Criar um objeto do IoT Crie uma IAM função para usar como sua função de dispositivo Crie uma política gerenciada personalizada para que um IAM usuário use o Device Advisor Crie um IAM usuário para usar o Device Advisor Configurar o dispositivo

Configuração

Antes de usar o Device Advisor pela primeira vez, execute as seguintes tarefas:

Criar um objeto do IoT

Primeiro, crie um objeto do IoT e anexe um certificado a ela. Para ver um tutorial sobre como criar objetos, consulte Criar um objeto.

Crie uma IAM função para usar como sua função de dispositivo

nota

Você pode criar rapidamente o perfil do dispositivo com o console do Device Advisor. Para saber como configurar o perfil do dispositivo com o console do Device Advisor, consulte Conceitos básicos do Device Advisor no console.

Acesse o AWS Identity and Access Management console e faça login no que Conta da AWS você usa para testar o Device Advisor.
No painel de navegação à esquerda, escolha Políticas.
Escolha Criar política.
Em Criar política, faça o seguinte:
1. Para Serviço, escolha IoT.
2. Em Ações, faça uma das seguintes:
  - (Recomendado) Selecione ações com base na política anexada ao objeto ou certificado de IoT que você criou na seção anterior.
  - Pesquise as seguintes ações na caixa Filtrar ação e selecione-as:
    - Connect
    - Publish
    - Subscribe
    - Receive
    - RetainPublish
3. Em Recursos, restrinja o cliente, o tópico e os recursos do tópico. A restrição desses recursos é uma prática recomendada de segurança. Para restringir recursos, faça o seguinte:
  1. Escolha Especificar recurso do cliente ARN para a ação Connect.
  2. Escolha Adicionar ARN e, em seguida, faça o seguinte:
    
    nota
    clientIdÉ o ID do MQTT cliente que seu dispositivo usa para interagir com o Device Advisor.
    - Especifique a região, o AccountId e o ClientID no editor visual. ARN
    - Insira manualmente os nomes de recursos da Amazon (ARNs) dos tópicos de IoT com os quais você deseja executar seus casos de teste.
  3. Escolha Adicionar.
  4. Escolha Especificar recurso de tópico ARN para o Recebimento e mais uma ação.
  5. Escolha Adicionar ARN e, em seguida, faça o seguinte:
    
    nota
    O nome do tópico é o MQTT tópico no qual seu dispositivo publica mensagens.
    - Especifique a região, o AccountId e o nome do tópico no editor visual. ARN
    - Insira manualmente os tópicos ARNs de IoT com os quais você deseja executar seus casos de teste.
  6. Escolha Adicionar.
  7. Escolha Especificar topicFilter recurso ARN para a ação Inscrever-se.
  8. Escolha Adicionar ARN e, em seguida, faça o seguinte:
    
    nota
    O nome do tópico é o MQTT tópico que seu dispositivo assina.
    - Especifique a região, o AccountId e o nome do tópico no editor visual. ARN
    - Insira manualmente os tópicos ARNs de IoT com os quais você deseja executar seus casos de teste.
  9. Escolha Adicionar.
Escolha Próximo: etiquetas.
Escolha Próximo: revisar.
Em Revisar política, insira um Nome para a política.
Escolha Criar política.
No painel de navegação à esquerda, escolha Perfis.
Selecione Criar perfil.
Em Tipo de entidade confiável, escolha Política de confiança personalizada.

Insira a política de confiança a seguir no campo Política de confiança personalizada. Para proteger do problema de confused deputy, adicione as chaves de contexto de condição global aws:SourceArn e aws:SourceAccount à política.

Importante

aws:SourceArn deve estar em conformidade com format: arn:aws:iotdeviceadvisor:region:account-id:*.. Certifique-se de que a region corresponda à Região da AWS IoT e account-id corresponda ao ID da conta do cliente. Para obter mais informações, consulte Prevenção de confused deputy entre serviços.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAwsIoTCoreDeviceAdvisor",
            "Effect": "Allow",
            "Principal": {
                "Service": "iotdeviceadvisor.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:iotdeviceadvisor:*:111122223333:suitedefinition/*"
                }
            }
        }
    ]
}

Escolha Próximo.
Selecione a política que você criou na Etapa 4.
Abra a seção Definir limite de permissões e escolha Usar um limite de permissões para controlar o número máximo de permissões de perfis.
Escolha Próximo.
Insira um Nome de perfil e uma Descrição de perfil.
Selecione Criar perfil.

Crie uma política gerenciada personalizada para que um IAM usuário use o Device Advisor

Navegue até o IAM console em https://console.aws.amazon.com/iam/. Se solicitado, insira suas credenciais da AWS para fazer login.
No painel de navegação à esquerda, escolha Políticas.
Escolha Criar política e, em seguida, escolha a JSONguia.
Adicione as permissões necessárias para usar o Device Advisor. O documento de política pode ser encontrado no tópico Práticas recomendadas de segurança.
Escolha Review Policy (Revisar política).
Preencha os campos Nome e Descrição.
Escolha Create Policy (Criar política).

Crie um IAM usuário para usar o Device Advisor

nota

Recomendamos que você crie um IAM usuário para usar ao executar os testes do Device Advisor. Executar testes do Device Advisor por um usuário administrador pode representar riscos de segurança e não é recomendado.

Navegue até o IAM console em https://console.aws.amazon.com/iam/Se solicitado, insira suas AWS credenciais para entrar.
No painel de navegação à esquerda, escolha Usuários.
Escolha Add User (Adicionar usuário).
Digite um Nome de usuário.

Os usuários precisam de acesso programático se quiserem interagir com pessoas AWS fora do AWS Management Console. A forma de conceder acesso programático depende do tipo de usuário que está acessando AWS.

Para conceder acesso programático aos usuários, selecione uma das seguintes opções:

Qual usuário precisa de acesso programático?	Para	Por
Identificação da força de trabalho (Usuários gerenciados no IAM Identity Center)	Use credenciais temporárias para assinar solicitações programáticas para o AWS CLI AWS SDKs, ou. AWS APIs	Siga as instruções da interface que deseja utilizar. Para o AWS CLI, consulte Configurando o AWS CLI para uso AWS IAM Identity Center no Guia do AWS Command Line Interface usuário. Para AWS SDKs, ferramentas e AWS APIs, consulte Autenticação do IAM Identity Center no AWS SDKsGuia de referência de ferramentas.
IAM	Use credenciais temporárias para assinar solicitações programáticas para o AWS CLI AWS SDKs, ou. AWS APIs	Siga as instruções em Usando credenciais temporárias com AWS recursos no Guia do IAM usuário.
IAM	(Não recomendado) Use credenciais de longo prazo para assinar solicitações programáticas para o AWS CLI, AWS SDKs, ou. AWS APIs	Siga as instruções da interface que deseja utilizar. Para o AWS CLI, consulte Autenticação usando credenciais de IAM usuário no Guia do AWS Command Line Interface usuário. Para ferramentas AWS SDKs e ferramentas, consulte Autenticar usando credenciais de longo prazo no Guia de referência de ferramentas AWS SDKs e ferramentas. Para AWS APIs, consulte Gerenciamento de chaves de acesso para IAM usuários no Guia IAM do usuário.

Qual usuário precisa de acesso programático?

Para

Por

Identificação da força de trabalho

(Usuários gerenciados no IAM Identity Center)

Use credenciais temporárias para assinar solicitações programáticas para o AWS CLI AWS SDKs, ou. AWS APIs

Siga as instruções da interface que deseja utilizar.

Para o AWS CLI, consulte Configurando o AWS CLI para uso AWS IAM Identity Center no Guia do AWS Command Line Interface usuário.
Para AWS SDKs, ferramentas e AWS APIs, consulte Autenticação do IAM Identity Center no AWS SDKsGuia de referência de ferramentas.

IAM

Use credenciais temporárias para assinar solicitações programáticas para o AWS CLI AWS SDKs, ou. AWS APIs

Siga as instruções em Usando credenciais temporárias com AWS recursos no Guia do IAM usuário.

IAM

(Não recomendado)

Use credenciais de longo prazo para assinar solicitações programáticas para o AWS CLI, AWS SDKs, ou. AWS APIs

Siga as instruções da interface que deseja utilizar.

Para o AWS CLI, consulte Autenticação usando credenciais de IAM usuário no Guia do AWS Command Line Interface usuário.
Para ferramentas AWS SDKs e ferramentas, consulte Autenticar usando credenciais de longo prazo no Guia de referência de ferramentas AWS SDKs e ferramentas.
Para AWS APIs, consulte Gerenciamento de chaves de acesso para IAM usuários no Guia IAM do usuário.

Selecione Next: Permissions (Próximo: permissões).
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
- Usuários e grupos em AWS IAM Identity Center:
  
  Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center .
- Usuários gerenciados IAM por meio de um provedor de identidade:
  
  Crie um perfil para a federação de identidades. Siga as instruções em Criação de uma função para um provedor de identidade terceirizado (federação) no Guia IAM do usuário.
- IAMusuários:
  - Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de uma função para um IAM usuário no Guia IAM do usuário.
  - (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adicionar permissões a um usuário (console) no Guia do IAM usuário.
Na caixa de pesquisa, digite o nome da política gerenciada pelo cliente que você criou. Em seguida, marque a caixa de seleção Nome da política.
Escolha Próximo: etiquetas.
Escolha Próximo: revisar.
Escolha Criar usuário.
Escolha Fechar.

O Device Advisor exige acesso aos seus AWS recursos (itens, certificados e endpoints) em seu nome. Seu IAM usuário deve ter as permissões necessárias. O Device Advisor também publicará registros na Amazon CloudWatch se você anexar a política de permissões necessária ao seu IAM usuário.

Configurar o dispositivo

O Device Advisor usa a TLS extensão de indicação do nome do servidor (SNI) para aplicar TLS as configurações. Os dispositivos devem usar essa extensão quando se conectam e transmitem um nome de servidor idêntico ao endpoint de teste do Device Advisor.

O Device Advisor permite a TLS conexão quando um teste está no Running estado. Ele nega a TLS conexão antes e depois de cada execução de teste. Por isso, recomenda-se usar o mecanismo de nova tentativa de conexão do dispositivo para uma experiência de teste totalmente automatizada com o Device Advisor. Você pode executar suítes de teste que incluem mais de um caso de teste, como TLS MQTT conectar, conectar e MQTT publicar. Se você executar vários casos de teste, recomendamos que o dispositivo tente se conectar ao nosso endpoint de teste a cada cinco segundos. Em seguida, você pode automatizar a execução de vários casos de teste em sequência.

nota

Para preparar o software do seu dispositivo para teste, recomendamos que você use um SDK que possa se conectar AWS IoT Core a. Em seguida, você deve atualizar o SDK com o endpoint de teste do Device Advisor fornecido para seu Conta da AWS.

O Device Advisor é compatível com dois tipos de endpoints: endpoints em nível de conta e em nível de dispositivo. Escolha o endpoint que seja mais adequado ao caso de uso. Para executar simultaneamente vários conjuntos de testes para dispositivos diferentes, use um endpoint no nível do dispositivo.

Execute o seguinte comando para obter o endpoint no nível do dispositivo:

Para MQTT clientes que usam certificados de cliente X.509:


aws iotdeviceadvisor get-endpoint --thing-arn your-thing-arn


aws iotdeviceadvisor get-endpoint --certificate-arn your-certificate-arn

Para MQTT mais de WebSocket clientes que usam o Signature Version 4:


aws iotdeviceadvisor get-endpoint --device-role-arn your-device-role-arn --authentication-method SignatureVersion4

Para executar um conjunto de testes por vez, escolha um endpoint no nível da conta. Execute o seguinte comando para obter o endpoint no nível da conta:


aws iotdeviceadvisor get-endpoint

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Device Advisor

Conceitos básicos do Device Advisor no console