Considerazioni sugli endpoint VPC dell'AWS IoT Greengrass Crea un endpoint VPC di interfaccia per AWS IoT Greengrass le operazioni del piano di controllo Creazione di una policy di endpoint VPC per l'AWS IoT Greengrass Gestisci un dispositivo AWS IoT Greengrass principale in VPC

AWS IoT Greengrass ed endpoint VPC dell'interfaccia (AWS PrivateLink)

Puoi stabilire una connessione privata tra il tuo VPC e il piano di AWS IoT Greengrass controllo creando un endpoint VPC di interfaccia. È possibile utilizzare questo endpoint per gestire componenti, implementazioni e dispositivi principali del servizio. AWS IoT Greengrass Gli endpoint di interfaccia sono alimentati da AWS PrivateLink, una tecnologia che consente di accedere alle AWS IoT Greengrass API in modo privato senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione Direct ConnectAWS. Le istanze presenti nel VPC non richiedono indirizzi IP pubblici per comunicare con le API dell'AWS IoT Greengrass. Il traffico tra il tuo VPC e l'AWS IoT Greengrass non esce dalla rete Amazon.

Ogni endpoint dell'interfaccia è rappresentato da una o più interfacce di rete elastiche nelle tue sottoreti.

Per ulteriori informazioni, consultare Endpoint VPC di interfaccia (AWS PrivateLink) nella Guida per l'utente di Amazon VPC.

Argomenti

Considerazioni sugli endpoint VPC dell'AWS IoT Greengrass
Crea un endpoint VPC di interfaccia per AWS IoT Greengrass le operazioni del piano di controllo
Creazione di una policy di endpoint VPC per l'AWS IoT Greengrass
Gestisci un dispositivo AWS IoT Greengrass principale in VPC

Considerazioni sugli endpoint VPC dell'AWS IoT Greengrass

Prima di configurare un endpoint VPC di interfaccia perAWS IoT Greengrass, consulta le proprietà e le limitazioni dell'endpoint dell'interfaccia nella Amazon VPC User Guide. Inoltre, tieni presente le seguenti considerazioni:

AWS IoT Greengrasssupporta l'esecuzione di chiamate a tutte le azioni dell'API del piano di controllo dal tuo VPC. Il piano di controllo include operazioni come CreateDeploymente ListEffectiveDeployments. Il piano di controllo non include operazioni come ResolveComponentCandidatese Discover, che sono operazioni sul piano dati.
Gli endpoint VPC per non AWS IoT Greengrass sono attualmente supportati nelle AWS regioni della Cina.

Crea un endpoint VPC di interfaccia per AWS IoT Greengrass le operazioni del piano di controllo

Puoi creare un endpoint VPC per il piano di AWS IoT Greengrass controllo utilizzando la console Amazon VPC o (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta Creazione di un endpoint di interfaccia nella Guida per l'utente di Amazon VPC.

Crea un endpoint VPC per AWS IoT Greengrass, utilizzando il seguente nome di servizio:

com.amazonaws.region.greengrass

Se si abilita il DNS privato per l'endpoint, è possibile effettuare richieste API verso AWS IoT Greengrassutilizzando il nome DNS predefinito per la regione, ad esempio greengrass.us-east-1.amazonaws.com. DNS privato è abilitato per impostazione predefinita.

Per ulteriori informazioni, consulta Accesso a un servizio tramite un endpoint dell'interfaccia in Guida per l'utente di Amazon VPC.

Creazione di una policy di endpoint VPC per l'AWS IoT Greengrass

Puoi allegare una policy per gli endpoint all'endpoint VPC che controlla l'accesso AWS IoT Greengrass alle operazioni del piano di controllo. La policy specifica le informazioni riportate di seguito:

Il principale che può eseguire operazioni.
Le azioni che l'entità può eseguire.
Le risorse su cui il preside può eseguire azioni.

Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC nella Guida per l'utente di Amazon VPC.

Esempio: policy di endpoint VPC per le operazioni dell'AWS IoT Greengrass

Di seguito è riportato un esempio di una policy endpoint per l'AWS IoT Greengrass. Se collegato a un endpoint, questo criterio concede l'accesso alle operazioni dell'AWS IoT Greengrasselencate per tutti gli account principali su tutte le risorse.


{
    "Statement": [
        {
            "Principal": "*",
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateDeployment",
                "greengrass:ListEffectiveDeployments"
            ],
            "Resource": "*"
        }
    ]
}

Gestisci un dispositivo AWS IoT Greengrass principale in VPC

Puoi utilizzare un dispositivo core Greengrass ed eseguire implementazioni in VPC senza accesso pubblico a Internet. Come minimo, è necessario configurare i seguenti endpoint VPC con gli alias DNS corrispondenti. Per ulteriori informazioni su come creare e utilizzare endpoint VPC, consulta Create a VPC endpoint nella Amazon VPC User Guide.

Nota

La funzionalità VPC per la creazione automatica di un record DNS è disattivata per AWS IoT data le credenziali e. AWS IoT Per connettere questi endpoint, è necessario creare manualmente un record DNS privato. Per ulteriori informazioni, consulta DNS privato per endpoint di interfaccia. Per ulteriori informazioni sulle limitazioni del AWS IoT Core VPC, consulta Limitazioni degli endpoint VPC.

Prerequisiti

È necessario installare il software AWS IoT Greengrass Core utilizzando le fasi di provisioning manuale. Per ulteriori informazioni, consulta Installa il software AWS IoT Greengrass Core con provisioning manuale delle risorse.

Limitazioni

L'utilizzo di un dispositivo core Greengrass in VPC non è supportato nelle regioni cinesi e. AWS GovCloud (US) Regions
Per ulteriori informazioni sulle limitazioni AWS IoT data e sugli endpoint VPC del provider di AWS IoT credenziali, consulta Limitazioni.

Configura il tuo dispositivo principale Greengrass per funzionare in VPC

Ottieni gli AWS IoT endpoint per te e salvali per Account AWS utilizzarli in un secondo momento. Il tuo dispositivo utilizza questi endpoint per connettersi a. AWS IoT Esegui questa operazione:
1. Ottieni l'endpoint di AWS IoT dati per il tuo. Account AWS
```
aws iot describe-endpoint --endpoint-type iot:Data-ATS
```
  La risposta è simile all'esempio seguente, se la richiesta ha esito positivo.
```
{
  "endpointAddress": "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
}
```
2. Ottieni l'endpoint delle AWS IoT credenziali per il tuo. Account AWS
```
aws iot describe-endpoint --endpoint-type iot:CredentialProvider
```
  La risposta è simile all'esempio seguente, se la richiesta ha esito positivo.
```
{
  "endpointAddress": "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
}
```
Crea un'interfaccia Amazon VPC per gli endpoint AWS IoT data e AWS IoT le credenziali:
1. Vai alla console VPC Endpoints, sotto Virtual private cloud nel menu a sinistra, scegli Endpoints quindi Crea endpoint.
2. Nella pagina Crea endpoint, specifica le seguenti informazioni.
  - Scegli Servizio AWSs per Categoria di servizio.
  - Per Service Name (Nome servizio), esegui la ricerca inserendo la parola chiave iot. Nell'elenco dei iot servizi visualizzati, scegli l'endpoint.
    
    Se crei un endpoint VPC per il piano AWS IoT Core dati, scegli l'endpoint API del piano AWS IoT Core dati per la tua regione. L'endpoint sarà del formato com.amazonaws.region.iot.data.
    
    Se crei un endpoint VPC per un provider di AWS IoT Core credenziali, scegli l'endpoint del provider di AWS IoT Core credenziali per la tua regione. L'endpoint sarà del formato com.amazonaws.region.iot.credentials.
    
    Nota
    Il nome del servizio per il piano AWS IoT Core dati nella regione cinese avrà il seguente formato. cn.com.amazonaws.region.iot.data La creazione di endpoint VPC per il provider di AWS IoT Core credenziali non è supportata nella regione Cina.
  - Per VPC e Subnets (Sottoreti) scegli il VPC in cui desideri creare l'endpoint e le zone di disponibilità in cui desideri creare la rete endpoint.
  - Per Enable DNS name (Abilitare nome DNS), assicurati che Enable for this endpoint (Abilita per questo endpoint) non sia selezionata. Né il piano AWS IoT Core dati né il provider di AWS IoT Core credenziali supportano ancora i nomi DNS privati.
  - In Security group (Gruppo di sicurezza), scegli i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint.
  - Facoltativamente, puoi aggiungere o rimuovere i tag. I tag sono coppie nome-valore utilizzate per l'associazione al tuo endpoint.
3. Per creare l'endpoint VPC, scegli Create endpoint (Crea endpoint).
Dopo aver creato l'AWS PrivateLinkendpoint, nella scheda Dettagli dell'endpoint, vedrai un elenco di nomi DNS. Puoi utilizzare uno di questi nomi DNS che hai creato in questa sezione per configurare la tua zona ospitata privata.
Crea un endpoint Amazon S3. Per ulteriori informazioni, consulta Creare un endpoint VPC per Amazon S3.
Se si utilizzano componenti Greengrass AWS forniti, potrebbero essere necessari endpoint e configurazioni aggiuntivi. Per visualizzare i requisiti degli endpoint, seleziona il componente dall'elenco dei componenti AWS forniti e consulta la sezione Requisiti. Ad esempio, i requisiti del componente log manager suggeriscono che questo componente deve essere in grado di eseguire richieste in uscita verso l'endpoint. logs.region.amazonaws.com

Se si utilizza un componente personalizzato, potrebbe essere necessario esaminare le dipendenze ed eseguire ulteriori test per determinare se sono necessari endpoint aggiuntivi.
Nella configurazione Greengrass nucleus, greengrassDataPlaneEndpoint deve essere impostato su. iotdata Per ulteriori informazioni, vedere Greengrass nucleus configuration.
Se ti trovi nella us-east-1 regione, imposta il parametro di configurazione s3EndpointType su REGIONAL nella configurazione Greengrass nucleus. Questa funzionalità è disponibile per le versioni 2.11.3 o successive di Greengrass nucleus.

Esempio: configurazione dei componenti


{
"aws.greengrass.Nucleus": {
   "configuration": {
      "awsRegion": "us-east-1",
      "iotCredEndpoint": "xxxxxx.credentials.iot.region.amazonaws.com",
      "iotDataEndpoint": "xxxxxx-ats.iot.region.amazonaws.com",
      "greengrassDataPlaneEndpoint": "iotdata",
      "s3EndpointType": "REGIONAL"
      ...
     }
   }
}

La tabella seguente fornisce informazioni sugli alias DNS privati personalizzati corrispondenti.

Servizio	Nome del servizio endpoint VPC	Tipo di endpoint VPC	Alias DNS privato personalizzato	Note
AWS IoT data	`com.amazonaws.region.iot.data`	Interfaccia	`prefix-ats.iot.region.amazonaws.com`	Il record DNS privato deve corrispondere all'endpoint del AWS IoT data tuo account:. `aws iot describe–endpoint ––endpoint–type iot:Data-ATS`
AWS IoTCredenziali	`com.amazonaws.region.iot.credentials`	Interfaccia	`prefix.credentials.iot.region.amazonaws.com`	Il record DNS privato deve corrispondere all'endpoint delle AWS IoT credenziali del tuo account:. `aws iot describe–endpoint ––endpoint–type iot:CredentialProvider`
Amazon S3	`com.amazonaws.region.s3`	Interfaccia		Il record DNS viene creato automaticamente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Integrità del codice

Best practice di sicurezza