Buat hal IoT Membuat peran IAM untuk digunakan sebagai peran perangkat Membuat kebijakan yang dikelola khusus untuk pengguna IAM untuk menggunakan Device Advisor Buat pengguna IAM untuk menggunakan Device Advisor Konfigurasikan perangkat Anda

Menyiapkan

Sebelum Anda menggunakan Device Advisor untuk pertama kalinya, selesaikan tugas-tugas berikut:

Buat hal IoT

Pertama, buat IoT dan lampirkan sertifikat ke benda itu. Untuk tutorial tentang cara membuat sesuatu, lihat Create a thing object.

Membuat peran IAM untuk digunakan sebagai peran perangkat

catatan

Anda dapat dengan cepat membuat peran perangkat dengan konsol Device Advisor. Untuk mempelajari cara mengatur peran perangkat dengan konsol Device Advisor, lihat Memulai Device Advisor di konsol.

Buka AWS Identity and Access Management konsol dan masuk ke yang Akun AWS Anda gunakan untuk pengujian Device Advisor.
Di panel navigasi kiri, pilih Kebijakan.
Pilih Buat kebijakan.
Di bawah Create policy, lakukan hal berikut:
1. Untuk Layanan, pilih IoT.
2. Di bawah Tindakan, lakukan salah satu hal berikut:
  - (Disarankan) Pilih tindakan berdasarkan kebijakan yang dilampirkan pada hal IoT atau sertifikat yang Anda buat di bagian sebelumnya.
  - Cari tindakan berikut di kotak tindakan Filter dan pilih:
    - Connect
    - Publish
    - Subscribe
    - Receive
    - RetainPublish
3. Di bawah Sumber Daya, batasi sumber daya klien, topik, dan topik. Membatasi sumber daya ini adalah praktik terbaik keamanan. Untuk membatasi sumber daya, lakukan hal berikut:
  1. Pilih Tentukan ARN sumber daya klien untuk tindakan Connect.
  2. Pilih Add ARN, lalu lakukan salah satu hal berikut:
    
    catatan
    ClientID adalah ID klien MQTT yang digunakan perangkat Anda untuk berinteraksi dengan Device Advisor.
    - Tentukan Region, AccountID, dan clientID di editor ARN visual.
    - Masukkan Nama Sumber Daya Amazon (ARN) secara manual dari topik IoT yang ingin Anda jalankan dengan kasus pengujian.
  3. Pilih Tambahkan.
  4. Pilih Tentukan sumber topik ARN untuk Menerima dan satu tindakan lagi.
  5. Pilih Add ARN, lalu lakukan salah satu hal berikut:
    
    catatan
    Nama topik adalah topik MQTT tempat perangkat Anda mempublikasikan pesan.
    - Tentukan nama Wilayah, AccountID, dan Topik di editor ARN visual.
    - Masukkan ARN topik IoT secara manual yang ingin Anda jalankan dengan kasus pengujian.
  6. Pilih Tambahkan.
  7. Pilih Tentukan sumber daya TopicFilter ARN untuk tindakan Berlangganan.
  8. Pilih Add ARN, lalu lakukan salah satu hal berikut:
    
    catatan
    Nama topik adalah topik MQTT tempat perangkat Anda berlangganan.
    - Tentukan nama Wilayah, AccountID, dan Topik di editor ARN visual.
    - Masukkan ARN topik IoT secara manual yang ingin Anda jalankan dengan kasus pengujian.
  9. Pilih Tambahkan.
Pilih Berikutnya: Tanda.
Pilih Berikutnya: Tinjauan.
Di bawah Kebijakan peninjauan, masukkan Nama untuk kebijakan Anda.
Pilih Buat kebijakan.
Di panel navigasi kiri, Pilih Peran.
Pilih Buat Peran.
Di bawah Pilih entitas tepercaya, pilih Kebijakan kepercayaan khusus.

Masukkan kebijakan kepercayaan berikut ke dalam kotak Kebijakan kepercayaan kustom. Untuk melindungi dari masalah deputi yang membingungkan, tambahkan kunci konteks kondisi global aws:SourceArn dan aws:SourceAccount ke kebijakan.

penting

Anda aws:SourceArn harus mematuhi format: arn:aws:iotdeviceadvisor:region:account-id:*. Pastikan yang region cocok dengan AWS IoT Wilayah Anda dan account-id cocok dengan ID akun pelanggan Anda. Untuk informasi lebih lanjut, lihat Pencegahan Deputi Bingung Lintas Layanan.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAwsIoTCoreDeviceAdvisor",
            "Effect": "Allow",
            "Principal": {
                "Service": "iotdeviceadvisor.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:iotdeviceadvisor:*:111122223333:suitedefinition/*"
                }
            }
        }
    ]
}

Pilih Berikutnya.
Pilih kebijakan yang Anda buat di Langkah 4.
(Opsional) Di bawah Setel batas izin, pilih Gunakan batas izin untuk mengontrol izin peran maksimum, lalu pilih kebijakan yang Anda buat.
Pilih Berikutnya.
Masukkan nama Peran dan deskripsi Peran.
Pilih Buat peran.

Membuat kebijakan yang dikelola khusus untuk pengguna IAM untuk menggunakan Device Advisor

Arahkan ke konsol IAM di https://console.aws.amazon.com/iam/. Jika diminta, masukkan AWS kredensyal Anda untuk masuk.
Di panel navigasi di sebelah kiri, pilih Kebijakan.
Pilih Buat Kebijakan, lalu pilih tab JSON.
Tambahkan izin yang diperlukan untuk menggunakan Device Advisor. Dokumen kebijakan dapat ditemukan di topik Praktik terbaik keamanan.
Pilih Tinjau Kebijakan.
Masukkan Nama dan Deskripsi.
Pilih Buat Kebijakan.

Buat pengguna IAM untuk menggunakan Device Advisor

catatan

Sebaiknya Anda membuat pengguna IAM untuk digunakan saat menjalankan pengujian Device Advisor. Menjalankan pengujian Device Advisor dari pengguna admin dapat menimbulkan risiko keamanan dan tidak disarankan.

Arahkan ke konsol IAM di https://console.aws.amazon.com/iam/ Jika diminta, masukkan AWS kredensyal Anda untuk masuk.
Di panel navigasi kiri, Pilih Pengguna.
Pilih Tambah Pengguna.
Masukkan nama pengguna.

Pengguna membutuhkan akses terprogram jika mereka ingin berinteraksi dengan AWS luar. AWS Management Console Cara untuk memberikan akses terprogram tergantung pada jenis pengguna yang mengakses AWS.

Untuk memberi pengguna akses terprogram, pilih salah satu opsi berikut.

Pengguna mana yang membutuhkan akses terprogram?	Untuk	Oleh
Identitas tenaga kerja (Pengguna yang dikelola di Pusat Identitas IAM)	Gunakan kredensyal sementara untuk menandatangani permintaan terprogram ke AWS CLI, AWS SDK, atau API. AWS	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk AWS CLI, lihat Mengkonfigurasi yang akan AWS CLI digunakan AWS IAM Identity Center dalam Panduan AWS Command Line Interface Pengguna. Untuk AWS SDK, alat, dan AWS API, lihat autentikasi Pusat Identitas IAM di Panduan Referensi AWS SDK dan Alat.
IAM	Gunakan kredensyal sementara untuk menandatangani permintaan terprogram ke AWS CLI, AWS SDK, atau API. AWS	Mengikuti petunjuk dalam Menggunakan kredensyal sementara dengan AWS sumber daya di Panduan Pengguna IAM.
IAM	(Tidak direkomendasikan) Gunakan kredensyal jangka panjang untuk menandatangani permintaan terprogram ke AWS CLI, AWS SDK, atau API. AWS	Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan. Untuk mengetahui AWS CLI, lihat Mengautentikasi menggunakan kredensyal pengguna IAM di Panduan Pengguna.AWS Command Line Interface Untuk AWS SDK dan alat bantu, lihat Mengautentikasi menggunakan kredensyal jangka panjang di Panduan Referensi AWS SDK dan Alat. Untuk AWS API, lihat Mengelola kunci akses untuk pengguna IAM di Panduan Pengguna IAM.

Pengguna mana yang membutuhkan akses terprogram?

Untuk

Oleh

Identitas tenaga kerja

(Pengguna yang dikelola di Pusat Identitas IAM)

Gunakan kredensyal sementara untuk menandatangani permintaan terprogram ke AWS CLI, AWS SDK, atau API. AWS

Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan.

Untuk AWS CLI, lihat Mengkonfigurasi yang akan AWS CLI digunakan AWS IAM Identity Center dalam Panduan AWS Command Line Interface Pengguna.
Untuk AWS SDK, alat, dan AWS API, lihat autentikasi Pusat Identitas IAM di Panduan Referensi AWS SDK dan Alat.

IAM

Gunakan kredensyal sementara untuk menandatangani permintaan terprogram ke AWS CLI, AWS SDK, atau API. AWS

Mengikuti petunjuk dalam Menggunakan kredensyal sementara dengan AWS sumber daya di Panduan Pengguna IAM.

IAM

(Tidak direkomendasikan)

Gunakan kredensyal jangka panjang untuk menandatangani permintaan terprogram ke AWS CLI, AWS SDK, atau API. AWS

Mengikuti petunjuk untuk antarmuka yang ingin Anda gunakan.

Untuk mengetahui AWS CLI, lihat Mengautentikasi menggunakan kredensyal pengguna IAM di Panduan Pengguna.AWS Command Line Interface
Untuk AWS SDK dan alat bantu, lihat Mengautentikasi menggunakan kredensyal jangka panjang di Panduan Referensi AWS SDK dan Alat.
Untuk AWS API, lihat Mengelola kunci akses untuk pengguna IAM di Panduan Pengguna IAM.

Pilih Selanjutnya: Izin.
Untuk memberikan akses, tambahkan izin ke pengguna, grup, atau peran Anda:
- Pengguna dan grup di AWS IAM Identity Center:
  
  Buat rangkaian izin. Ikuti petunjuk dalam Buat set izin dalam Panduan Pengguna AWS IAM Identity Center .
- Pengguna yang dikelola di IAM melalui penyedia identitas:
  
  Buat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan Pengguna IAM.
- Pengguna IAM:
  - Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk dalam Membuat peran untuk pengguna IAM dalam Panduan Pengguna IAM.
  - (Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk di Menambahkan izin ke pengguna (konsol) dalam Panduan Pengguna IAM.
Masukkan nama kebijakan yang dikelola khusus yang Anda buat di kotak pencarian. Kemudian, pilih kotak centang untuk Nama kebijakan.
Pilih Berikutnya: Tanda.
Pilih Berikutnya: Tinjauan.
Pilih Create user (Buat pengguna).
Pilih Tutup.

Device Advisor memerlukan akses ke AWS sumber daya Anda (barang, sertifikat, dan titik akhir) atas nama Anda. Pengguna IAM Anda harus memiliki izin yang diperlukan. Device Advisor juga akan menerbitkan log ke Amazon CloudWatch jika Anda melampirkan kebijakan izin yang diperlukan untuk pengguna IAM Anda.

Konfigurasikan perangkat Anda

Device Advisor menggunakan ekstensi TLS indikasi nama server (SNI) untuk menerapkan konfigurasi TLS. Perangkat harus menggunakan ekstensi ini saat terhubung dan meneruskan nama server yang identik dengan titik akhir pengujian Device Advisor.

Device Advisor memungkinkan koneksi TLS saat tes dalam keadaan. Running Ini menyangkal koneksi TLS sebelum dan sesudah setiap uji coba. Untuk alasan ini, kami menyarankan Anda menggunakan mekanisme coba lagi koneksi perangkat untuk pengalaman pengujian otomatis sepenuhnya dengan Device Advisor. Anda dapat menjalankan rangkaian pengujian yang mencakup lebih dari satu kasus uji, seperti TLS connect, MQTT connect, dan MQTT publish. Jika Anda menjalankan beberapa kasus pengujian, sebaiknya perangkat Anda mencoba menyambung ke titik akhir pengujian kami setiap lima detik. Anda kemudian dapat mengotomatiskan menjalankan beberapa kasus uji secara berurutan.

catatan

Untuk menyiapkan perangkat lunak perangkat Anda untuk pengujian, kami sarankan Anda menggunakan SDK yang dapat terhubung AWS IoT Core. Anda kemudian harus memperbarui SDK dengan titik akhir pengujian Device Advisor yang disediakan untuk Anda. Akun AWS

Device Advisor mendukung dua jenis endpoint: Account-level dan Device-level endpoint. Pilih titik akhir yang paling sesuai dengan kasus penggunaan Anda. Untuk menjalankan beberapa rangkaian pengujian secara bersamaan untuk perangkat yang berbeda, gunakan titik akhir tingkat Perangkat.

Jalankan perintah berikut untuk mendapatkan titik akhir tingkat Perangkat:

Untuk pelanggan MQTT yang menggunakan sertifikat klien X.509:


aws iotdeviceadvisor get-endpoint --thing-arn your-thing-arn

atau


aws iotdeviceadvisor get-endpoint --certificate-arn your-certificate-arn

Untuk MQTT atas WebSocket pelanggan yang menggunakan Signature Versi 4:


aws iotdeviceadvisor get-endpoint --device-role-arn your-device-role-arn --authentication-method SignatureVersion4

Untuk menjalankan satu rangkaian pengujian pada satu waktu, pilih titik akhir tingkat Akun. Jalankan perintah berikut untuk mendapatkan titik akhir Account-level:


aws iotdeviceadvisor get-endpoint

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Penasihat Perangkat

Memulai dengan Device Advisor di konsol