Utilizzo AWS IoT Core con gli endpoint VPC dell'interfaccia - AWS IoT Core
Creazione di endpoint VPC per il piano dati AWS IoT CoreCreazione di endpoint VPC per provider di credenziali AWS IoT CoreCreazione di un endpoint di interfaccia Amazon VPCConfigurazione della zona ospitata privataControllo dell'accesso agli AWS IoT Core endpoint tramite VPCLimitazioniScalabilità degli endpoint VPC con AWS IoT CoreUtilizzo di domini personalizzati con endpoint VPCDisponibilità di endpoint VPC per AWS IoT Core

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo AWS IoT Core con gli endpoint VPC dell'interfaccia

Con AWS IoT Core, puoi creare endpoint di dati IoT all'interno del tuo cloud privato virtuale (VPC) utilizzando gli endpoint VPC di interfaccia. Gli endpoint VPC di interfaccia sono alimentati da AWS PrivateLink, una AWS tecnologia che è possibile utilizzare per accedere ai servizi in esecuzione AWS utilizzando indirizzi IP privati. Per ulteriori informazioni, consulta Amazon Virtual Private Cloud.

Per connettere dispositivi sul campo su reti remote, ad esempio una rete aziendale, al tuo Amazon VPC, fai riferimento alle opzioni elencate nella matrice di connettività Network-Amazon VPC.

Creazione di endpoint VPC per il piano dati AWS IoT Core

Puoi creare un endpoint VPC per l'API del piano AWS IoT Core dati per connettere i tuoi dispositivi a AWS IoT servizi e altri servizi. AWS Per iniziare a usare gli endpoint VPC, crea un endpoint VPC di interfaccia e selezionalo come servizio. AWS IoT Core AWS Se utilizzi la CLI, chiama innanzitutto describe-vpc-endpoint-services per assicurarti di scegliere una zona di disponibilità in cui sia presente nel tuo particolare. AWS IoT Core Regione AWS Ad esempio, in us-east-1, questo comando ha il seguente aspetto:

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.data
Nota

La funzione VPC per la creazione automatica di un record DNS è disattivata. Per unirsi a questi endpoint, è necessario creare manualmente un registro DNS privato. Per ulteriori informazioni sui registri DNS VPC privati, consulta DNS privato per gli endpoint di interfaccia. Per ulteriori informazioni sulle limitazioni del AWS IoT Core VPC, consulta. Limitazioni

Per connettere i client MQTT alle interfacce degli endpoint VPC:

  • All'interno della tua zona ospitata privata, crea un record di alias per ogni IP di interfaccia di rete elastica per l'endpoint VPC. Se si dispone di più IP di interfaccia di rete per più endpoint VPC, crea registri DNS ponderati con pesi uguali in tutti i registri ponderati. Questi indirizzi IP sono disponibili dalla chiamata API DescribeNetworkInterfaces se filtrati in base all'ID dell'endpoint VPC nel campo della descrizione.

Consulta le istruzioni dettagliate riportate di seguito per creare un endpoint di interfaccia Amazon VPC e configurare una zona ospitata privata per AWS IoT Core il piano dati.

Creazione di endpoint VPC per provider di credenziali AWS IoT Core

È possibile creare un endpoint VPC per consentire al provider di AWS IoT Core credenziali di connettere i dispositivi utilizzando l'autenticazione basata su certificati client e ottenere credenziali temporanee AWS in formato Signature Version 4.AWS Per iniziare con gli endpoint VPC per il provider di AWS IoT Core credenziali, esegui il comando CLI create-vpc-endpoint per creare un endpoint VPC di interfaccia e seleziona il provider di credenziali come servizio. AWS IoT Core AWS Per assicurarti di scegliere una zona di disponibilità in cui sia presente nel tuo particolare caso, esegui prima il comando describe-vpc-endpoint-services AWS IoT Core . Regione AWS Ad esempio, in us-east-1, questo comando ha il seguente aspetto:

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.credentials
Nota

La funzione VPC per la creazione automatica di un record DNS è disattivata. Per unirsi a questi endpoint, è necessario creare manualmente un registro DNS privato. Per ulteriori informazioni sui registri DNS VPC privati, consulta DNS privato per gli endpoint di interfaccia. Per ulteriori informazioni sulle limitazioni del AWS IoT Core VPC, consulta. Limitazioni

Per connettere i client HTTP alle interfacce degli endpoint VPC:

  • All'interno della tua zona ospitata privata, crea un record di alias per ogni IP di interfaccia di rete elastica per l'endpoint VPC. Se si dispone di più IP di interfaccia di rete per più endpoint VPC, crea registri DNS ponderati con pesi uguali in tutti i registri ponderati. Questi indirizzi IP sono disponibili dalla chiamata API DescribeNetworkInterfaces se filtrati in base all'ID dell'endpoint VPC nel campo della descrizione.

Consulta le istruzioni dettagliate riportate di seguito per creare un endpoint di interfaccia Amazon VPC e configurare una zona ospitata privata per AWS IoT Core il fornitore di credenziali.

Creazione di un endpoint di interfaccia Amazon VPC

È possibile creare un endpoint VPC di interfaccia per connettersi ai AWS servizi forniti da. AWS PrivateLink Utilizzare la procedura seguente per creare un endpoint VPC di interfaccia che si connette al piano AWS IoT Core dati o AWS IoT Core al provider di credenziali. Per ulteriori informazioni, consulta Accedere a un AWS servizio utilizzando un endpoint VPC di interfaccia.

Nota

I processi per creare un endpoint di interfaccia Amazon VPC per il piano AWS IoT Core dati e il provider di AWS IoT Core credenziali sono simili, ma è necessario apportare modifiche specifiche all'endpoint per far funzionare la connessione.

Per creare un endpoint VPC di interfaccia utilizzando la console VPC Endpoints

  1. Vai alla console VPC Endpoints, sotto Virtual private cloud nel menu a sinistra, scegli Endpoints quindi Crea endpoint.

  2. Nella pagina Crea endpoint, specifica le seguenti informazioni.

    • Scegli Servizio AWS s per Categoria di servizio.

    • Per Service Name (Nome servizio), esegui la ricerca inserendo la parola chiave iot. Nell'elenco dei iot servizi visualizzati, scegli l'endpoint.

      Se crei un endpoint VPC per il piano AWS IoT Core dati, scegli l'endpoint API del piano AWS IoT Core dati per la tua regione. L'endpoint sarà del formato com.amazonaws.region.iot.data.

      Se crei un endpoint VPC per un provider di AWS IoT Core credenziali, scegli l'endpoint del provider di AWS IoT Core credenziali per la tua regione. L'endpoint sarà del formato com.amazonaws.region.iot.credentials.

      Nota

      Il nome del servizio per il piano AWS IoT Core dati nella regione cinese avrà il seguente formato. cn.com.amazonaws.region.iot.data La creazione di endpoint VPC per il provider di AWS IoT Core credenziali non è supportata nella regione Cina.

    • Per VPC e Subnets (Sottoreti) scegli il VPC in cui desideri creare l'endpoint e le zone di disponibilità in cui desideri creare la rete endpoint.

    • Per Enable DNS name (Abilitare nome DNS), assicurati che Enable for this endpoint (Abilita per questo endpoint) non sia selezionata. Né il piano AWS IoT Core dati né il provider di AWS IoT Core credenziali supportano ancora i nomi DNS privati.

    • In Security group (Gruppo di sicurezza), scegli i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint.

    • Facoltativamente, puoi aggiungere o rimuovere i tag. I tag sono coppie nome-valore utilizzate per l'associazione al tuo endpoint.

  3. Per creare l'endpoint VPC, scegli Create endpoint (Crea endpoint).

Dopo aver creato l' AWS PrivateLink endpoint, nella scheda Dettagli dell'endpoint, vedrai un elenco di nomi DNS. Puoi utilizzare uno di questi nomi DNS che hai creato in questa sezione per configurare la tua zona ospitata privata.

Configurazione della zona ospitata privata

Puoi utilizzare uno di questi nomi DNS creati nella sezione precedente per configurare la tua zona ospitata privata.

Per il piano AWS IoT Core dati

Il nome DNS deve essere il nome di configurazione del dominio o l'IoT:Data-ATSendpoint. Un nome DNS di esempio può essere:. xxx-ats.data.iot.region.amazonaws.com

Per fornitore di AWS IoT Core credenziali

Il nome DNS deve essere il tuo iot:CredentialProvider endpoint. Un nome DNS di esempio può essere:. xxxx.credentials.iot.region.amazonaws.com

Nota

I processi per configurare la zona ospitata privata per il piano AWS IoT Core dati e il provider di AWS IoT Core credenziali sono simili, ma è necessario apportare modifiche specifiche dell'endpoint per far funzionare la connessione.

Crea una zona ospitata privata

Per creare una zona ospitata privata utilizzando la console Route 53

  1. Passa alla console Route 53 Hosted zone (Zone ospitate) e scegli Create hosted zone (Crea una zona ospitata).

  2. Nella pagina Create hosted zone (Crea una zona ospitata), specifica le informazioni riportate di seguito.

    • Per Nome di dominio, inserisci l'indirizzo dell'endpoint del tuo iot:Data-ATS o dell'iot:CredentialProviderendpoint. Il seguente comando AWS CLI mostra come ottenere l'endpoint tramite una rete pubblica:aws iot describe-endpoint --endpoint-type iot:Data-ATS, o. aws iot describe-endpoint --endpoint-type iot:CredentialProvider

      Nota

      Se utilizzi domini personalizzati, consulta Utilizzo di domini personalizzati con endpoint VPC. I domini personalizzati non sono supportati per AWS IoT Core il provider di credenziali.

    • Nell'elenco Type (Tipo), scegli Private Hosted Zone (Zona ospitata privata).

    • Facoltativamente, puoi aggiungere o rimuovere tag da associare alla tua zona ospitata.

  3. Per creare la tua zona privata ospitata, scegli Create hosted zone (Crea una zona ospitata).

Per ulteriori informazioni consulta Creating a private hosted zone (Creazione di una zona ospitata privata).

Creazione di un record

Dopo aver creato una zona ospitata privata, è possibile creare un registro che indica al DNS come si desidera che il traffico venga instradato a quel dominio.

Per creare un record

  1. Nell'elenco delle zone ospitate visualizzate, scegli la zona ospitata privata creata in precedenza e scegli Create record (Crea un record).

  2. Utilizza il metodo della procedura guidata per creare il record. Se la console presenta il metodo Quick create (Creazione rapida), scegli Switch to wizard (Passa alla procedura guidata).

  3. Scegli Simple Routing (Instradamento semplice) per Routing policy (Policy di instradamento) e poi Next (Successivo).

  4. Nella pagina Configure records (Configura record), scegli Define simple record (Definisci record semplice).

  5. Nella pagina Define simple record (Definisci record semplice):

    • Per Nome del record, inserisci iot:Data-ATS endpoint o iot:CredentialProvider endpoint. Deve essere lo stesso nome della zona ospitata privata.

    • Per Record type (Tipo di record), mantieni il valore come A - Routes traffic to an IPv4 address and some AWS resources.

    • In Value/Route traffic to (Valore/Instradamento del traffico a), seleziona Alias to VPC endpoint (Alias all’endpoint VPC). Scegli la tua Regione quindi scegli l'endpoint creato in precedenza, come descritto in Creazione di un endpoint di interfaccia Amazon VPC dall'elenco degli endpoint visualizzati.

  6. Scegli Define simple record (Definizione del record semplice) per creare il record.

Controllo dell'accesso agli AWS IoT Core endpoint tramite VPC

Puoi limitare l'accesso AWS IoT Core ai dispositivi in modo che sia consentito solo tramite l'endpoint VPC utilizzando le chiavi contestuali delle condizioni VPC. AWS IoT Core supporta le seguenti chiavi di contesto relative al VPC:

Nota

AWS IoT Core non supporta le policy degli endpoint per gli endpoint VPC.

Ad esempio, la seguente politica concede l'autorizzazione a connettersi AWS IoT Core utilizzando un ID client che corrisponde al nome dell'oggetto e a pubblicare su qualsiasi argomento preceduto dal nome dell'oggetto, a condizione che il dispositivo si connetta a un endpoint VPC con un ID endpoint VPC particolare. Questa policy negherebbe i tentativi di connessione all'endpoint dati IoT pubblico.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-1a2b3c4d"
                }
            }
            
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*"
            ]
        }
    ]
}

Limitazioni

Gli endpoint VPC sono attualmente supportati solo per gli endpoint di AWS IoT Core dati e AWS IoT Core gli endpoint dei provider di credenziali.

Limitazioni degli endpoint VPC per dati IoT

Questa sezione descrive i limiti degli endpoint VPC di dati IoT.

  • I periodi keep-alive di MQTT i sono limitati a 230 secondi. I periodi di mantenimento in vita più lunghi verranno automaticamente ridotti a 230 secondi.

  • Ogni endpoint VPC supporta un totale di 100.000 dispositivi collegati. Se hai bisogno di più connessioni, consulta Scalabilità degli endpoint VPC con AWS IoT Core.

  • Gli endpoint VPC supportano solo il traffico IPv4.

  • Gli endpoint VPC serviranno solo Certificati ATS, ad eccezione dei domini personalizzati.

  • Le policy degli endpoint VPC non sono supportate.

  • Per gli endpoint VPC creati per il piano AWS IoT Core dati, AWS IoT Core non supporta l'utilizzo di record DNS pubblici zonali o regionali.

Limitazioni degli endpoint dei provider di credenziali

Questa sezione descrive i limiti degli endpoint VPC del provider di credenziali.

  • Gli endpoint VPC supportano solo il traffico IPv4.

  • Gli endpoint VPC serviranno solo certificati ATS.

  • Le policy degli endpoint VPC non sono supportate.

  • I domini personalizzati non sono supportati per gli endpoint dei provider di credenziali.

  • Per gli endpoint VPC creati per il provider di AWS IoT Core credenziali, AWS IoT Core non supporta l'utilizzo di record DNS pubblici zonali o regionali.

Scalabilità degli endpoint VPC con AWS IoT Core

AWS IoT Core Gli endpoint VPC di interfaccia sono limitati a 100.000 dispositivi connessi su un singolo endpoint di interfaccia. Se il tuo caso d'uso richiede più connessioni simultanee al broker, ti consigliamo di utilizzare più endpoint VPC e di instradare manualmente i tuoi dispositivi attraverso gli endpoint dell'interfaccia. Quando crei registri DNS privati per instradare il traffico verso gli endpoint VPC, assicurati di creare tutti i registri ponderati quanti sono gli endpoint VPC per distribuire il traffico su più endpoint.

Utilizzo di domini personalizzati con endpoint VPC

Se desideri utilizzare domini personalizzati con endpoint VPC, devi creare i record dei nomi di dominio personalizzati in una zona ospitata privata e creare record di routing in Route53. Per ulteriori informazioni, consulta Creazione di una zona ospitata privata.

Nota

I domini personalizzati sono supportati solo per gli endpoint di AWS IoT Core dati.

Disponibilità di endpoint VPC per AWS IoT Core

AWS IoT Core Gli endpoint VPC dell'interfaccia sono disponibili in tutte AWS IoT Core le regioni supportate. AWS IoT Core Gli endpoint VPC dell'interfaccia per il provider di AWS IoT Core credenziali non sono supportati nella regione Cina e. AWS GovCloud (US) Regions