翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
でのトランスポートセキュリティ AWS IoT Core
TLS (Transport Layer Security) は、コンピュータネットワークを介した安全な通信用に設計された暗号化プロトコルです。 AWS IoT Core Device Gateway では、デバイスから Gateway への接続TLSに を使用して、転送中にすべての通信を暗号化する必要があります。TLS は、 でサポートされているアプリケーションプロトコル (MQTT、HTTP、および WebSocket) の機密性を達成するために使用されます AWS IoT Core。TLS サポートは、多くのプログラミング言語とオペレーティングシステムで利用できます。内のデータは、特定の AWS サービスによって AWS 暗号化されます。他の AWS サービスのデータ暗号化の詳細については、その サービスのセキュリティドキュメントを参照してください。
TLS プロトコル
AWS IoT Core では、次のバージョンのTLSプロトコルがサポートされています。
-
TLS 1.3
-
TLS 1.2
では AWS IoT Core、ドメインTLS設定で設定 (TLS1.2
セキュリティポリシー
セキュリティポリシーは、クライアントとサーバー間のTLSネゴシエーション中にサポートされるTLSプロトコルと暗号を決定するプロトコルとその暗号の組み合わせです。必要に応じて、事前定義されたセキュリティポリシーを使用するようにデバイスを設定できます。 AWS IoT Core はカスタムセキュリティポリシーをサポートしていないことに注意してください。
デバイスの事前定義されたセキュリティポリシーの 1 つを に接続するときに選択できます AWS IoT Core。の最新の定義済みセキュリティポリシーの名前には、リリースされた年と月に基づくバージョン情報 AWS IoT Core が含まれます。事前に定義されたデフォルトのセキュリティポリシーは IoTSecurityPolicy_TLS13_1_2_2022_10 です。セキュリティポリシーを指定するには、 AWS IoT コンソールまたは を使用できます AWS CLI。詳細については、「ドメインTLS設定の設定」を参照してください。
次の表は、 AWS IoT Core でサポートされる、事前に定義された最新のセキュリティポリシーの詳細を示しています。見出し行に収まるようにポリシー名から IotSecurityPolicy_ を削除しました。
| セキュリティポリシー | TLS13_1_3_2022_10 | TLS13_1_2_2022_10 | TLS12_1_2_2022_10 | TLS12_1_0_2016_01* | TLS12_1_0_2015_01* | ||
|---|---|---|---|---|---|---|---|
| TCP ポート |
443/8443/8883 |
443/8443/8883 |
443/8443/8883 |
443 | 8443/8883 | 443 | 8443/8883 |
| TLS プロトコル | |||||||
| TLS 1.2 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| TLS 1.3 | ✓ | ✓ | |||||
| TLS 暗号 | |||||||
| TLS_AES_128_GCM_SHA256 | ✓ | ✓ | |||||
| TLS_AES_256_GCM_SHA384 | ✓ | ✓ | |||||
| TLS_CHACHA20_POLY1305_SHA256 | ✓ | ✓ | |||||
| ECDHE-RSA-AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES256-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| DHE-RSA-AES256-SHA | ✓ | ✓ | |||||
| ECDHE-ECDSA-AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES256-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
注記
TLS12_1_0_2016_01 は、 AWS リージョン ap-east-1、ap-northeast-2、ap-south-1、ap-southeast-2、ca-central-1、cn-north-1、cn-northwest-1、eu-north-1、eu-west-2、eu-west-3、me-south-1、sa-east-1、us-east-2、 us-gov-west-1、 us-gov-west-2、us-west-1 でのみ使用できます。
TLS12_1_0_2015_01 は、 AWS リージョン ap-northeast-1、ap-southeast-1、eu-central-1、eu-west-1、us-east-1、us-west-2 でのみ使用できます。
AWS IoT Coreのトランスポートセキュリティに関する重要な注意事項
AWS IoT Core を使用して に接続するデバイスの場合MQTT、 TLS はデバイスとブローカー間の接続を暗号化し、TLSクライアント認証 AWS IoT Core を使用してデバイスを識別します。詳細については、「クライアント認証」を参照してください。 AWS IoT Core を使用して に接続するデバイスの場合HTTP、 TLS はデバイスとブローカー間の接続を暗号化し、認証は AWS 署名バージョン 4 に委任されます。詳細については、「AWS 全般のリファレンス」の「署名バージョン 4 でリクエストに署名する」をご参照ください。
デバイスを に接続する場合 AWS IoT Core、サーバー名表示 (SNI) 拡張機能host_nameフィールドに完全なエンドポイントアドレスを指定する必要があります。host_name フィールドには、呼び出すエンドポイントが含まれている必要があります。そのエンドポイントは、次のいずれかである必要があります。
-
endpointAddressによって返されるaws iot describe-endpoint--endpoint-type iot:Data-ATS -
domainNameによって返されるaws iot describe-domain-configuration–-domain-configuration-name " domain_configuration_name"
正しくない、または無効なhost_name値を持つデバイスで試行された接続は失敗します。 AWS IoT Core は、カスタム認証 の認証タイプの CloudWatch に失敗をログに記録します。
AWS IoT Core はSessionTicket TLS拡張機能
ワイヤレスデバイスのトランスポートセキュリティ LoRaWAN
LoRaWAN デバイスは、LoRaWANSECURITY「Gemalto、Actility、および Semtech によって LoRa Alliance」用に準備されたホワイトペーパー
デバイスを使用した LoRaWANトランスポートセキュリティの詳細については、LoRaWAN「データおよびトランスポートセキュリティ」を参照してください。
