Configurazione - AWS IoT Core
Creare un oggetto IoTCreazione di un ruolo IAM da utilizzare come ruolo del dispositivoCrea una policy gestita su misura per un utente IAM per l'uso di Device AdvisorCrea un utente IAM per utilizzare Device AdvisorConfigurazione del dispositivo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione

Prima di utilizzare Device Advisor per la prima volta, completa le seguenti attività:

Creare un oggetto IoT

Innanzitutto, crea un oggetto IoT e collega un certificato a tale oggetto. Per un tutorial su come creare oggetti, consultare Creazione di un oggetto.

Creazione di un ruolo IAM da utilizzare come ruolo del dispositivo

Nota

È possibile creare rapidamente il ruolo del dispositivo utilizzando la console Device Advisor. Per ulteriori informazioni su come configurare il ruolo del dispositivo con la console Device Advisor, consultare Nozioni di base su Device Advisor nella console.

  1. Vai alla AWS Identity and Access Management console e accedi al file Account AWS che usi per i test di Device Advisor.

  2. Nel pannello di navigazione a sinistra scegli Policies (Policy).

  3. Scegli Crea policy.

  4. Sotto Create Policy (Crea policy), effettua le operazioni seguenti:

    1. Per Service (Servizio), scegli IoT.

    2. In Azioni, esegui una delle seguenti operazioni:

      • (Consigliato) Seleziona le azioni in base alla policy collegata all'oggetto IoT o al certificato creati nella sezione precedente.

      • Cerca le seguenti azioni nella casella Filtra le azioni e selezionale:

        • Connect

        • Publish

        • Subscribe

        • Receive

        • RetainPublish

    3. In Risorse, limita il client, l'argomento e le risorse argomento. La limitazione di queste risorse è una best practice di sicurezza. Per limitare le risorse, esegui le seguenti operazioni:

      1. Scegli Specifica ARN della risorsa client per l'operazione Connect.

      2. Scegli Aggiungi ARN, quindi esegui una delle seguenti operazioni:

        Nota

        Il clientId è l'ID client MQTT utilizzato dal dispositivo per interagire con Device Advisor.

        • Specifica Regione, accountID e clientID nell'editor ARN visivo.

        • Inserisci manualmente i nomi delle risorse Amazon (ARN) degli argomenti IoT con cui desideri eseguire i casi di test.

      3. Scegli Aggiungi.

      4. Scegli Specifica l'ARN della risorsa dell'argomento per la ricezione e un'altra operazione.

      5. Scegli Aggiungi ARN, quindi esegui una delle seguenti operazioni:

        Nota

        Il nome argomento è l'argomento MQTT in cui il dispositivo pubblica i messaggi.

        • Specifica Regione, accountID e Nome argomento nell'editor ARN visivo.

        • Inserisci manualmente gli ARN degli argomenti IoT con cui desideri eseguire i casi di test.

      6. Scegli Aggiungi.

      7. Scegli Specifica ARN della risorsa topicFilter per l'azione Sottoscrivere.

      8. Scegli Aggiungi ARN, quindi esegui una delle seguenti operazioni:

        Nota

        Il nome argomento è l'argomento MQTT a cui il dispositivo effettua la sottoscrizione.

        • Specifica Regione, accountID e Nome argomento nell'editor ARN visivo.

        • Inserisci manualmente gli ARN degli argomenti IoT con cui desideri eseguire i casi di test.

      9. Scegli Aggiungi.

  5. Scegliere Next: Tags (Successivo: Tag).

  6. Scegliere Next:Review (Successivo: Rivedi).

  7. In Verifica policy, immetti un Nome per la policy.

  8. Scegli Crea policy.

  9. Nel pannello di navigazione a sinistra seleziona Roles (Ruoli).

  10. Selezionare Crea ruolo.

  11. In Seleziona un'entità attendibile, scegli Policy di attendibilità personalizzata.

  12. Immetti la seguente policy di attendibilità nella casella Policy di attendibilità personalizzata. Per prevenire il problema "confused deputy", aggiungi le chiavi di contesto di condizione globali aws:SourceArn e aws:SourceAccount alla policy.

    Importante

    È necessaria la conformità di aws:SourceArn con format: arn:aws:iotdeviceadvisor:region:account-id:*.. Assicurati che region corrisponda alla regione AWS IoT e che account-id corrisponda all'ID dell'account cliente. Per ulteriori informazioni consulta la pagina relativa alla prevenzione del problema "confused deputy" tra servizi.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAwsIoTCoreDeviceAdvisor",
            "Effect": "Allow",
            "Principal": {
                "Service": "iotdeviceadvisor.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:iotdeviceadvisor:*:111122223333:suitedefinition/*"
                }
            }
        }
    ]
}

  13. Seleziona Successivo.

  14. Seleziona la policy creata nella Fase 4.

  15. (Opzionale) In Imposta il limite delle autorizzazioni, scegli Utilizza un limite delle autorizzazioni per controllare il numero massimo di autorizzazioni del ruolo, quindi seleziona la policy creata.

  16. Seleziona Successivo.

  17. Immetti Role name (Nome del ruolo) e Role description (Descrizione del ruolo).

  18. Scegli Crea ruolo.

Crea una policy gestita su misura per un utente IAM per l'uso di Device Advisor

  1. Accedi alla console IAM all'indirizzo https://console.aws.amazon.com/iam/. Se viene richiesto di effettuare l'accesso, immetti le tue credenziali AWS per accedere.

  2. Nel pannello di navigazione a sinistra, seleziona Policy.

  3. Seleziona Create policy (Crea policy), quindi scegli la scheda JSON.

  4. Aggiungi le autorizzazioni necessarie per utilizzare Device Advisor. Il documento della policy è disponibile nell'argomento relativo alle best practice per la sicurezza.

  5. Scegliere Review policy (Esamina policy).

  6. Immetti il Name (Nome) e la Description (Descrizione).

  7. Scegliere Create Policy (Crea policy).

Crea un utente IAM per utilizzare Device Advisor

Nota

È consigliabile creare un utente IAM da utilizzare durante l'esecuzione di test di Device Advisor. L'esecuzione dei test Device Advisor da un utente amministratore può comportare rischi per la sicurezza e non è consigliata.

  1. Passare alla console IAM all'indirizzo https://console.aws.amazon.com/iam/ Se richiesto, inserisci le tue credenziali AWS per l'accesso.

  2. Nel pannello di navigazione a sinistra, seleziona Users (Utenti).

  3. Scegli Add User (Aggiungi utente).

  4. Immetti un User name (Nome utente).

  5. Gli utenti necessitano di un accesso programmatico se desiderano interagire con utenti AWS esterni a. AWS Management Console Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS

    Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.

    Quale utente necessita dell'accesso programmatico? Per Come

    Identità della forza lavoro

    (Utenti gestiti nel centro identità IAM)

    		 Utilizza credenziali temporanee per firmare le richieste programmatiche agli AWS CLI AWS SDK o alle API. AWS

    Segui le istruzioni per l'interfaccia che desideri utilizzare.
    IAM Utilizza credenziali temporanee per firmare le richieste programmatiche agli SDK o alle API AWS CLI. AWS AWS Segui le istruzioni in Uso delle credenziali temporanee con AWS risorse nella Guida per l'utente IAM.
    IAM

    (Non consigliato)

    Utilizza credenziali a lungo termine per firmare le richieste programmatiche agli AWS CLI AWS SDK o alle API. AWS

    Segui le istruzioni per l'interfaccia che desideri utilizzare.

  6. Scegli Successivo: Autorizzazioni.

  7. Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

    • Utenti e gruppi in: AWS IAM Identity Center

      Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .

    • Utenti gestiti in IAM tramite un provider di identità:

      Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Creating a role for a third-party identity provider (federation) (Creazione di un ruolo per un provider di identità di terze parti [federazione]) nella Guida per l'utente di IAM.

    • Utenti IAM:

      • Crea un ruolo che l'utente possa assumere. Per istruzioni, consulta la pagina Creating a role for an IAM user (Creazione di un ruolo per un utente IAM) nella Guida per l'utente di IAM.

      • (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente di IAM.

  8. Nella casella di ricerca, immetti il nome della policy gestita dal cliente creata. Quindi, seleziona la casella di controllo per Nome della policy.

  9. Scegliere Next: Tags (Successivo: Tag).

  10. Scegliere Next:Review (Successivo:Rivedi).

  11. Seleziona Create user (Crea utente).

  12. Scegli Close (Chiudi).

Device Advisor richiede l'accesso alle tue AWS risorse (oggetti, certificati ed endpoint) per tuo conto. L'utente IAM deve disporre delle autorizzazioni necessarie. Device Advisor pubblicherà anche i log su Amazon CloudWatch se alleghi la politica di autorizzazioni necessaria al tuo utente IAM.

Configurazione del dispositivo

Device Advisor utilizza l'estensione TLS (SNI) per applicare le configurazioni di TLS. I dispositivi devono utilizzare questa estensione quando si collegano e passare un nome server identico all'endpoint di test di Device Advisor.

Device Advisor consente la connessione TLS quando un test è nello stato Running, ma nega la connessione TLS prima e dopo ogni esecuzione di un test. Per questo motivo, è consigliabile utilizzare il meccanismo di riconnessione del dispositivo per un'esperienza di test completamente automatizzata con Device Advisor. È possibile eseguire gruppi di test che includono più casi di test, ad esempio connessione TLS, connessione MQTT e pubblicazione MQTT. Se si eseguono più casi di test, è opportuno che il dispositivo tenti di connettersi all'endpoint di test ogni cinque secondi. È quindi possibile automatizzare l'esecuzione di più casi di test in sequenza.

Nota

Per preparare il software del dispositivo per il test, è consigliabile utilizzare una SDK in grado di connettersi a AWS IoT Core. Occorre quindi aggiornare l'SDK con l'endpoint di test di Device Advisor fornito per Account AWS.

Device Advisor supporta due tipi di endpoint: endpoint a livello di account ed endpoint a livello di dispositivo. Scegli l'endpoint che meglio si adatta al tuo caso d'uso. Per eseguire contemporaneamente più gruppi di test per dispositivi differenti, utilizza un endpoint a livello di dispositivo.

Eseguire il seguente comando per ottenere l'endpoint a livello di dispositivo:

Per i clienti MQTT che utilizzano certificati client X.509:

aws iotdeviceadvisor get-endpoint --thing-arn your-thing-arn

oppure

aws iotdeviceadvisor get-endpoint --certificate-arn your-certificate-arn

Per i WebSocket clienti che utilizzano la versione 4 di MQTT che utilizzano Signature:

aws iotdeviceadvisor get-endpoint --device-role-arn your-device-role-arn --authentication-method SignatureVersion4

Per eseguire una suite di test alla volta, scegli un endpoint a livello di account. Esegui il seguente comando per ottenere l'endpoint a livello di account:

aws iotdeviceadvisor get-endpoint