Considerações sobre endpoints da VPC do AWS IoT Greengrass Criar um endpoint da VPC de interface para operações AWS IoT Greengrass do ambiente de gerenciamento Criar uma política de endpoint da VPC para o AWS IoT Greengrass Opere um dispositivo AWS IoT Greengrass principal na VPC

AWS IoT Greengrass e endpoint da VPC de interface (AWS PrivateLink)

É possível estabelecer uma conexão privada entre a VPC e o ambiente de gerenciamento AWS IoT Greengrass criando um endpoint da VPC de interface. Você pode usar esse endpoint para gerenciar componentes, implantações e dispositivos principais no AWS IoT Greengrass serviço. Os endpoints de interface são habilitados por AWS PrivateLink, uma tecnologia que permite acessar as APIs do AWS IoT Greengrass de forma privada sem um gateway da Internet, um dispositivo NAT, uma conexão VPN ou uma conexão do AWS Direct Connect. As instâncias na VPC não precisam de endereços IP públicos para a comunicação com APIs do AWS IoT Greengrass. O tráfego de rede entre a VPC e o AWS IoT Greengrass não deixa a rede da Amazon.

Cada endpoint de interface é representado por uma ou mais Interfaces de Rede Elástica nas sub-redes.

Para obter mais informações, consulte Endpoints da VPC da interface (AWS PrivateLink) no Manual do Usuário do Amazon VPC.

Tópicos

Considerações sobre endpoints da VPC do AWS IoT Greengrass
Criar um endpoint da VPC de interface para operações AWS IoT Greengrass do ambiente de gerenciamento
Criar uma política de endpoint da VPC para o AWS IoT Greengrass
Opere um dispositivo AWS IoT Greengrass principal na VPC

Considerações sobre endpoints da VPC do AWS IoT Greengrass

Antes de configurar um endpoint da VPC de interface para o AWS IoT Greengrass, analise as Propriedades e limitações de endpoints de interface no Manual do usuário da Amazon VPC. Além disso, esteja ciente das seguintes considerações:

O AWS IoT Greengrass oferece suporte a chamadas para todas as ações de API de ambiente de gerenciamento da VPC. O plano de controle inclui operações como CreateDeployment ListEffectiveDeploymentse. O plano de controle não inclui operações como ResolveComponentCandidatese Discover, que são operações do plano de dados.
Não há suporte para endpoints da VPC para AWS IoT Greengrass nas Regiões da China AWS.

Criar um endpoint da VPC de interface para operações AWS IoT Greengrass do ambiente de gerenciamento

É possível criar um endpoint da VPC para o ambiente de gerenciamento AWS IoT Greengrass usando o console da Amazon VPC ou a AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte Criar um endpoint de interface no Guia do Usuário do Amazon VPC.

Crie um endpoint da VPC para o AWS IoT Greengrass usando o seguinte nome de serviço:

com.amazonaws.region.greengrass

Se você habilitar o DNS privado para o endpoint, poderá fazer solicitações de API para o AWS IoT Greengrass usando seu nome DNS padrão para a região, por exemplo, greengrass.us-east-1.amazonaws.com. O DNS privado é habilitado por padrão.

Para obter mais informações, consulte Acessar um serviço por um endpoint de interface no Manual do Usuário do Amazon VPC.

Criar uma política de endpoint da VPC para o AWS IoT Greengrass

É possível anexar uma política de endpoint ao endpoint da VPC que controla o acesso às operações de ambiente de gerenciamento AWS IoT Greengrass. Essa política especifica as seguintes informações:

A entidade principal que pode executar ações.
As ações que o principal pode executar.
Os recursos nos quais a entidade principal pode executar ações.

Para obter mais informações, consulte Controlar o acesso a serviços com endpoint da VPC no Guia do usuário da Amazon VPC.

exemplo Exemplo: política de endpoint da VPC para ações do AWS IoT Greengrass

Veja a seguir um exemplo de uma política de endpoint para o AWS IoT Greengrass. Quando anexada a um endpoint, essa política concede acesso às ações indicadas do AWS IoT Greengrass para todos os principais em todos os recursos.


{
    "Statement": [
        {
            "Principal": "*",
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateDeployment",
                "greengrass:ListEffectiveDeployments"
            ],
            "Resource": "*"
        }
    ]
}

Opere um dispositivo AWS IoT Greengrass principal na VPC

Você pode operar um dispositivo principal do Greengrass e realizar implantações em VPC sem acesso público à Internet. No mínimo, você deve configurar os seguintes VPC endpoints com os aliases de DNS correspondentes. Para obter mais informações sobre como criar e usar VPC endpoints, consulte Criar um VPC endpoint no Guia do usuário da Amazon VPC.

nota

O recurso VPC para criar automaticamente um registro DNS está desativado para AWS IoT data e Credentials. AWS IoT Para conectar esses endpoints, você deve criar manualmente um registro DNS privado. Para obter mais informações, consulte DNS privado para endpoints de interface. Para obter mais informações sobre as limitações da AWS IoT Core VPC, consulte Limitações dos endpoints da VPC.

Pré-requisitos

Você deve instalar o software AWS IoT Greengrass Core usando as etapas de provisionamento manual. Para ter mais informações, consulte Instale o software AWS IoT Greengrass principal com provisionamento manual de recursos.

Limitações

A operação de um dispositivo central do Greengrass em VPC não é suportada nas regiões da China e. AWS GovCloud (US) Regions
Para obter mais informações sobre limitações AWS IoT data e fornecedores de AWS IoT credenciais VPC endpoints, consulte Limitações.

Configure seu dispositivo principal do Greengrass para operar em VPC

Obtenha os AWS IoT endpoints para você Conta da AWS e salve-os para usar mais tarde. Seu dispositivo usa esses endpoints para se conectar a. AWS IoT Faça o seguinte:
1. Obtenha o endpoint de AWS IoT dados para vocêConta da AWS.
```
aws iot describe-endpoint --endpoint-type iot:Data-ATS
```
  A resposta será semelhante ao exemplo a seguir, se a solicitação for bem-sucedida.
```
{
  "endpointAddress": "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
}
```
2. Obtenha o endpoint AWS IoT de credenciais para seu. Conta da AWS
```
aws iot describe-endpoint --endpoint-type iot:CredentialProvider
```
  A resposta será semelhante ao exemplo a seguir, se a solicitação for bem-sucedida.
```
{
  "endpointAddress": "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
}
```
Crie uma interface Amazon VPC para endpoints AWS IoT data e AWS IoT credencie:
1. Navegue até o console VPC Endpoints, em Nuvem privada virtual no menu à esquerda, escolha Endpoints e, em seguida, Criar endpoint.
2. Na página Criar endpoint, especifique as seguintes informações.
  - Escolha AWS service (Serviço da AWS)s para a Categoria de serviço.
  - Para Nome do serviço, pesquise inserindo a palavra-chave iot. Na lista de serviços do iot exibida, escolha o endpoint.
    
    Se você criar um endpoint da VPC para o plano de dados do AWS IoT Core, escolha o endpoint da API do plano de dados do AWS IoT Core para sua região. O endpoint será do formato com.amazonaws.region.iot.data.
    
    Se você criar um endpoint da VPC para o provedor de credenciais do AWS IoT Core, escolha o endpoint do provedor de credenciais do AWS IoT Core para sua região. O endpoint será do formato com.amazonaws.region.iot.credentials.
    
    nota
    O nome do serviço para o plano de dados do AWS IoT Core na região da China terá o formato cn.com.amazonaws.region.iot.data. A criação de endpoints da VPC para o provedor de credenciais do AWS IoT Core não é compatível na região da China.
  - Para VPC e sub-redes, escolha a VPC em que deseja criar o endpoint e as zonas de disponibilidade (AZs) nas quais deseja criar a rede do endpoint.
  - Em Ativar nome DNS, certifique-se de que a opção Ativar para este endpoint não esteja selecionada. Nem o plano de dados do AWS IoT Core nem o provedor de credenciais do AWS IoT Core são compatíveis com nomes DNS privados ainda.
  - Em Grupo de segurança, selecione os grupos de segurança a serem associados às interfaces de rede do endpoint.
  - Se quiser, adicione ou remova tags. As tags são pares de nome-valor usados para associar ao seu endpoint.
3. Para criar um endpoint da VPC, selecione Criar endpoint.
Depois de criar o endpoint AWS PrivateLink, na guia Detalhes do endpoint, você verá uma lista de nomes DNS. Você pode usar um desses nomes DNS criados nesta seção para configurar a zona hospedada privada.
Crie um endpoint do Amazon S3. Para obter mais informações, consulte Criar um VPC endpoint para o Amazon S3.
Se você estiver usando componentes AWSfornecidos pelo Greengrass, endpoints e configurações adicionais podem ser necessários. Para visualizar os requisitos dos endpoints, selecione o componente na lista AWS de componentes fornecidos e consulte a seção Requisitos. Por exemplo, os requisitos do componente do gerenciador de registros recomendam que esse componente seja capaz de realizar solicitações de saída para o endpointlogs.region.amazonaws.com.

Se você estiver usando seu próprio componente, talvez seja necessário revisar as dependências e realizar testes adicionais para determinar se algum endpoint adicional é necessário.
Na configuração do núcleo do Greengrass, greengrassDataPlaneEndpoint deve ser definido como. iotdata Para obter mais informações, consulte Configuração do núcleo do Greengrass.
Se você estiver na us-east-1 região, defina o parâmetro de configuração como s3EndpointType REGIONAL na configuração do núcleo do Greengrass. Esse recurso está disponível para as versões 2.11.3 ou posteriores do Greengrass nucleus.

exemplo Exemplo: configuração de componentes


{
"aws.greengrass.Nucleus": {
   "configuration": {
      "awsRegion": "us-east-1",
      "iotCredEndpoint": "xxxxxx.credentials.iot.region.amazonaws.com",
      "iotDataEndpoint": "xxxxxx-ats.iot.region.amazonaws.com",
      "greengrassDataPlaneEndpoint": "iotdata",
      "s3EndpointType": "REGIONAL"
      ...
     }
   }
}

A tabela a seguir fornece informações sobre os aliases DNS privados personalizados correspondentes.

Serviço	Nome do serviço de endpoint da VPC	Tipo de endpoint VPC	Alias de DNS privado personalizado	Observações
AWS IoT data	`com.amazonaws.region.iot.data`	Interface	`prefix-ats.iot.region.amazonaws.com`	O registro DNS privado deve corresponder ao AWS IoT data endpoint da sua conta:. `aws iot describe–endpoint ––endpoint–type iot:Data-ATS`
Credenciais da AWS IoT	`com.amazonaws.region.iot.credentials`	Interface	`prefix.credentials.iot.region.amazonaws.com`	O registro DNS privado deve corresponder ao endpoint de AWS IoT credenciais da sua conta:. `aws iot describe–endpoint ––endpoint–type iot:CredentialProvider`
Amazon S3	`com.amazonaws.region.s3`	Interface		O registro DNS é criado automaticamente.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Integridade do código

Práticas recomendadas de segurança