Configuração - AWS IoT Core
Criar um objeto do IoTCriar um perfil do IAM a ser usado como perfil de dispositivoCrie uma política gerenciada personalizada para que um usuário do IAM use o Device AdvisorCriar um usuário do IAM para usar o Device AdvisorConfigurar o dispositivo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração

Antes de usar o Device Advisor pela primeira vez, execute as seguintes tarefas:

Criar um objeto do IoT

Primeiro, crie um objeto do IoT e anexe um certificado a ela. Para ver um tutorial sobre como criar objetos, consulte Criar um objeto.

Criar um perfil do IAM a ser usado como perfil de dispositivo

nota

Você pode criar rapidamente o perfil do dispositivo com o console do Device Advisor. Para saber como configurar o perfil do dispositivo com o console do Device Advisor, consulte Conceitos básicos do Device Advisor no console.

  1. Acesse o AWS Identity and Access Management console e faça login no que Conta da AWS você usa para testar o Device Advisor.

  2. No painel de navegação à esquerda, escolha Políticas.

  3. Escolha Criar política.

  4. Em Criar política, faça o seguinte:

    1. Para Serviço, escolha IoT.

    2. Em Ações, faça uma das seguintes:

      • (Recomendado) Selecione ações com base na política anexada ao objeto ou certificado de IoT que você criou na seção anterior.

      • Pesquise as seguintes ações na caixa Filtrar ação e selecione-as:

        • Connect

        • Publish

        • Subscribe

        • Receive

        • RetainPublish

    3. Em Recursos, restrinja o cliente, o tópico e os recursos do tópico. A restrição desses recursos é uma prática recomendada de segurança. Para restringir recursos, faça o seguinte:

      1. Escolha Especificar ARN do recurso do cliente para a ação Conectar.

      2. Escolha Adicionar ARN e, em seguida, faça o seguinte:

        nota

        O clientId é o ID do cliente MQTT que o dispositivo usa para interagir com o Device Advisor.

        • Especifique a Região, o accountId e o clientID no editor visual do ARN.

        • Insira manualmente os nomes de recursos da Amazon (ARNs) dos tópicos de IoT com os quais você deseja executar os casos de teste.

      3. Escolha Adicionar.

      4. Escolha Especificar ARN do recurso de tópico para a ação Receber e mais uma.

      5. Escolha Adicionar ARN e, em seguida, faça o seguinte:

        nota

        O nome do tópico é o tópico do MQTT no qual o dispositivo publica mensagens.

        • Especifique a Região, o accountID e o Nome do tópico no editor visual do ARN.

        • Insira manualmente os ARNs dos tópicos de IoT com os quais você deseja executar os casos de teste.

      6. Escolha Add.

      7. Escolha Especificar ARN do recurso topicFilter para a ação Assinar.

      8. Escolha Adicionar ARN e, em seguida, faça o seguinte:

        nota

        O nome do tópico é o tópico do MQTT que o dispositivo assina.

        • Especifique a Região, o accountID e o Nome do tópico no editor visual do ARN.

        • Insira manualmente os ARNs dos tópicos de IoT com os quais você deseja executar os casos de teste.

      9. Escolha Add.

  5. Escolha Próximo: etiquetas.

  6. Escolha Próximo: revisar.

  7. Em Revisar política, insira um Nome para a política.

  8. Escolha Criar política.

  9. No painel de navegação à esquerda, escolha Perfis.

  10. Selecione Criar perfil.

  11. Em Tipo de entidade confiável, escolha Política de confiança personalizada.

  12. Insira a política de confiança a seguir no campo Política de confiança personalizada. Para proteger do problema de confused deputy, adicione as chaves de contexto de condição global aws:SourceArn e aws:SourceAccount à política.

    Importante

    aws:SourceArn deve estar em conformidade com format: arn:aws:iotdeviceadvisor:region:account-id:*.. Certifique-se de que a region corresponda à Região da AWS IoT e account-id corresponda ao ID da conta do cliente. Para obter mais informações, consulte Prevenção de confused deputy entre serviços.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAwsIoTCoreDeviceAdvisor",
            "Effect": "Allow",
            "Principal": {
                "Service": "iotdeviceadvisor.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:iotdeviceadvisor:*:111122223333:suitedefinition/*"
                }
            }
        }
    ]
}

  13. Escolha Próximo.

  14. Selecione a política que você criou na Etapa 4.

  15. Abra a seção Definir limite de permissões e escolha Usar um limite de permissões para controlar o número máximo de permissões de perfis.

  16. Escolha Próximo.

  17. Insira um Nome de perfil e uma Descrição de perfil.

  18. Selecione Criar perfil.

Crie uma política gerenciada personalizada para que um usuário do IAM use o Device Advisor

  1. Navegue até o console do IAM em https://console.aws.amazon.com/iam/. Se solicitado, insira suas credenciais da AWS para fazer login.

  2. No painel de navegação à esquerda, escolha Políticas.

  3. Escolha Criar política e escolha a guia JSON.

  4. Adicione as permissões necessárias para usar o Device Advisor. O documento de política pode ser encontrado no tópico Práticas recomendadas de segurança.

  5. Escolha Review Policy (Revisar política).

  6. Preencha os campos Nome e Descrição.

  7. Escolha Criar política.

Criar um usuário do IAM para usar o Device Advisor

nota

Recomendamos que você crie um usuário do IAM para usar ao executar testes do Device Advisor. Executar testes do Device Advisor por um usuário administrador pode representar riscos de segurança e não é recomendado.

  1. Navegue até o console do IAM em https://console.aws.amazon.com/iam/ Se solicitado, insira suas credenciais da AWS para fazer login.

  2. No painel de navegação à esquerda, escolha Usuários.

  3. Escolha Add User (Adicionar usuário).

  4. Digite um Nome de usuário.

  5. Os usuários precisam de acesso programático se quiserem interagir com pessoas AWS fora do AWS Management Console. A forma de conceder acesso programático depende do tipo de usuário que está acessando AWS.

    Para conceder acesso programático aos usuários, selecione uma das seguintes opções:

    Qual usuário precisa de acesso programático? Para Por

    Identificação da força de trabalho

    (Usuários gerenciados no Centro de Identidade do IAM)

    		 Use credenciais temporárias para assinar solicitações programáticas para AWS SDKs ou APIs. AWS CLI AWS

    Siga as instruções da interface que deseja utilizar.
    IAM Use credenciais temporárias para assinar solicitações programáticas para AWS SDKs ou APIs. AWS CLI AWS Siga as instruções em Como usar credenciais temporárias com AWS recursos no Guia do usuário do IAM.
    IAM

    (Não recomendado)

    Use credenciais de longo prazo para assinar solicitações programáticas para AWS SDKs AWS CLI ou APIs. AWS

    Siga as instruções da interface que deseja utilizar.

  6. Escolha Próximo: permissões.

  7. Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

  8. Na caixa de pesquisa, digite o nome da política gerenciada pelo cliente que você criou. Em seguida, marque a caixa de seleção Nome da política.

  9. Escolha Próximo: etiquetas.

  10. Escolha Próximo: revisar.

  11. Escolha Criar usuário.

  12. Escolha Fechar.

O Device Advisor exige acesso aos seus AWS recursos (itens, certificados e endpoints) em seu nome. O usuário do IAM deve ter as permissões necessárias para: O Device Advisor também publicará registros na Amazon CloudWatch se você anexar a política de permissões necessária ao seu usuário do IAM.

Configurar o dispositivo

O Device Advisor usa a extensão TLS Server Name Indication (SNI) para aplicar configurações de TLS. Os dispositivos devem usar essa extensão quando se conectam e transmitem um nome de servidor idêntico ao endpoint de teste do Device Advisor.

O Device Advisor permite a conexão TLS quando um teste está no estado Running. Ele nega a conexão TLS antes e depois de cada execução de teste. Por isso, recomenda-se usar o mecanismo de nova tentativa de conexão do dispositivo para uma experiência de teste totalmente automatizada com o Device Advisor. Você pode executar conjuntos de teste que incluem mais de um caso de teste, como TLS Connect, MQTT Connect e MQTT Publish. Se você executar vários casos de teste, recomendamos que o dispositivo tente se conectar ao nosso endpoint de teste a cada cinco segundos. Em seguida, você pode automatizar a execução de vários casos de teste em sequência.

nota

Para preparar o software do dispositivo para testes, recomendamos que você use um SDK que possa se conectar ao AWS IoT Core. Em seguida, você deve atualizar o SDK com o endpoint de teste do Device Advisor fornecido para sua Conta da AWS.

O Device Advisor é compatível com dois tipos de endpoints: endpoints em nível de conta e em nível de dispositivo. Escolha o endpoint que seja mais adequado ao caso de uso. Para executar simultaneamente vários conjuntos de testes para dispositivos diferentes, use um endpoint no nível do dispositivo.

Execute o seguinte comando para obter o endpoint no nível do dispositivo:

Para clientes do MQTT que usam certificados de cliente X.509:

aws iotdeviceadvisor get-endpoint --thing-arn your-thing-arn

ou

aws iotdeviceadvisor get-endpoint --certificate-arn your-certificate-arn

Para WebSocket clientes com mais de MQTT que usam o Signature versão 4:

aws iotdeviceadvisor get-endpoint --device-role-arn your-device-role-arn --authentication-method SignatureVersion4

Para executar um conjunto de testes por vez, escolha um endpoint no nível da conta. Execute o seguinte comando para obter o endpoint no nível da conta:

aws iotdeviceadvisor get-endpoint