Usando AWS IoT Core com interface VPC endpoints - AWS IoT Core
Criação de endpoints VPC para plano de dados AWS IoT CoreCriação de endpoints da VPC para o provedor de credenciais do AWS IoT CoreCriar um endpoint de interface da Amazon VPCConfigurar uma zona hospedada privadaControlando o acesso a AWS IoT Core mais de VPC endpointsLimitaçõesEscalando endpoints de VPC com AWS IoT CoreUsar domínios personalizados com endpoints da VPCDisponibilidade de VPC endpoints para AWS IoT Core

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando AWS IoT Core com interface VPC endpoints

Com AWS IoT Core, você pode criar endpoints de dados de IoT em sua nuvem privada virtual (VPC) usando endpoints de VPC de interface. Os endpoints VPC de interface são alimentados por AWS PrivateLink uma AWS tecnologia que você pode usar para acessar serviços em execução AWS usando endereços IP privados. Para obter mais informações, consulte o Amazon Virtual Private Cloud.

Para conectar dispositivos em campo em redes remotas, como uma rede corporativa, à sua Amazon VPC, consulte as opções listadas na matriz de conectividade entre a rede e a Amazon VPC.

Criação de endpoints VPC para plano de dados AWS IoT Core

Você pode criar um VPC endpoint para API de plano de AWS IoT Core dados para conectar seus dispositivos a AWS IoT serviços e outros serviços. AWS Para começar a usar VPC endpoints, crie uma interface VPC endpoint e selecione como serviço. AWS IoT Core AWS Se você estiver usando a CLI, primeiro chame describe-vpc-endpoint-services para garantir que você esteja escolhendo uma zona de disponibilidade que esteja presente em sua área específica. AWS IoT Core Região da AWS Por exemplo, na região us-east-1, esse comando ficaria da seguinte maneira:

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.data
nota

O atributo de VPC para criar automaticamente um registro DNS está desativado. Para se conectar a esses endpoints, é necessário criar manualmente um registro DNS privado. Para obter mais informações sobre registros DNS de VPC privada, consulte DNS privado para endpoints de interface. Para obter mais informações sobre as limitações da AWS IoT Core VPC, consulte. Limitações

Para conectar clientes MQTT às interfaces de endpoint da VPC:

  • Na sua zona hospedada privada, crie um registro de alias para cada IP de interface de rede elástica para o endpoint da VPC. Se você tiver vários IPs de interface de rede para vários endpoints da VPC, crie registros DNS ponderados com pesos iguais em todos os registros ponderados. Esses endereços IP estão disponíveis na chamada da API DescribeNetworkInterfaces quando filtrados pelo ID do VPC endpoint no campo de descrição.

Veja as instruções detalhadas abaixo para criar um endpoint de interface Amazon VPC e configurar a zona hospedada privada para AWS IoT Core o plano de dados.

Criação de endpoints da VPC para o provedor de credenciais do AWS IoT Core

Você pode criar um VPC endpoint para que o provedor de AWS IoT Core credenciais conecte dispositivos usando a autenticação baseada em certificado do cliente e obtenha credenciais temporárias AWS no formato Signature versão 4.AWS Para começar a usar os VPC endpoints para o provedor de AWS IoT Core credenciais, execute o comando da CLI create-vpc-endpoint para criar uma interface VPC endpoint e selecionar o provedor de credenciais como o serviço. AWS IoT Core AWS Para garantir que você esteja escolhendo uma zona de disponibilidade onde AWS IoT Core esteja presente em sua área específica Região da AWS, primeiro execute o comando describe-vpc-endpoint-services. Por exemplo, na região us-east-1, esse comando ficaria da seguinte maneira:

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.credentials
nota

O atributo de VPC para criar automaticamente um registro DNS está desativado. Para se conectar a esses endpoints, é necessário criar manualmente um registro DNS privado. Para obter mais informações sobre registros DNS de VPC privada, consulte DNS privado para endpoints de interface. Para obter mais informações sobre as limitações da AWS IoT Core VPC, consulte. Limitações

Para conectar clientes HTTP às interfaces de endpoint da VPC:

  • Na sua zona hospedada privada, crie um registro de alias para cada IP de interface de rede elástica para o endpoint da VPC. Se você tiver vários IPs de interface de rede para vários endpoints da VPC, crie registros DNS ponderados com pesos iguais em todos os registros ponderados. Esses endereços IP estão disponíveis na chamada da API DescribeNetworkInterfaces quando filtrados pelo ID do VPC endpoint no campo de descrição.

Veja as instruções detalhadas abaixo para criar um endpoint de interface Amazon VPC e configurar a zona hospedada privada para AWS IoT Core o provedor de credenciais.

Criar um endpoint de interface da Amazon VPC

Você pode criar uma interface VPC endpoint para se conectar aos AWS serviços fornecidos pelo. AWS PrivateLink Use o procedimento a seguir para criar uma interface VPC endpoint que se conecta ao plano de AWS IoT Core dados ou AWS IoT Core ao provedor de credenciais. Para obter mais informações, consulte Acessar um AWS serviço usando uma interface VPC endpoint.

nota

Os processos para criar um endpoint de interface Amazon VPC para plano de AWS IoT Core dados e provedor de AWS IoT Core credenciais são semelhantes, mas você deve fazer alterações específicas no endpoint para que a conexão funcione.

Para criar um endpoint da VPC de interface usando o console VPC Endpoints

  1. Navegue até o console VPC Endpoints, em Nuvem privada virtual no menu à esquerda, escolha Endpoints e, em seguida, Criar endpoint.

  2. Na página Criar endpoint, especifique as seguintes informações.

    • Escolha AWS service (Serviço da AWS) s para a Categoria de serviço.

    • Para Nome do serviço, pesquise inserindo a palavra-chave iot. Na lista de serviços do iot exibida, escolha o endpoint.

      Se você criar um VPC endpoint para o plano de AWS IoT Core dados, escolha o endpoint da API do plano de AWS IoT Core dados para sua região. O endpoint será do formato com.amazonaws.region.iot.data.

      Se você criar um VPC endpoint para o provedor de AWS IoT Core credenciais, escolha o endpoint do provedor de AWS IoT Core credenciais para sua região. O endpoint será do formato com.amazonaws.region.iot.credentials.

      nota

      O nome do serviço para o plano de AWS IoT Core dados na região da China terá o formatocn.com.amazonaws.region.iot.data. A criação de VPC endpoints para provedores de AWS IoT Core credenciais não é suportada na região da China.

    • Para VPC e sub-redes, escolha a VPC em que deseja criar o endpoint e as zonas de disponibilidade (AZs) nas quais deseja criar a rede do endpoint.

    • Em Ativar nome DNS, certifique-se de que a opção Ativar para este endpoint não esteja selecionada. Nem o plano AWS IoT Core de dados nem o provedor de AWS IoT Core credenciais oferecem suporte a nomes DNS privados ainda.

    • Em Grupo de segurança, selecione os grupos de segurança a serem associados às interfaces de rede do endpoint.

    • Se quiser, adicione ou remova tags. As tags são pares de nome-valor usados para associar ao seu endpoint.

  3. Para criar um endpoint da VPC, selecione Criar endpoint.

Depois de criar o AWS PrivateLink endpoint, na guia Detalhes do seu endpoint, você verá uma lista de nomes de DNS. Você pode usar um desses nomes DNS criados nesta seção para configurar a zona hospedada privada.

Configurar uma zona hospedada privada

Você pode usar um desses nomes DNS criados na seção anterior para configurar a zona hospedada privada.

Para plano AWS IoT Core de dados

O nome DNS deve ser o nome de configuração do domínio ou o endpoint do IoT:Data-ATS. Um exemplo de nome DNS pode ser: xxx-ats.data.iot.region.amazonaws.com.

Para provedor de AWS IoT Core credenciais

O nome DNS deve estar sem o endpoint do iot:CredentialProvider. Um exemplo de nome DNS pode ser: xxxx.credentials.iot.region.amazonaws.com.

nota

Os processos para configurar a zona hospedada privada para o plano de AWS IoT Core dados e o provedor de AWS IoT Core credenciais são semelhantes, mas você deve fazer alterações específicas no endpoint para que a conexão funcione.

Criar uma zona hospedada privada

Para criar uma zona hospedada privada usando o console do Route 53

  1. Navegue até o console de zonas hospedadas do Route 53 e escolha Criar zona hospedada.

  2. Na página Criar zona hospedada, especifique as seguintes informações.

    • Em Nome do domínio, insira o endereço do endpoint do seu iot:Data-ATS ou o endpoint do iot:CredentialProvider. O comando da CLI da AWS a seguir mostra como obter o endpoint por meio de uma rede pública: aws iot describe-endpoint --endpoint-type iot:Data-ATS, ou aws iot describe-endpoint --endpoint-type iot:CredentialProvider.

      nota

      Se você estiver usando domínios personalizados, consulte Usar domínios personalizados com endpoints da VPC. Os domínios personalizados não são compatíveis com o provedor de AWS IoT Core credenciais.

    • Em Tipo, escolha Zona hospedada privada.

    • Opcionalmente, você pode adicionar ou remover tags para associar à zona hospedada.

  3. Para criar a zona hospedada privada, escolha Criar zona hospedada.

Para obter mais informações, consulte Criar uma zona hospedada privada.

Criar um registro

Depois de criar uma zona hospedada privada, é possível criar um registro que informe ao DNS como você deseja que o tráfego seja direcionado para esse domínio.

Para criar um registro

  1. Na lista de zonas hospedadas exibida, escolha a zona hospedada privada que você criou antes e escolha Criar registro.

  2. Use o método do assistente para criar o registro. Se o console apresentar o método de Criação rápida, escolha Alternar para assistente.

  3. Escolha Roteamento simples em Política de roteamento e, em seguida, Próximo.

  4. Na página Configurar registros, escolha Definir registro simples.

  5. Na página Definir registro simples:

    • Em Nome do registro, insira endpoint do iot:Data-ATS ou endpoint do iot:CredentialProvider. Deve ser igual ao nome da zona hospedada privada.

    • Em Tipo de registro, mantenha o valor como A - Routes traffic to an IPv4 address and some AWS resources.

    • Em Valor/rotear tráfego para, escolha Alias para endpoint da VPC. Em seguida, escolha a Região e, em seguida, escolha o endpoint que você criou antes, conforme descrito em Criar um endpoint de interface da Amazon VPC na lista de endpoints exibida.

  6. Escolha Definir registro simples para criar seu registro.

Controlando o acesso a AWS IoT Core mais de VPC endpoints

Você pode restringir o acesso ao dispositivo AWS IoT Core para que seja permitido somente por meio do VPC endpoint usando as chaves de contexto de condição da VPC. AWS IoT Core é compatível com as seguintes chaves de contexto relacionadas à VPC:

nota

AWS IoT Core não oferece suporte às políticas de endpoints para endpoints de VPC.

Por exemplo, a política a seguir concede permissão para se conectar AWS IoT Core usando uma ID de cliente que corresponda ao nome da coisa e para publicar em qualquer tópico prefixado pelo nome da coisa, desde que o dispositivo se conecte a um VPC endpoint com uma determinada ID de VPC Endpoint. Essa política nega tentativas de conexão com o endpoint de dados de IoT público.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-1a2b3c4d"
                }
            }
            
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*"
            ]
        }
    ]
}

Limitações

Atualmente, os endpoints da VPC são compatíveis apenas com endpoints de dados do AWS IoT Core e endpoints do provedor de credenciais do AWS IoT Core.

Limitações dos endpoints da VPC de dados de IoT

Esta seção aborda as limitações dos endpoints da VPC de dados de IoT.

  • Os períodos de keep alive do MQTT são limitados a 230 segundos. Períodos de manutenção maiores do que isso serão automaticamente reduzidos para 230 segundos.

  • Cada endpoint da VPC é compatível com um total de 100.000 dispositivos conectados simultaneamente. Se você precisar de mais conexões, consulte Escalando endpoints de VPC com AWS IoT Core.

  • Os endpoints da VPC só são compatíveis com tráfego IPv4.

  • Os endpoints da VPC servirão somente certificados ATS, exceto para domínios personalizados.

  • As Políticas de endpoint da VPC não são compatíveis.

  • Para endpoints VPC criados para o plano de AWS IoT Core dados, AWS IoT Core não é compatível com o uso de registros DNS públicos zonais ou regionais.

Limitações dos endpoints do provedor de credenciais

Esta seção aborda as limitações dos endpoints da VPC do provedor de credenciais.

  • Os endpoints da VPC só são compatíveis com tráfego IPv4.

  • Os endpoints da VPC servirão somente certificados ATS.

  • As Políticas de endpoint da VPC não são compatíveis.

  • Os domínios personalizados não são compatíveis com os endpoints do provedor de credenciais.

  • Para endpoints VPC criados para o provedor de AWS IoT Core credenciais, AWS IoT Core não é compatível com o uso de registros DNS públicos zonais ou regionais.

Escalando endpoints de VPC com AWS IoT Core

AWS IoT Core Os endpoints VPC de interface são limitados a 100.000 dispositivos conectados em um único endpoint de interface. Se seu caso de uso exigir mais conexões simultâneas com o agente, recomendamos usar vários endpoints da VPC e rotear manualmente seus dispositivos pelos endpoints da interface. Ao criar registros DNS privados para rotear o tráfego para seus endpoints da VPC, certifique-se de criar o mesmo número de registros ponderados que os endpoints da VPC para distribuir o tráfego entre os vários endpoints.

Usar domínios personalizados com endpoints da VPC

Para usar domínios personalizados com endpoints da VPC, é necessário criar os registros de nome de domínio personalizados em uma zona hospedada privada e criar registros de roteamento no Route53. Para obter mais informações, consulte Criar uma zona hospedada privada.

nota

Domínios personalizados só são compatíveis com endpoints de AWS IoT Core dados.

Disponibilidade de VPC endpoints para AWS IoT Core

AWS IoT Core Os endpoints VPC da interface estão disponíveis em todas AWS IoT Core as regiões com suporte. AWS IoT Core Os endpoints VPC de interface para provedor de AWS IoT Core credenciais não são suportados na região da China e. AWS GovCloud (US) Regions