チュートリアル: AWS IoT Core のカスタムオーソライザーの作成
このチュートリアルでは、AWS CLI を使用してカスタム認証を作成、検証、使用する手順を示します。オプションで、このチュートリアルを使用して、HTTP Publish API を使用して AWS IoT Core にデータを送信するために Postman を使用できます。
このチュートリアルでは、トークン署名が有効な create-authorizer 呼び出しを使用して、認可および認証ロジックとカスタムオーソライザーを実装するサンプル Lambda 関数を作成する方法を示します。その後、オーソライザーは test-invoke-authorizer を使用して検証されます。これで、テスト MQTT トピックに対して HTTP Publish API を使用してデータを AWS IoT Core に送信できます。サンプルリクエストでは、x-amz-customauthorizer-name
ヘッダーを使用して呼び出すオーソライザーを指定し、トークンキー名と x-amz-customauthorizer-signature
をリクエストヘッダーで渡します。
このチュートリアルでは、次の内容を学習します。
カスタムオーソライザーハンドラーとなる Lambda 関数を作成する方法
トークン署名を有効にした状態で AWS CLI を使用してカスタムオーソライザーを作成する方法
test-invoke-authorizer コマンドを使用してカスタムオーソライザーをテストする方法
Postman
を使用して MQTT トピックを発行し、カスタムオーソライザーでリクエストを検証する方法
このチュートリアルの完了には 60 分ほどかかります。
このチュートリアルでは、次の作業を行います。
このチュートリアルを開始する前に、以下の要件を満たしていることを確認してください。
-
AWS アカウント を設定する
このチュートリアルを完了するには、AWS アカウント と AWS IoT コンソールが必要です。
このチュートリアルで使用するアカウントは、少なくとも次の AWS マネージドポリシーが含まれている場合に最適に機能します。
重要
このチュートリアルで使用される IAM ポリシーは、本稼働環境で従うべきものよりも許容度が高いです。本稼働環境で、アカウントポリシーとリソースポリシーが必要なアクセス許可のみを付与していることを確認します。
本稼働用の IAM ポリシーを作成する場合は、ユーザーとロールに必要なアクセスを判断し、次にそれらのタスクのみの実行を許可するポリシーを設計します。
詳細については、IAM のセキュリティのベストプラクティスを参照してください。
-
AWS CLI をインストールする
AWS CLI のインストール方法の詳細については、「AWS CLI のインストール」を参照してください。このチュートリアルでは、AWS CLI バージョン
aws-cli/2.1.3 Python/3.7.4 Darwin/18.7.0 exe/x86_64
以降が必要です。 -
OpenSSL ツール
このチュートリアルの例では、LibreSSL 2.6.5
を使用しています。このチュートリアルでは、OpenSSL v1.1.1i ツールを使用することもできます。 -
「AWS Lambda の概要」を確認します。
これまで AWS Lambda を使用したことがない場合は、AWS Lambda と Lambda の開始方法を確認して、その用語と概念を確認してください。
-
Postman でリクエストを作成する方法を見直しました
詳細については、「リクエストのビルド
」を参照してください。 -
以前のチュートリアルからカスタムオーソライザーを削除しました
AWS アカウント で一度に設定できるカスタムオーソライザーの数は限られています。カスタムオーソライザーの削除方法の詳細については、ステップ 8: クリーンアップする を参照してください。
ステップ 1: カスタムオーソライザー用の Lambda 関数を作成する
AWS IoT Core のカスタム認証は、クライアントを認証および承認するために作成したオーソライザーリソースを使用します。このセクションで作成する関数は、クライアントが AWS IoT Core に接続して AWS IoT リソースにアクセスするときに、クライアントを認証および承認します。
Lambda 関数は以下を実行します。
-
リクエストが test-invoke-authorizer からのものである場合、
Deny
アクションを含む IAM ポリシーを返します。 -
リクエストが HTTP を使用して Postman から送信され、
actionToken
パラメータの値がallow
の場合、Allow
アクションを使用して IAM ポリシーを返します。それ以外の場合は、Deny
アクションを含む IAM ポリシーを返します。
カスタムオーソライザー用の Lambda 関数を作成するには
-
[Create function] を選択します。
-
[一から作成] が選択されていることを確認します。
-
[Basic information]:
-
[関数名] に
custom-auth-function
と入力します。 -
[ランタイム] で、[Node.js 18.x] を確認します
-
-
[Create function] を選択します。
Lambda により、Node.js の関数と実行ロールが作成され、ログをアップロードするためのアクセス許可が関数に付与されます。この Lambda 関数は、ユーザーの関数が呼び出される際に実行ロールを引き受け、そのロールを使用して AWS SDK のための認証情報を作成し、イベントソースからのデータの読み取りを行います。
-
AWS Cloud9 エディタで関数のコードと設定を表示するには、デザイナーウィンドウで [custom-auth-function] を選択し、エディタのナビゲーションペインで [index.js] を選択します。
Node.js などのスクリプト言語では、Lambda には成功のレスポンスを返す基本関数が含まれています。ソースコードが 3 MB を超えない限り、AWS Cloud9 エディタを使用して関数を編集できます。
-
エディタの index.js コードを次のコードに置き換えます。
// A simple Lambda function for an authorizer. It demonstrates // How to parse a CLI and Http password to generate a response. export const handler = async (event, context, callback) => { //Http parameter to initiate allow/deny request const HTTP_PARAM_NAME='actionToken'; const ALLOW_ACTION = 'Allow'; const DENY_ACTION = 'Deny'; //Event data passed to Lambda function var event_str = JSON.stringify(event); console.log('Complete event :'+ event_str); //Read protocolData from the event json passed to Lambda function var protocolData = event.protocolData; console.log('protocolData value---> ' + protocolData); //Get the dynamic account ID from function's ARN to be used // as full resource for IAM policy var ACCOUNT_ID = context.invokedFunctionArn.split(":")[4]; console.log("ACCOUNT_ID---"+ACCOUNT_ID); //Get the dynamic region from function's ARN to be used // as full resource for IAM policy var REGION = context.invokedFunctionArn.split(":")[3]; console.log("REGION---"+REGION); //protocolData data will be undefined if testing is done via CLI. // This will help to test the set up. if (protocolData === undefined) { //If CLI testing, pass deny action as this is for testing purpose only. console.log('Using the test-invoke-authorizer cli for testing only'); callback(null, generateAuthResponse(DENY_ACTION,ACCOUNT_ID,REGION)); } else{ //Http Testing from Postman //Get the query string from the request var queryString = event.protocolData.http.queryString; console.log('queryString values -- ' + queryString); /* global URLSearchParams */ const params = new URLSearchParams(queryString); var action = params.get(HTTP_PARAM_NAME); if(action!=null && action.toLowerCase() === 'allow'){ callback(null, generateAuthResponse(ALLOW_ACTION,ACCOUNT_ID,REGION)); }else{ callback(null, generateAuthResponse(DENY_ACTION,ACCOUNT_ID,REGION)); } } }; // Helper function to generate the authorization IAM response. var generateAuthResponse = function(effect,ACCOUNT_ID,REGION) { var full_resource = "arn:aws:iot:"+ REGION + ":" + ACCOUNT_ID + ":*"; console.log("full_resource---"+full_resource); var authResponse = {}; authResponse.isAuthenticated = true; authResponse.principalId = 'principalId'; var policyDocument = {}; policyDocument.Version = '2012-10-17'; policyDocument.Statement = []; var statement = {}; statement.Action = 'iot:*'; statement.Effect = effect; statement.Resource = full_resource; policyDocument.Statement[0] = statement; authResponse.policyDocuments = [policyDocument]; authResponse.disconnectAfterInSeconds = 3600; authResponse.refreshAfterInSeconds = 600; console.log('custom auth policy function called from http'); console.log('authResponse --> ' + JSON.stringify(authResponse)); console.log(authResponse.policyDocuments[0]); return authResponse; }
-
[デプロイ] を選択します。
-
[変更がデプロイされました] がエディタの上に表示されたら、次の操作を実行します。
-
エディタの上にある [関数の概要] セクションまでスクロールします。
-
このチュートリアルの後半で使用するために、[関数 ARN] をコピーして保存します。
-
-
関数をテストします。
-
[テスト] タブを選択します。
-
デフォルトのテスト設定を使用して、[呼び出し] を選択します。
-
テストが成功した場合は、[実行結果] で [詳細] ビューを開きます。関数が返したポリシードキュメントが表示されます。
テストが失敗した場合、またはポリシードキュメントが表示されない場合は、コードを確認し、エラーを見つけて修正します。
-
ステップ 2: カスタムオーソライザーのパブリックキーとプライベートキーのペアを作成する
カスタムオーソライザーでは、認証にパブリックキーとプライベートキーが必要です。このセクションのコマンドは、OpenSSL ツールを使用してこのキーペアを作成します。
カスタムオーソライザーのパブリックキーとプライベートキーのペアを作成するには
-
プライベートキーファイルを作成します。
openssl genrsa -out private-key.pem 4096
-
先ほど作成したプライベートキーファイルを検証します。
openssl rsa -check -in private-key.pem -noout
コマンドがエラーを表示しない場合、プライベートキーファイルは有効です。
-
パブリックキーファイルを作成します。
openssl rsa -in private-key.pem -pubout -out public-key.pem
-
パブリックキーファイルを確認します。
openssl pkey -inform PEM -pubin -in public-key.pem -noout
コマンドがエラーを表示しない場合、パブリックキーファイルは有効です。
ステップ 3: カスタムオーソライザーリソースとその承認を作成する
AWS IoT カスタムオーソライザーは、前のステップで作成されたすべての要素を結び付けるリソースです。このセクションでは、カスタムオーソライザーリソースを作成し、以前に作成した Lambda 関数を実行するためのアクセス許可を付与します。カスタムオーソライザーリソースを作成するために、AWS IoT コンソール、AWS CLI、または AWS API を使用できます。
このチュートリアルでは、1 つのカスタムオーソライザーを作成するだけで済みます。このセクションでは、AWS IoT コンソールと AWS CLI を使用して作成する方法について説明します。最も便利な方法を使用してください。どちらの方法でも作成されたカスタムオーソライザーリソースには違いはありません。
カスタムオーソライザーリソースを作成する
オプションを選択してカスタムオーソライザーリソースを作成する
カスタムオーソライザーを作成するには (コンソール)
-
AWS IoT コンソールの [カスタムオーソライザー] ページ
を開き、[オーソライザーの作成] を選択します。 -
[オーソライザーの作成] で、次のように操作します。
-
[オーソライザーの名前] に、
my-new-authorizer
と入力します。 -
[オーソライザーのステータス] で、[アクティブ] にチェックを入れます。
-
[オーソライザー関数] で、前に作成した Lambda 関数を選択します。
-
[トークン検証 - オプション] で次の操作を実行します。
-
[トークン検証] をオンにします。
-
[トークンキー名] に、
tokenKeyName
を入力します。 -
[Add key] (キーの追加) を選択します。
-
[キー名] で
FirstKey
を入力します。 -
[パブリックキー] で、
public-key.pem
ファイルの内容を入力します。-----BEGIN PUBLIC KEY-----
と-----END PUBLIC KEY-----
を含むファイルの行を必ず含め、ラインフィード、キャリッジリターン、またはその他の文字をファイルの内容に追加したり、ファイルの内容から削除したりしないでください。入力する文字列は、この例のように表示されます。-----BEGIN PUBLIC KEY----- MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAvEBzOk4vhN+3LgslvEWt sLCqNmt5Damas3bmiTRvq2gjRJ6KXGTGQChqArAJwL1a9dkS9+maaXC3vc6xzx9z QPu/vQOe5tyzz1MsKdmtFGxMqQ3qjEXAMPLEOmqyUKPP5mff58k6ePSfXAnzBH0q lg2HioefrpU5OSAnpuRAjYKofKjbc2Vrn6N2G7hV+IfTBvCElf0csalS/Rk4phD5 oa4Y0GHISRnevypg5C8n9Rrz91PWGqP6M/q5DNJJXjMyleG92hQgu1N696bn5Dw8 FhedszFa6b2x6xrItZFzewNQkPMLMFhNrQIIyvshtT/F1LVCS5+v8AQ8UGGDfZmv QeqAMAF7WgagDMXcfgKSVU8yid2sIm56qsCLMvD2Sq8Lgzpey9N5ON1o1Cvldwvc KrJJtgwW6hVqRGuShnownLpgG86M6neZ5sRMbVNZO8OzcobLngJ0Ibw9KkcUdklW gvZ6HEJqBY2XE70iEXAMPLETPHzhqvK6Ei1HGxpHsXx6BNft582J1VpgYjXha8oa /NN7l7Zbj/euAb41IVtmX8JrD9z613d1iM5L8HluJlUzn62Q+VeNV2tdA7MfPfMC 8btGYladFAnitThaz6+F0VSBJPu7pZQoLnqyEp5zLMtF+kFl2yOBmGAP0RBivRd9 JWBUCG0bqcLQPeQyjbXSOfUCAwEAAQ== -----END PUBLIC KEY-----
-
-
-
[オーソライザーの作成] を選択します。
-
カスタムオーソライザーリソースが作成された場合は、カスタムオーソライザーのリストが表示され、新しいカスタムオーソライザーがそのリストに表示されます。これで、次のセクションに進んでテストできます。
エラーが表示された場合は、エラーを確認し、カスタムオーソライザーを再度作成して、エントリを再確認してください。各カスタムオーソライザーリソースには一意の名前が必要であることに注意してください。
カスタムオーソライザーを作成するには (AWS CLI)
-
authorizer-function-arn
とtoken-signing-public-keys
の値を置き換えてから、次のコマンドを実行します。aws iot create-authorizer \ --authorizer-name "my-new-authorizer" \ --token-key-name "tokenKeyName" \ --status ACTIVE \ --no-signing-disabled \ --authorizer-function-arn "
arn:aws:lambda:
" \ --token-signing-public-keys FirstKey="Region
:57EXAMPLE833:function:custom-auth-function-----BEGIN PUBLIC KEY----- MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAvEBzOk4vhN+3LgslvEWt sLCqNmt5Damas3bmiTRvq2gjRJ6KXGTGQChqArAJwL1a9dkS9+maaXC3vc6xzx9z QPu/vQOe5tyzz1MsKdmtFGxMqQ3qjEXAMPLEOmqyUKPP5mff58k6ePSfXAnzBH0q lg2HioefrpU5OSAnpuRAjYKofKjbc2Vrn6N2G7hV+IfTBvCElf0csalS/Rk4phD5 oa4Y0GHISRnevypg5C8n9Rrz91PWGqP6M/q5DNJJXjMyleG92hQgu1N696bn5Dw8 FhedszFa6b2x6xrItZFzewNQkPMLMFhNrQIIyvshtT/F1LVCS5+v8AQ8UGGDfZmv QeqAMAF7WgagDMXcfgKSVU8yid2sIm56qsCLMvD2Sq8Lgzpey9N5ON1o1Cvldwvc KrJJtgwW6hVqRGuShnownLpgG86M6neZ5sRMbVNZO8OzcobLngJ0Ibw9KkcUdklW gvZ6HEJqBY2XE70iEXAMPLETPHzhqvK6Ei1HGxpHsXx6BNft582J1VpgYjXha8oa /NN7l7Zbj/euAb41IVtmX8JrD9z613d1iM5L8HluJlUzn62Q+VeNV2tdA7MfPfMC 8btGYladFAnitThaz6+F0VSBJPu7pZQoLnqyEp5zLMtF+kFl2yOBmGAP0RBivRd9 JWBUCG0bqcLQPeQyjbXSOfUCAwEAAQ== -----END PUBLIC KEY-----
"各パラメータの意味は次のとおりです。
-
authorizer-function-arn
値は、カスタムオーソライザー用に作成した Lambda 関数の Amazon リソースネーム (ARN) です。 -
token-signing-public-keys
値には、キーの名前、FirstKey
、およびpublic-key.pem
ファイルの内容が含まれます。-----BEGIN PUBLIC KEY-----
と-----END PUBLIC KEY-----
を含むファイルの行を必ず含め、ラインフィード、キャリッジリターン、またはその他の文字をファイルの内容に追加したり、ファイルの内容から削除したりしないでください。注: パブリックキーの値を変更すると使用できなくなるため、パブリックキーの入力には注意してください。
-
-
カスタムオーソライザーが作成されている場合、コマンドは次のような新しいリソースの名前と ARN を返します。
{ "authorizerName": "my-new-authorizer", "authorizerArn": "arn:aws:iot:
Region
:57EXAMPLE833:authorizer/my-new-authorizer" }次のステップで使用するために
authorizerArn
値を保存します。各カスタムオーソライザーリソースには一意の名前が必要であることに注意してください。
カスタムオーソライザーリソースを承認する
このセクションでは、作成したカスタムオーソライザーリソースに、Lambda 関数を実行するためのアクセス許可を付与します。アクセス許可を付与するには、add-permission CLI コマンドを使用できます。
AWS CLI を使用して Lambda 関数にアクセス許可を付与する
-
値を挿入したら、次のコマンドを入力します。
statement-id
値は一意でなければならないことに注意してください。このチュートリアルを以前に実行したことがある場合、またはResourceConflictException
エラーが発生した場合は、
を別の値に置き換えてください。Id-1234
aws lambda add-permission \ --function-name "custom-auth-function" \ --principal "iot.amazonaws.com" \ --action "lambda:InvokeFunction" \ --statement-id "
Id-1234
" \ --source-arnauthorizerArn
-
コマンドが成功すると、この例のようなアクセス許可ステートメントが返されます。次のセクションに進んで、カスタムオーソライザーをテストできます。
{ "Statement": "{\"Sid\":\"
Id-1234
\",\"Effect\":\"Allow\",\"Principal\":{\"Service\":\"iot.amazonaws.com\"},\"Action\":\"lambda:InvokeFunction\",\"Resource\":\"arn:aws:lambda:Region
:57EXAMPLE833:function:custom-auth-function\",\"Condition\":{\"ArnLike\":{\"AWS:SourceArn\":\"arn:aws:lambda:Region
:57EXAMPLE833:function:custom-auth-function\"}}}" }コマンドが成功しない場合は、この例のようなエラーが返されます。続行する前に、エラーを確認して修正する必要があります。
An error occurred (AccessDeniedException) when calling the AddPermission operation: User: arn:aws:iam::57EXAMPLE833:user/EXAMPLE-1 is not authorized to perform: lambda:AddPer mission on resource: arn:aws:lambda:
Region
:57EXAMPLE833:function:custom-auth-function
ステップ 4: test-invoke-authorizer を呼び出してオーソライザーをテストする
すべてのリソースを定義したら、このセクションでは、コマンドラインから test-invoke-authorizer を呼び出して、認可パスをテストします。
コマンドラインからオーソライザーを呼び出す場合、protocolData
は定義されていないため、オーソライザーは常に DENY ドキュメントを返すことに注意してください。ただし、このテストは、Lambda 関数を完全にテストしなくても、カスタムオーソライザーと Lambda 関数が正しく設定されていることを確認します。
AWS CLI を使用してカスタムオーソライザーとその Lambda 関数をテストするには
-
前の手順で作成した
private-key.pem
ファイルがあるディレクトリで、次のコマンドを実行します。echo -n "tokenKeyValue" | openssl dgst -sha256 -sign private-key.pem | openssl base64 -A
このコマンドは、次のステップで使用する署名文字列を作成します。署名文字列は次のようになります。
dBwykzlb+fo+JmSGdwoGr8dyC2qB/IyLefJJr+rbCvmu9Jl4KHAA9DG+V+MMWu09YSA86+64Y3Gt4tOykpZqn9mn VB1wyxp+0bDZh8hmqUAUH3fwi3fPjBvCa4cwNuLQNqBZzbCvsluv7i2IMjEg+CPY0zrWt1jr9BikgGPDxWkjaeeh bQHHTo357TegKs9pP30Uf4TrxypNmFswA5k7QIc01n4bIyRTm90OyZ94R4bdJsHNig1JePgnuOBvMGCEFE09jGjj szEHfgAUAQIWXiVGQj16BU1xKpTGSiTAwheLKUjITOEXAMPLECK3aHKYKY+d1vTvdthKtYHBq8MjhzJ0kggbt29V QJCb8RilN/P5+vcVniSXWPplyB5jkYs9UvG08REoy64AtizfUhvSul/r/F3VV8ITtQp3aXiUtcspACi6ca+tsDuX f3LzCwQQF/YSUy02u5XkWn+sto6KCkpNlkD0wU8gl3+kOzxrthnQ8gEajd5Iylx230iqcXo3osjPha7JDyWM5o+K EWckTe91I1mokDr5sJ4JXixvnJTVSx1li49IalW4en1DAkc1a0s2U2UNm236EXAMPLELotyh7h+flFeloZlAWQFH xRlXsPqiVKS1ZIUClaZWprh/orDJplpiWfBgBIOgokJIDGP9gwhXIIk7zWrGmWpMK9o=
この署名文字列をコピーして、次の手順で使用します。余分な文字を含めたり、省略したりしないように注意してください。
-
このコマンドで、
token-signature
値を前のステップの署名文字列に置き換え、このコマンドを実行してオーソライザーをテストします。aws iot test-invoke-authorizer \ --authorizer-name my-new-authorizer \ --token tokenKeyValue \ --token-signature
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
コマンドが成功すると、この例のように、カスタムオーソライザー関数によって生成された情報が返されます。
{ "isAuthenticated": true, "principalId": "principalId", "policyDocuments": [ "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Action\":\"iot:*\",\"Effect\":\"Deny\",\"Resource\":\"arn:aws:iot:
Region
:57EXAMPLE833:*\"}]}" ], "refreshAfterInSeconds": 600, "disconnectAfterInSeconds": 3600 }コマンドからエラーが返された場合は、エラーを確認し、このセクションで使用したコマンドを再度確認します。
ステップ 5: Postman を使用して MQTT メッセージの発行をテストする
-
コマンドラインからデバイスデータエンドポイントを取得するには、ここに示すように describe-endpoint
を呼び出します aws iot describe-endpoint --output text --endpoint-type iot:Data-ATS
このアドレスを保存して、後のステップで
device_data_endpoint_address
として使用します。 -
新しい Postman ウィンドウを開き、新しい HTTP POST リクエストを作成します。
-
コンピュータで、Postman アプリケーションを開きます。
-
Postman の [ファイル] メニューで、[新規] を選択します。
-
[New] (新規) ダイアログボックスで、[Request] (リクエスト) を選択します。
-
[Save] (保存) リクエストで、
-
[Request name] (リクエスト名) で、
Custom authorizer test request
と入力します。 -
[保存先のコレクションまたはフォルダを選択:] で、このリクエストを保存するコレクションを選択または作成します。
-
[
collection_name
に保存] を選択します。
-
-
-
カスタムオーソライザーをテストするための POST リクエストを作成します。
-
URL フィールドの横にあるリクエストメソッドセレクターで、[POST] を選択します。
-
URL フィールドで、前のステップの
describe-endpoint
コマンドの device_data_endpoint_addressとともに次の URL を使用して、リクエスト用の URL を作成します。 https://
device_data_endpoint_address
:443/topics/test/cust-auth/topic?qos=0&actionToken=allowこの URL には、AWS IoT へのアクセスを許可するポリシードキュメントを返すように Lambda 関数に指示する
actionToken=allow
クエリパラメータが含まれていることに注意してください。URL を入力すると、Postman の [Params] (パラメータ) タブにもクエリパラメータが表示されます。 -
[認証] タブの [タイプ] フィールドで、[認証なし] を選択します。
-
[Headers] (ヘッダー) タブで次の操作を行います。
-
チェックが入っている [ホスト] キーがある場合は、このチェックを解除します。
-
ヘッダーのリストの一番下に、これらの新しいヘッダーを追加し、チェックが入っていることを確認します。
Host
値をdevice_data_endpoint_address
に置き換え、x-amz-customauthorizer-signature
値を前のセクションの test-invoke-authorize コマンドで使用した署名文字列に置き換えます。キー 値 x-amz-customauthorizer-name
my-new-authorizer
Host
device_data_endpoint_address
tokenKeyName
tokenKeyValue
x-amz-customauthorizer-signature
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
-
-
[Body] (本文) タブで、次の操作を行います。
-
データ形式オプションボックスで、[Raw] を選択します。
-
データ型リストで、[JavaScript] を選択します。
-
テキストフィールドで、テストメッセージ用の次の JSON メッセージペイロードを入力します。
{ "data_mode": "test", "vibration": 200, "temperature": 40 }
-
-
-
[送信] を選択してリクエストを送信します。
リクエストが成功した場合、次を返します。
{ "message": "OK", "traceId": "ff35c33f-409a-ea90-b06f-fbEXAMPLE25c" }
成功した応答は、カスタムオーソライザーが AWS IoT への接続を許可し、テストメッセージが AWS IoT Core のブローカーに配信されたことを示します。
エラーが返された場合は、エラーメッセージ、
device_data_endpoint_address
、署名文字列、およびその他のヘッダー値を確認してください。
次のセクションで使用するために、このリクエストを Postman で保持します。
ステップ 6: MQTT テストクライアントでメッセージを表示する
前のステップでは、Postman を使用して AWS IoT にシミュレートされたデバイスメッセージを送信しました。成功した応答は、カスタムオーソライザーが AWS IoT への接続を許可し、テストメッセージが AWS IoT Core のブローカーに配信されたことを示しました。このセクションでは、AWS IoT コンソールで MQTT テストクライアントを使用して、他のデバイスやサービスと同様に、そのメッセージのメッセージコンテンツを表示します。
カスタムオーソライザーによって承認されたテストメッセージを表示するには
-
AWS IoT コンソールで MQTT テストクライアント
を開きます。 -
[Subscribe to topic] (トピックへのサブスクライブ) タブの [Topic filter] (トピックフィルター) で、前のセクションの Postman の例で使用されているメッセージトピックである
test/cust-auth/topic
を入力します。 -
[Subscribe] を選択します。
次のステップのために、このウィンドウを表示したままにします。
-
Postman で、前のセクションで作成したリクエストで、[送信] を選択します。
応答を確認して、正常に完了したことを確認します。そうでない場合は、前のセクションで説明したようにエラーをトラブルシューティングします。
-
[MQTT テストクライアント] に、メッセージトピックを示す新しいエントリが表示され、展開すると、Postman から送信したリクエストからのメッセージペイロードが表示されます。
[MQTT テストクライアント] にメッセージが表示されない場合は、次の点を確認してください。
-
Postman リクエストが正常に返されたことを確認します。AWS IoT が接続を拒否してエラーを返す場合、リクエスト内のメッセージはメッセージブローカーに渡されません。
-
AWS IoT コンソールを開くために使用される AWS アカウント と AWS リージョン が、Postman URL で使用しているのと同じであることを確認してください。
-
MQTT テストクライアントにトピックを正しく入力したことを確認してください。トピックフィルターでは、大文字と小文字が区別されます。疑わしい場合は、
#
トピックにサブスクライブすることもできます。このトピックは、AWS IoT コンソールを開くために使用されたメッセージブローカー AWS アカウント と AWS リージョン を通過するすべての MQTT メッセージにサブスクライブします。
-
ステップ 7: 結果と次のステップを確認する
このチュートリアルでは、次の作業を行いました。
-
Lambda 関数をカスタムオーソライザーハンドラーとして作成しました
-
トークン署名を有効にしてカスタムオーソライザーを作成しました
-
test-invoke-authorizer コマンドを使用してカスタムオーソライザーをテストしました
-
Postman
を使用して MQTT トピックを発行し、カスタムオーソライザーでリクエストを検証しました -
Postman テストから送信されたメッセージを表示するために [MQTT テストクライアント] を使用しました
次のステップ
Postman からメッセージを送信してカスタムオーソライザーが機能していることを確認したら、このチュートリアルのさまざまな側面を変更すると結果にどのように影響するかを実験してみてください。手始めにいくつか例を紹介します。
-
署名文字列を変更して、不正な接続の試みがどのように処理されるかを確認できないようにします。このようなエラー応答が返され、メッセージは MQTT テストクライアントに表示されないはずです。
{ "message": "Forbidden", "traceId": "15969756-a4a4-917c-b47a-5433e25b1356" }
-
AWS IoT ルールの開発および使用中に発生する可能性のあるエラーを見つける方法の詳細については、AWS IoT のモニタリング を参照してください。
ステップ 8: クリーンアップする
このチュートリアルを繰り返したい場合は、カスタムオーソライザーの一部を削除する必要があります。AWS アカウント に一度に設定できるカスタムオーソライザーの数は限られており、既存のカスタムオーソライザーを削除せずに新しいオーソライザーを追加しようとすると、LimitExceededException
が返されることがあります。
カスタムオーソライザーを削除するには (コンソール)
-
AWS IoT コンソールの [Custom authorizer
] (カスタムオーソライザー) ページを開き、カスタムオーソライザーのリストで、削除するカスタムオーソライザーを見つけます。 -
[Custom authorizer details] (カスタムオーソライザーの詳細) ページを開き、[Actions] (アクション) メニューから [Edit] (編集) を選択します。
-
[オーソライザーアクティブ化] のチェックを解除し、[更新] を選択します。
アクティブなカスタムオーソライザーを削除することはできません。
-
[Custom authorizer details] (カスタムオーソライザーの詳細) ページで、[Actions] (アクション) メニューを開き、[Delete] (削除) を選択します。
カスタムオーソライザーを削除するには (AWS CLI)
-
インストールしたカスタムオーソライザーの一覧を表示し、削除するカスタムオーソライザーの名前を見つけます。
aws iot list-authorizers
-
を、削除するカスタムオーソライザーのCustom_Auth_Name
authorizerName
に置き換えた後、このコマンドを実行してカスタムオーソライザーをinactive
に設定します。aws iot update-authorizer --status INACTIVE --authorizer-name
Custom_Auth_Name
-
を削除するカスタムオーソライザーのCustom_Auth_Name
authorizerName
に置き換えた後、このコマンドを実行してカスタムオーソライザーを削除します。aws iot delete-authorizer --authorizer-name
Custom_Auth_Name