuk penyedia AWS IoT Core kredensi tidak didukung di Wilayah China.

      • Untuk VPC dan Subnet, pilih VPC tempat Anda ingin membuat titik akhir, dan Availability Zones (AZ) tempat Anda ingin membuat jaringan endpoint.

      • Untuk Aktifkan nama DNS, pastikan Aktifkan untuk titik akhir ini tidak dipilih. Baik pesawat AWS IoT Core data maupun penyedia AWS IoT Core kredensi belum mendukung nama DNS pribadi.

      • Untuk grup Keamanan, pilih grup keamanan yang ingin Anda kaitkan dengan antarmuka jaringan titik akhir.

      • Secara opsional, Anda dapat menambah atau menghapus tag. Tag adalah pasangan nama-nilai yang Anda gunakan untuk mengaitkan dengan titik akhir Anda.

    3. Untuk membuat titik akhir VPC Anda, pilih Buat titik akhir.

  3. Setelah Anda membuat AWS PrivateLink titik akhir, di tab Detail titik akhir Anda, Anda akan melihat daftar nama DNS. Anda dapat menggunakan salah satu nama DNS yang Anda buat di bagian ini untuk mengonfigurasi zona host pribadi Anda.

  4. Buat titik akhir Amazon S3. Untuk informasi selengkapnya, lihat Membuat titik akhir VPC untuk Amazon S3.

  5. Jika Anda menggunakan komponen Greengrass AWS -provided, titik akhir dan konfigurasi tambahan mungkin diperlukan. Untuk melihat persyaratan titik akhir, pilih komponen dari daftar komponen AWS yang disediakan dan lihat bagian Persyaratan. Misalnya, persyaratan komponen pengelola log menyarankan bahwa komponen ini harus dapat melakukan permintaan keluar ke titik akhirlogs.region.amazonaws.com.

    Jika Anda menggunakan komponen Anda sendiri, Anda mungkin perlu meninjau dependensi dan melakukan pengujian tambahan untuk menentukan apakah ada titik akhir tambahan yang diperlukan.

  6. Dalam konfigurasi greengrassDataPlaneEndpoint inti Greengrass, harus diatur ke. iotdata Untuk informasi selengkapnya, lihat konfigurasi nukleus Greengrass.

  7. Jika Anda berada di us-east-1 wilayah tersebut, atur parameter konfigurasi s3EndpointType ke REGIONAL dalam konfigurasi inti Greengrass. Fitur ini tersedia untuk Greengrass nucleus versi 2.11.3 atau yang lebih baru.

contoh Contoh: Konfigurasi komponen
{
"aws.greengrass.Nucleus": {
   "configuration": {
      "awsRegion": "us-east-1",
      "iotCredEndpoint": "xxxxxx.credentials.iot.region.amazonaws.com",
      "iotDataEndpoint": "xxxxxx-ats.iot.region.amazonaws.com",
      "greengrassDataPlaneEndpoint": "iotdata",
      "s3EndpointType": "REGIONAL"
      ...
     }
   }
}

Tabel berikut memberikan informasi tentang alias DNS pribadi kustom yang sesuai.

Layanan Nama layanan titik akhir VPC Jenis titik akhir VPC Alias DNS pribadi khusus Catatan

AWS IoT data

com.amazonaws.region.iot.data

Antarmuka

prefix-ats.iot.region.amazonaws.com

Catatan DNS pribadi harus sesuai dengan AWS IoT data titik akhir akun Anda:. aws iot describe–endpoint ––endpoint–type iot:Data-ATS

Kredesial AWS IoT

com.amazonaws.region.iot.credentials

Antarmuka

prefix.credentials.iot.region.amazonaws.com

Catatan DNS pribadi harus sesuai dengan titik akhir AWS IoT Kredensial akun Anda:. aws iot describe–endpoint ––endpoint–type iot:CredentialProvider

Amazon S3

com.amazonaws.region.s3

Antarmuka

Catatan DNS dibuat secara otomatis.