Membuat titik akhir VPC untuk bidang data AWS IoT Core Membuat titik akhir VPC untuk penyedia kredensi AWS IoT Core Membuat titik akhir antarmuka VPC Amazon Mengkonfigurasi zona host pribadi Mengontrol Akses ke AWS IoT Core lebih dari titik akhir VPC Batasan Menskalakan titik akhir VPC dengan AWS IoT Core Menggunakan domain khusus dengan titik akhir VPC Ketersediaan titik akhir VPC untuk AWS IoT Core

Menggunakan AWS IoT Core dengan antarmuka VPC endpoint

Dengan AWS IoT Core, Anda dapat membuat titik akhir data IoT dalam virtual private cloud (VPC) Anda dengan menggunakan titik akhir VPC antarmuka. Endpoint VPC antarmuka didukung oleh AWS PrivateLink, sebuah AWS teknologi yang dapat Anda gunakan untuk mengakses layanan yang berjalan AWS dengan menggunakan alamat IP pribadi. Untuk informasi selengkapnya, lihat Amazon Virtual Private Cloud.

Untuk menghubungkan perangkat di lapangan pada jaringan jarak jauh, seperti jaringan perusahaan ke VPC Amazon Anda, lihat opsi yang tercantum dalam matriks konektivitas VPC jaringan-ke-Amazon.

Daftar Isi

Membuat titik akhir VPC untuk bidang data AWS IoT Core
Membuat titik akhir VPC untuk penyedia kredensi AWS IoT Core
Membuat titik akhir antarmuka VPC Amazon
Mengkonfigurasi zona host pribadi
Mengontrol Akses ke AWS IoT Core lebih dari titik akhir VPC
Batasan
Menskalakan titik akhir VPC dengan AWS IoT Core
Menggunakan domain khusus dengan titik akhir VPC
Ketersediaan titik akhir VPC untuk AWS IoT Core

Membuat titik akhir VPC untuk bidang data AWS IoT Core

Anda dapat membuat titik akhir VPC untuk API bidang AWS IoT Core data untuk menghubungkan perangkat Anda ke AWS IoT layanan dan layanan lainnya. AWS Untuk memulai dengan titik akhir VPC, buat antarmuka VPC endpoint dan pilih sebagai layanan. AWS IoT Core AWS Jika Anda menggunakan CLI, pertama-tama panggil describe-vpc-endpoint-services untuk memastikan bahwa Anda memilih Availability Zone yang ada di area khusus Anda. AWS IoT Core Wilayah AWS Misalnya, di us-east-1, perintah ini akan terlihat seperti:


aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.data

catatan

Fitur VPC untuk membuat catatan DNS secara otomatis dinonaktifkan. Untuk terhubung ke titik akhir ini, Anda harus membuat catatan DNS Pribadi secara manual. Untuk informasi selengkapnya tentang catatan DNS VPC Pribadi, lihat DNS pribadi untuk titik akhir antarmuka. Untuk informasi selengkapnya tentang batasan AWS IoT Core VPC, lihat. Batasan

Untuk menghubungkan klien MQTT ke antarmuka titik akhir VPC:

Anda harus membuat catatan DNS secara manual di zona host pribadi yang dilampirkan ke VPC Anda. Untuk memulai, lihat Membuat zona host pribadi.

Dalam zona host pribadi Anda, buat catatan alias untuk setiap IP antarmuka network elastis untuk titik akhir VPC. Jika Anda memiliki beberapa IP antarmuka jaringan untuk beberapa titik akhir VPC, buat catatan DNS tertimbang dengan bobot yang sama di semua catatan tertimbang. Alamat IP ini tersedia dari panggilan DescribeNetworkInterfaces API saat difilter oleh ID titik akhir VPC di bidang deskripsi.

Lihat petunjuk terperinci di bawah ini untuk Membuat titik akhir antarmuka VPC Amazon dan Mengonfigurasi zona host pribadi untuk AWS IoT Core bidang data.

Membuat titik akhir VPC untuk penyedia kredensi AWS IoT Core

Anda dapat membuat titik akhir VPC untuk penyedia AWS IoT Core kredensi untuk menghubungkan perangkat menggunakan otentikasi berbasis sertifikat klien dan mendapatkan kredensyal sementara dalam format Signature Version 4. AWSAWS Untuk memulai dengan titik akhir VPC untuk penyedia AWS IoT Core kredensi, jalankan perintah CLI create-vpc-endpoint untuk membuat titik akhir VPC antarmuka dan pilih penyedia kredensi sebagai layanan. AWS IoT Core AWS Untuk memastikan bahwa Anda memilih Availability Zone yang AWS IoT Core ada di area khusus Anda Wilayah AWS, pertama-tama Anda menjalankan perintah describe-vpc-endpoint-services. Misalnya, di us-east-1, perintah ini akan terlihat seperti:


aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.credentials

catatan

Untuk menghubungkan klien HTTP ke antarmuka titik akhir VPC:

Anda harus membuat catatan DNS secara manual di zona host pribadi yang dilampirkan ke VPC Anda. Untuk memulai, lihat Membuat zona host pribadi.

Dalam zona host pribadi Anda, buat catatan alias untuk setiap IP antarmuka network elastis untuk titik akhir VPC. Jika Anda memiliki beberapa IP antarmuka jaringan untuk beberapa titik akhir VPC, buat catatan DNS tertimbang dengan bobot yang sama di semua catatan tertimbang. Alamat IP ini tersedia dari panggilan DescribeNetworkInterfaces API saat difilter oleh ID titik akhir VPC di bidang deskripsi.

Lihat petunjuk terperinci di bawah ini untuk Membuat titik akhir antarmuka VPC Amazon dan Mengonfigurasi zona host pribadi untuk AWS IoT Core penyedia kredensi.

Membuat titik akhir antarmuka VPC Amazon

Anda dapat membuat titik akhir VPC antarmuka untuk terhubung ke AWS layanan yang didukung oleh. AWS PrivateLink Gunakan prosedur berikut untuk membuat titik akhir VPC antarmuka yang terhubung ke bidang AWS IoT Core data atau AWS IoT Core penyedia kredensi. Untuk informasi selengkapnya, lihat Mengakses AWS layanan menggunakan titik akhir VPC antarmuka.

catatan

Proses untuk membuat titik akhir antarmuka VPC Amazon untuk bidang AWS IoT Core data dan penyedia AWS IoT Core kredensi serupa, tetapi Anda harus membuat perubahan spesifik titik akhir untuk membuat koneksi berfungsi.

Untuk membuat antarmuka VPC endpoint menggunakan konsol VPC Endpoints

Arahkan ke konsol VPC Endpoints, di bawah Virtual private cloud di menu sebelah kiri, pilih Endpoints lalu Create Endpoint.
Di halaman Buat titik akhir, tentukan informasi berikut.
- Pilih Layanan AWS s untuk kategori Layanan.
- Untuk Nama Layanan, cari dengan memasukkan kata kunciiot. Dalam daftar iot layanan yang ditampilkan, pilih titik akhir.
  
  Jika Anda membuat titik akhir VPC untuk bidang AWS IoT Core data, pilih titik akhir API bidang AWS IoT Core data untuk Wilayah Anda. Titik akhir akan menjadi formatcom.amazonaws.region.iot.data.
  
  Jika Anda membuat titik akhir VPC untuk penyedia AWS IoT Core kredensi, pilih titik akhir penyedia AWS IoT Core kredensyal untuk Wilayah Anda. Titik akhir akan menjadi formatcom.amazonaws.region.iot.credentials.
  
  catatan
  Nama layanan untuk pesawat AWS IoT Core data di Wilayah China akan menjadi formatcn.com.amazonaws.region.iot.data. Membuat titik akhir VPC untuk penyedia AWS IoT Core kredensi tidak didukung di Wilayah China.
- Untuk VPC dan Subnet, pilih VPC tempat Anda ingin membuat titik akhir, dan Availability Zones (AZ) tempat Anda ingin membuat jaringan endpoint.
- Untuk Aktifkan nama DNS, pastikan Aktifkan untuk titik akhir ini tidak dipilih. Baik pesawat AWS IoT Core data maupun penyedia AWS IoT Core kredensi belum mendukung nama DNS pribadi.
- Untuk grup Keamanan, pilih grup keamanan yang ingin Anda kaitkan dengan antarmuka jaringan titik akhir.
- Secara opsional, Anda dapat menambah atau menghapus tag. Tag adalah pasangan nama-nilai yang Anda gunakan untuk mengasosiasikan dengan titik akhir Anda.
Untuk membuat titik akhir VPC Anda, pilih Buat titik akhir.

Setelah Anda membuat AWS PrivateLink titik akhir, di tab Detail titik akhir Anda, Anda akan melihat daftar nama DNS. Anda dapat menggunakan salah satu nama DNS yang Anda buat di bagian ini untuk mengonfigurasi zona host pribadi Anda.

Mengkonfigurasi zona host pribadi

Anda dapat menggunakan salah satu nama DNS yang Anda buat di bagian sebelumnya untuk mengonfigurasi zona host pribadi Anda.

Untuk pesawat AWS IoT Core data

Nama DNS harus berupa nama konfigurasi domain atau titik IoT:Data-ATS akhir Anda. Contoh nama DNS dapat berupa:xxx-ats.data.iot.region.amazonaws.com.

Untuk penyedia AWS IoT Core kredensi

Nama DNS harus menjadi titik iot:CredentialProvider akhir Anda. Contoh nama DNS dapat berupa:xxxx.credentials.iot.region.amazonaws.com.

catatan

Proses untuk mengonfigurasi zona host pribadi untuk bidang AWS IoT Core data dan penyedia AWS IoT Core kredensi serupa, tetapi Anda harus membuat perubahan spesifik titik akhir untuk membuat koneksi berfungsi.

Buat zona yang dihosting pribadi

Untuk membuat zona host pribadi menggunakan konsol Route 53

Arahkan ke konsol Route 53 Zona yang dihosting dan pilih Buat zona yang dihosting.
Di halaman Buat zona yang dihosting, tentukan informasi berikut.
- Untuk nama Domain, masukkan alamat titik akhir untuk titik akhir iot:Data-ATS atau titik iot:CredentialProvider akhir Anda. Perintah AWS CLI berikut menunjukkan cara mendapatkan titik akhir melalui jaringan publik:aws iot describe-endpoint --endpoint-type iot:Data-ATS, atau. aws iot describe-endpoint --endpoint-type iot:CredentialProvider
  
  catatan
  Jika Anda menggunakan domain kustom, lihat Menggunakan domain kustom dengan titik akhir VPC. Domain kustom tidak didukung untuk penyedia AWS IoT Core kredensi.
- Untuk Jenis, pilih Zona host pribadi.
- Secara opsional, Anda dapat menambahkan atau menghapus tag untuk dikaitkan dengan zona yang dihosting.
Untuk membuat zona host pribadi Anda, pilih Buat zona yang dihosting.

Untuk informasi selengkapnya, lihat Membuat zona yang dihosting pribadi.

Buat catatan

Setelah Anda membuat zona host pribadi, Anda dapat membuat catatan yang memberi tahu DNS bagaimana Anda ingin lalu lintas dialihkan ke domain tersebut.

Untuk membuat catatan

Dalam daftar zona yang dihosting yang ditampilkan, pilih zona host pribadi yang Anda buat sebelumnya dan pilih Buat catatan.
Gunakan metode wizard untuk membuat catatan. Jika konsol menyajikan metode Quick create, pilih Beralih ke wizard.
Pilih kebijakan Perutean Sederhana untuk Perutean dan kemudian pilih Berikutnya.
Di halaman Konfigurasikan catatan, pilih Tentukan catatan sederhana.
Di halaman Tentukan catatan sederhana:
- Untuk nama Rekam, masukkan iot:Data-ATS titik akhir atau titik iot:CredentialProvider akhir. Ini harus sama dengan nama zona host pribadi.
- Untuk jenis Rekam, pertahankan nilainya sebagaiA - Routes traffic to an IPv4 address and some AWS resources.
- Untuk lalu lintas Nilai/Rute ke, pilih Alias ke titik akhir VPC. Kemudian pilih Wilayah Anda dan kemudian pilih titik akhir yang Anda buat sebelumnya, seperti yang dijelaskan Membuat titik akhir antarmuka VPC Amazon dari daftar titik akhir yang ditampilkan.
Pilih Tentukan catatan sederhana untuk membuat catatan Anda.

Mengontrol Akses ke AWS IoT Core lebih dari titik akhir VPC

Anda dapat membatasi akses perangkat AWS IoT Core agar diizinkan hanya melalui titik akhir VPC dengan menggunakan tombol konteks kondisi VPC. AWS IoT Core mendukung kunci konteks terkait VPC berikut:

catatan

AWS IoT Core tidak mendukung kebijakan Titik Akhir untuk titik akhir VPC.

Misalnya, kebijakan berikut memberikan izin untuk terhubung AWS IoT Core menggunakan ID klien yang cocok dengan nama benda, dan memublikasikan ke topik apa pun yang diawali dengan nama benda, bergantung pada perangkat yang terhubung ke titik akhir VPC dengan ID Titik Akhir VPC tertentu. Kebijakan ini akan menolak upaya koneksi ke titik akhir data IoT publik Anda.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-1a2b3c4d"
                }
            }
            
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*"
            ]
        }
    ]
}

Batasan

Titik akhir VPC saat ini hanya didukung untuk titik akhir AWS IoT Core data dan AWS IoT Core titik akhir penyedia kredensyal.

Keterbatasan titik akhir VPC data IoT

Bagian ini mencakup batasan titik akhir VPC data IoT.

MQTT menjaga periode hidup dibatasi hingga 230 detik. Menjaga periode hidup lebih lama dari itu akan secara otomatis dikurangi menjadi 230 detik.
Setiap titik akhir VPC mendukung 100.000 total perangkat yang terhubung secara bersamaan. Jika Anda membutuhkan lebih banyak koneksi, lihatMenskalakan titik akhir VPC dengan AWS IoT Core.
Titik akhir VPC hanya mendukung lalu lintas IPv4.
Titik akhir VPC hanya akan melayani sertifikat ATS, kecuali untuk domain khusus.
Kebijakan titik akhir VPC tidak didukung.
Untuk titik akhir VPC yang dibuat untuk bidang AWS IoT Core data, AWS IoT Core tidak mendukung penggunaan catatan DNS publik zona atau regional.

Batasan titik akhir penyedia kredensyal

Bagian ini mencakup batasan titik akhir VPC penyedia kredensi.

Titik akhir VPC hanya mendukung lalu lintas IPv4.
Titik akhir VPC hanya akan melayani sertifikat ATS.
Kebijakan titik akhir VPC tidak didukung.
Domain kustom tidak didukung untuk titik akhir penyedia kredensyal.
Untuk titik akhir VPC yang dibuat untuk penyedia AWS IoT Core kredensi, AWS IoT Core tidak mendukung penggunaan catatan DNS publik zona atau regional.

Menskalakan titik akhir VPC dengan AWS IoT Core

AWS IoT Core Endpoint VPC antarmuka dibatasi hingga 100.000 perangkat yang terhubung melalui satu titik akhir antarmuka. Jika kasus penggunaan Anda memerlukan lebih banyak koneksi bersamaan ke broker, sebaiknya gunakan beberapa titik akhir VPC dan merutekan perangkat Anda secara manual di seluruh titik akhir antarmuka Anda. Saat membuat catatan DNS pribadi untuk merutekan lalu lintas ke titik akhir VPC Anda, pastikan untuk membuat catatan tertimbang sebanyak Anda memiliki titik akhir VPC untuk mendistribusikan lalu lintas di beberapa titik akhir Anda.

Menggunakan domain khusus dengan titik akhir VPC

Jika Anda ingin menggunakan domain kustom dengan titik akhir VPC, Anda harus membuat catatan nama domain kustom Anda di zona yang dihosting pribadi dan membuat catatan perutean di Route53. Untuk informasi selengkapnya, lihat Membuat zona yang dihosting pribadi.

catatan

Domain khusus hanya didukung untuk titik akhir AWS IoT Core data.

Ketersediaan titik akhir VPC untuk AWS IoT Core

AWS IoT Core Titik akhir VPC antarmuka tersedia di semua AWS IoT Core wilayah yang didukung. AWS IoT Core Titik akhir VPC antarmuka untuk penyedia AWS IoT Core kredensi tidak didukung di Wilayah China dan. AWS GovCloud (US) Regions

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Ketangguhan

Keamanan infrastruktur