Endpoint VPC di Device Advisor (AWS PrivateLink) - AWS IoT Core
Considerazioni sugli endpoint AWS IoT Core Device Advisor VPCCreazione di un endpoint VPC dell'interfaccia per AWS IoT Core Device AdvisorControllo dell'accesso agli AWS IoT Core Device Advisor endpoint tramite VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Endpoint VPC di Device Advisor (AWS PrivateLink)

Puoi stabilire una connessione privata tra il tuo VPC e l'endpoint di AWS IoT Core Device Advisor test (piano dati) creando un endpoint VPC di interfaccia. È possibile utilizzare questo endpoint per convalidare AWS IoT i dispositivi per una connettività affidabile e sicura prima di distribuirli in produzione. AWS IoT Core I test predefiniti di Device Advisor consentono di convalidare il software del dispositivo in base alle best practice per l'utilizzo di TLS, MQTT, Device Shadow e Processi AWS IoT.

AWS PrivateLinkalimenta gli endpoint di interfaccia utilizzati con i tuoi dispositivi IoT. Questo servizio consente di accedere privatamente all'endpoint di test AWS IoT Core Device Advisor senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione AWS Direct Connect . Le istanze nel tuo VPC che inviano pacchetti TCP e MQTT non necessitano di indirizzi IP pubblici per comunicare con gli endpoint di test. AWS IoT Core Device Advisor Il traffico tra il tuo VPC e il tuo VPC AWS IoT Core Device Advisor non parte. Cloud AWS Qualsiasi comunicazione TLS e MQTT tra dispositivi IoT e casi di test di Device Advisor rimane all'interno delle risorse in Account AWS.

Ogni endpoint di interfaccia è rappresentato da una o più interfacce di rete elastiche nelle sottoreti.

Per ulteriori informazioni sull'uso degli endpoint VPC dell'interfaccia, consulta Endpoint VPC dell'interfaccia (AWS PrivateLink) nella Guida per l'utente di Amazon VPC.

Considerazioni sugli endpoint AWS IoT Core Device Advisor VPC

Prima di impostare endpoint VPC dell'interfaccia, rivedi le proprietà e le limitazioni dell'endpoint dell'interfaccia nella Guida per l'utente di Amazon VPC. Prima di continuare, valuta quanto segue:

  • AWS IoT Core Device Advisor attualmente supporta l'effettuazione di chiamate all'endpoint di test Device Advisor (piano dati) dal tuo VPC. Un broker di messaggi utilizza le comunicazioni presenti nel piano dati per inviare e ricevere dati, mediante l'uso di pacchetti TLS e MQTT. Endpoint VPC per AWS IoT Core Device Advisor connettere il dispositivo agli endpoint di AWS IoT test Device Advisor. Le azioni API del piano di controllo (control-plane) non vengono utilizzate da questo endpoint VPC. Per creare o eseguire una suite di test o altre API del piano di controllo, utilizza la console, un AWS SDK o un'interfaccia a riga di AWS comando sulla rete Internet pubblica.

  • I seguenti endpoint VPC Regioni AWS supportano: AWS IoT Core Device Advisor

    • Stati Uniti orientali (Virginia settentrionale)

    • US West (Oregon)

    • Asia Pacifico (Tokyo)

    • Europa (Irlanda)

  • Device Advisor supporta MQTT con certificati client X.509 e i certificati server RSA.

  • Le policy degli endpoint VPC non sono supportate in questo momento.

  • Controlla i prerequisiti degli endpoint VPC per istruzioni su come creare risorse che collegano endpoint VPC. È necessario creare un VPC e sottoreti private per utilizzare gli endpoint VPC. AWS IoT Core Device Advisor

  • Le tue risorse sono soggette a quote. AWS PrivateLink Per ulteriori informazioni, consulta la pagina relativa alle quote di AWS PrivateLink.

  • Gli endpoint VPC supportano solo il traffico IPv4.

Creazione di un endpoint VPC dell'interfaccia per AWS IoT Core Device Advisor

Per iniziare a usare gli endpoint VPC, crea un endpoint VPC dell'interfaccia. Quindi, seleziona AWS IoT Core Device Advisor come. Servizio AWS Se utilizzi il AWS CLI, chiama describe-vpc-endpoint-servicesper confermare che AWS IoT Core Device Advisor è presente in una zona di disponibilità del tuo Regione AWS. Verifica che il gruppo di sicurezza collegato all'endpoint consenta la comunicazione tramite protocollo TCP per il traffico MQTT e TLS. Ad esempio, nella regione Stati Uniti orientali (Virginia settentrionale), utilizza il seguente comando: 

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.deviceadvisor.iot

Puoi creare un endpoint VPC per AWS IoT Core utilizzare il seguente nome di servizio:

  • com.amazonaws.region.deviceadvisor.iot

Per impostazione predefinita, il DNS privato è attivato per l'endpoint. Ciò garantisce che l'uso dell'endpoint di test predefinito rimanga all'interno delle sottoreti private. Per creare un endpoint a livello di account o dispositivo, utilizza la console AWS CLI o un SDK. AWS Ad esempio, se esegui get-endpoint all'interno di una sottorete pubblica o sulla rete Internet pubblica, puoi ottenere l'endpoint e utilizzarlo per connetterti a Device Advisor. Per ulteriori informazioni, consulta Accesso a un servizio tramite un endpoint dell'interfaccia in Guida per l'utente di Amazon VPC.

Per connettere i client MQTT alle interfacce degli endpoint VPC, AWS PrivateLink il servizio crea record DNS in una zona ospitata privata collegata al VPC. Questi record DNS indirizzano le richieste del dispositivo AWS IoT all'endpoint VPC.

Controllo dell'accesso agli AWS IoT Core Device Advisor endpoint tramite VPC

Puoi limitare l'accesso ai dispositivi AWS IoT Core Device Advisor e consentire l'accesso solo tramite gli endpoint VPC utilizzando le chiavi contestuali delle condizioni VPC. AWS IoT Core supporta le seguenti chiavi di contesto relative al VPC:

Nota

AWS IoT Core Device Advisor al momento non supporta le policy degli endpoint VPC.

La seguente politica concede l'autorizzazione alla connessione AWS IoT Core Device Advisor utilizzando un ID client che corrisponde al nome dell'oggetto. Inoltre, pubblica in qualsiasi argomento che abbia come prefisso il nome dell'oggetto. La policy è subordinata al dispositivo che si connette a un endpoint VPC con un particolare ID endpoint VPC. Questa policy nega i tentativi di connessione all'endpoint di test AWS IoT Core Device Advisor pubblico. 

{
"Version": "2012-10-17",
    "Statement": [
        {
"Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
            ],
            "Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-1a2b3c4d"
                }
            }
            
        },
        {
"Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*"
            ]
        }
    ]
}