Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Utilizzo del tunneling AWS IoT Device Management sicuro con endpoint VPC di interfaccia
AWS IoT Device Management il tunneling sicuro supporta gli endpoint VPC di interfaccia. Puoi utilizzare gli endpoint VPC per mantenere il traffico tra il tuo VPC e AWS IoT Secure Tunneling all'interno della AWS rete, senza richiedere un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect
Gli endpoint VPC di interfaccia sono alimentati da [AWS PrivateLink](https://docs.aws.amazon.com//vpc/latest/privatelink/what-is-privatelink.html), una tecnologia che consente di accedere in modo privato ai servizi utilizzando indirizzi IP privati. Per ulteriori informazioni, consulta [Accedere a un AWS servizio utilizzando un endpoint VPC di interfaccia nella Guida](https://docs.aws.amazon.com//vpc/latest/privatelink/create-interface-endpoint.html). AWS PrivateLink
**Topics**
+ [Prerequisiti](#Create-ST-VPC-endpoints-prereq)
+ [Ricezione di notifiche del tunnel tramite endpoint VPC](#ST-VPC-Receive-notifications)
+ [Creazione di endpoint VPC per un tunneling sicuro](#Create-ST-VPC-endpoints-Create)
+ [Configurazione delle policy degli endpoint VPC sul server proxy](#Create-ST-VPC-endpoints-Configure)
+ [Fasi successive](#Create-ST-VPC-endpoints-Next)
## Prerequisiti
Prima di creare endpoint VPC per AWS IoT Secure Tunneling, verifica di disporre di quanto segue:
+ Un AWS account con le autorizzazioni necessarie per creare endpoint VPC.
+ Un VPC nel tuo AWS account.
+ Comprensione dei concetti di tunneling AWS IoT Device Management sicuro.
+ Familiarità con le policy AWS Identity and Access Management degli endpoint VPC e (IAM)
## Ricezione di notifiche del tunnel tramite endpoint VPC
Per ricevere le notifiche del tunnel tramite un endpoint VPC, i dispositivi possono connettersi al piano AWS IoT Core dati tramite un endpoint VPC e sottoscrivere l'argomento MQTT riservato al tunneling sicuro.
Per istruzioni su come creare e configurare un endpoint VPC nel piano AWS IoT Core dati, consulta Using with [AWS IoT Core interface VPC endpoint](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html) nella Developer Guide. AWS IoT
## Creazione di endpoint VPC per un tunneling sicuro
È possibile creare endpoint VPC sia per il piano di controllo del tunneling sicuro che per il server proxy.
**Per creare un endpoint VPC per un tunneling sicuro**
1. Segui i passaggi descritti nella sezione [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com//vpc/latest/privatelink/create-interface-endpoint.html) nella Amazon VPC Developer Guide
1. Per **Service name**, scegli una delle seguenti opzioni in base al tipo di endpoint:
**Piano di controllo**
+ Standard: `com.amazonaws..iot.tunneling.api`
+ FIPS (disponibile nelle regioni FIPS): `com.amazonaws..iot-fips.tunneling.api`
**Server proxy**
+ Standard: `com.amazonaws..iot.tunneling.data`
+ FIPS (disponibile nelle regioni FIPS): `com.amazonaws..iot-fips.tunneling.data`
Sostituisci ** con il tuo. Regione AWS Ad esempio, `us-east-1`.
1. Completa i passaggi rimanenti del processo di creazione degli endpoint VPC in base ai requisiti di rete.
## Configurazione delle policy degli endpoint VPC sul server proxy
Oltre all'autorizzazione basata su token di accesso client utilizzata per autorizzare le connessioni ai tunnel, puoi utilizzare le policy degli endpoint VPC per limitare ulteriormente il modo in cui i dispositivi possono utilizzare un endpoint VPC per connettersi al Secure Tunneling Proxy Server. Le policy degli endpoint VPC seguono una sintassi simile a quella di IAM e sono configurate sull'endpoint VPC stesso.
Tieni presente che l'unica azione IAM supportata per le policy degli endpoint VPC del server proxy è. `iot:ConnectToTunnel`
Di seguito sono riportati alcuni esempi di diverse policy per gli endpoint VPC.
### Esempi di policy relative agli endpoint VPC del server proxy
Gli esempi seguenti mostrano le configurazioni delle policy degli endpoint VPC di Proxy Server per casi d'uso comuni.
**Example - Politica predefinita**
Questa policy consente ai dispositivi all'interno del tuo VPC di connettersi a qualsiasi tunnel nello stesso punto in Regione AWS cui viene creato l'endpoint, su qualsiasi account. AWS
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "*",
"Resource": "*"
}
]
}
```
**Example - Limita l'accesso a account specifici AWS**
Questa policy consente all'endpoint VPC di connettersi solo ai tunnel di account specifici. AWS
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "iot:ConnectToTunnel",
"Resource": [
"arn:aws:iot:us-east-1:111122223333:tunnel/*",
"arn:aws:iot:us-east-1:444455556666:tunnel/*"
]
}
]
}
```
**Example - Limita le connessioni in base all'endpoint del tunnel**
Puoi limitare l'accesso agli endpoint VPC per consentire solo ai dispositivi di connettersi all'estremità di origine o destinazione di un tunnel.
Solo origine:
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "iot:ConnectToTunnel",
"Resource": "*",
"Condition": {
"StringEquals": {
"iot:ClientMode": "source"
}
}
}
]
}
```
Solo destinazione:
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "iot:ConnectToTunnel",
"Resource": "*",
"Condition": {
"StringEquals": {
"iot:ClientMode": "destination"
}
}
}
]
}
```
**Example - Limita l'accesso in base ai tag delle risorse**
Questa policy consente all'endpoint VPC di connettersi solo ai tunnel etichettati con una coppia chiave-valore specifica.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "iot:ConnectToTunnel",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Environment": "Production"
}
}
}
]
}
```
**Example - Condizioni politiche combinate**
Questa politica dimostra la combinazione di più elementi politici. Consente le connessioni a qualsiasi tunnel in un AWS account specifico, ma solo se il tunnel è etichettato con `AllowConnectionsThroughPrivateLink` set to `true` e il client non si connette all'estremità di destinazione del tunnel.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "iot:ConnectToTunnel",
"Resource": [
"arn:aws:iot:us-east-1:111122223333:tunnel/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AllowConnectionsThroughPrivateLink": "true"
}
}
},
{
"Effect": "Deny",
"Principal": "*",
"Action": "iot:ConnectToTunnel",
"Resource": [
"arn:aws:iot:us-east-1:111122223333:tunnel/*"
],
"Condition": {
"StringEquals": {
"iot:ClientMode": "destination"
}
}
}
]
}
```
## Fasi successive
Dopo aver creato e configurato gli endpoint VPC per AWS IoT Secure Tunneling, considera quanto segue:
+ Verifica la configurazione dell'endpoint VPC collegando i dispositivi tramite l'endpoint.
+ Monitora l'utilizzo degli endpoint VPC tramite metriche. Amazon CloudWatch
+ Rivedi e aggiorna le policy degli endpoint VPC in base alle tue esigenze di sicurezza.
Per ulteriori informazioni sul tunneling AWS IoT Device Management sicuro, consulta. [AWS IoT Secure Tunneling](https://docs.aws.amazon.com//iot/latest/developerguide/secure-tunneling.html)