デバイスのプロビジョニング - IoT レンズ

デバイスのプロビジョニング

IoT では、デバイスのプロビジョニングは複数の連続したステップで構成されます。最も重要な側面は、各デバイスに一意の ID が与えられ、その後その ID を使用して IoT アプリケーションによって認証される必要があることです。

そのため、デバイスをプロビジョニングするための最初のステップは、ID をインストールすることです。デバイスの設計と製造における決定により、デバイスに本稼働対応ファームウェアイメージがあるかどうか、または顧客に到達するまでに固有のクライアント証明書があるかどうかが決まります。お客様の決定により、本稼働デバイス識別をインストールする前に実行する必要がある追加のプロビジョニング時間ステップがあるかどうかが決まります。

アプリケーションに IoT で X.509 クライアント証明書を使用する — 静的なパスワードよりも安全で、大規模な管理が容易になる傾向があります。AWS IoT Core では、デバイスは証明書と一意のモノの識別子を使用して登録されます。登録されたデバイスは IoT ポリシーに関連付けられます。IoT ポリシーを使用すると、デバイスごとにきめ細かなアクセス許可を作成できます。きめ細かなアクセス許可により、1 つのデバイスだけが独自の MQTT トピックおよびメッセージを操作するアクセス許可を持つことができます。

この登録プロセスにより、デバイスが IoT アセットとして認識され、生成されたデータが AWS IoT を通じて他の AWS エコシステムで使用できるようになります。デバイスをプロビジョニングするには、自動登録を有効にし、プロビジョニングテンプレートまたは AWS Lambda 関数を最初のデバイスプロビジョニングイベントに関連付ける必要があります。

この登録メカニズムは、IoT アプリケーション (この場合は AWS IoT) の認証に使用されるプロビジョニング (製造中または製造後に発生) の最中に一意の証明書を受け取るデバイスに依存します。このアプローチの利点の 1 つは、デバイスを別のエンティティに転送し、再プロビジョニングすることで、新しい所有者の AWS IoT アカウントの詳細で登録プロセスを繰り返すことができることです。

登録フロー

図 1: 登録フロー

  1. データベースに製造デバイス識別子を設定します。

  2. デバイスは API Gateway に接続し、CPM からの登録をリクエストします。リクエストが検証されます。

  3. Lambda は、プライベート認証機関 (CA) から X.509 証明書をリクエストします。

  4. プロビジョニングシステムによって CA が AWS IoT Core に登録されました。

  5. API Gateway はデバイス認証情報をデバイスに渡します。

  6. デバイスは AWS IoT Core で登録ワークフローを開始します。