As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Segurança de transporte em AWS IoT Core
<a name="transport-security"></a>

O Transport Layer Security (TLS) é um protocolo criptográfico projetado para comunicação segura em uma rede de computadores. O AWS IoT Core Device Gateway exige que os clientes criptografem toda a comunicação em trânsito usando TLS para conexões de dispositivos ao Gateway. O TLS é usado para obter a confidencialidade dos protocolos de aplicativos (MQTT, HTTP e WebSocket) suportados pelo. AWS IoT Core O suporte ao TLS está disponível em várias de linguagens de programação e sistemas operacionais. Os dados AWS internos são criptografados pelo AWS serviço específico. Para obter mais informações sobre criptografia de dados em outros AWS serviços, consulte a documentação de segurança desse serviço.

**Topics**
+ [Protocolos TLS](#tls-ssl-policy)
+ [Políticas de segurança](#tls-policy-table)
+ [Notas importantes para a segurança do transporte em AWS IoT Core](#tls-ssl-core)
+ [Segurança de transporte para dispositivos sem fio LoRa WAN](#tls-lorawan)

## Protocolos TLS
<a name="tls-ssl-policy"></a>

AWS IoT Core suporta as seguintes versões do protocolo TLS:
+ TLS 1.3 
+ TLS 1.2

Com AWS IoT Core, você pode definir as configurações de TLS (para [TLS 1.2 e TLS](https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_1.2) [1.3](https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_1.3)) nas configurações de domínio. Para obter mais informações, consulte [Definir configurações de TLS nas configurações de domínio](iot-endpoints-tls-config.md).

## Políticas de segurança
<a name="tls-policy-table"></a>

Uma política de segurança é uma combinação de protocolos TLS e suas cifras que determinam quais protocolos e cifras são compatíveis durante as negociações de TLS entre um cliente e um servidor. Você pode configurar seus dispositivos para usar políticas de segurança predefinidas com base em suas necessidades. Observe que isso AWS IoT Core não oferece suporte a políticas de segurança personalizadas.

Você pode escolher uma das políticas de segurança predefinidas para seus dispositivos ao conectá-los a. AWS IoT Core Os nomes das políticas de segurança predefinidas mais recentes AWS IoT Core incluem informações de versão com base no ano e mês em que foram lançadas. A política de segurança padrão predefinida é `IoTSecurityPolicy_TLS13_1_2_2022_10`. Para especificar uma política de segurança, você pode usar o AWS IoT console ou AWS CLI o. Para obter mais informações, consulte [Definir configurações de TLS nas configurações de domínio](iot-endpoints-tls-config.md).

A tabela a seguir descreve as políticas de segurança predefinidas mais recentes compatíveis com o AWS IoT Core . O `IotSecurityPolicy_` foi removido dos nomes de política na linha de cabeçalho para que se ajustem ao espaço.


| **Política de segurança** | TLS13\$11\$13\$12022\$110 | TLS13\$11\$12\$12022\$110 | TLS12\$11\$12\$12022\$110 | TLS12\$11\$10\$12016\$101\$1 | TLS12\$11\$10\$12015\$101\$1 | 
| --- | --- | --- | --- | --- | --- | 
| Porta TCP |  443/8443/8883  |  443/8443/8883  |  443/8443/8883  | 443 | 8443/8883 | 443 | 8443/8883 | 
| Protocolos TLS | 
| TLS 1.2 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| TLS 1.3 | ✓ | ✓ |  |  |  |  |  | 
| Cifras TLS | 
| TLS\$1AES\$1128\$1GCM\$1 SHA256 | ✓ | ✓ |  |  |  |  |  | 
| TLS\$1AES\$1256\$1GCM\$1 SHA384 | ✓ | ✓ |  |  |  |  |  | 
| TLS\$1 \$1 \$1 CHACHA20 POLY1305 SHA256 | ✓ | ✓ |  |  |  |  |  | 
| ECDHE-RSA- -GCM- AES128 SHA256 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ECDHE-RSA- - AES128 SHA256 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ECDHE-RSA- -SHA AES128 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ECDHE-RSA- -GCM- AES256 SHA384 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ECDHE-RSA- - AES256 SHA384 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ECDHE-RSA- -SHA AES256 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| AES128-GCM- SHA256 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| AES128-SHA256 |  | ✓ | ✓ | ✓ |  | ✓ | ✓ | 
| AES128-SHAH |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| AES256-GCM- SHA384 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| AES256-SHA256 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| AES256-SHAH |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| DHE-RSA- -SHA AES256 |  |  |  |  |  | ✓ | ✓ | 
| ECDHE-ECDSA- -GCM- AES128 SHA256 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ECDHE-ECDSA- - AES128 SHA256 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ECDHE-ECDSA- -SHA AES128 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ECDHE-ECDSA- -GCM- AES256 SHA384 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ECDHE-ECDSA- - AES256 SHA384 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 
| ECDHE-ECDSA- -SHA AES256 |  | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | 

**nota**  
`TLS12_1_0_2016_01`só está disponível no seguinte Regiões da AWS: ap-east-1, ap-northeast-2, ap-south-1, ap-south-1, ap-southeast-2, ca-central-1, cn-north-1, cn-northwest-1, eu-north-1, eu-north-1, eu-west-2, eu-west-3, me-south-1, sa-lest-1, us-east-1, us-east-2, -1, -2, us-west-1. us-gov-west us-gov-west  
`TLS12_1_0_2015_01`só está disponível no seguinte Regiões da AWS: ap-northeast-1, ap-southeast-1, eu-central-1, eu-central-1, eu-west-1, us-east-1, us-west-2.

## Notas importantes para a segurança do transporte em AWS IoT Core
<a name="tls-ssl-core"></a>

Para dispositivos que se conectam AWS IoT Core usando o [MQTT](https://docs.aws.amazon.com//iot/latest/developerguide/mqtt.html), o TLS criptografa a conexão entre os dispositivos e o agente e AWS IoT Core usa a autenticação do cliente TLS para identificar dispositivos. Para obter mais informações, consulte [Autenticação do cliente](https://docs.aws.amazon.com//iot/latest/developerguide/client-authentication.html). Para dispositivos que se conectam AWS IoT Core usando [HTTP](https://docs.aws.amazon.com//iot/latest/developerguide/http.html), o TLS criptografa a conexão entre os dispositivos e o agente, e a autenticação é delegada à AWS Signature Version 4. Para obter mais informações, consulte [Assinatura de solicitações com o SignatAre Versão 4](https://docs.aws.amazon.com//general/latest/gr/create-signed-request.html) na *Referência geral da AWS *.

Quando você conecta dispositivos ao AWS IoT Core, o envio da [extensão de Indicação de Nome do Servidor (SNI)](https://tools.ietf.org/html/rfc3546#section-3.1) não é obrigatório, mas é altamente recomendado. Para usar recursos, como [registro de várias contas](https://docs.aws.amazon.com//iot/latest/developerguide/x509-client-certs.html#multiple-account-cert), [domínios personalizados](https://docs.aws.amazon.com//iot/latest/developerguide/iot-custom-endpoints-configurable-custom.html), [endpoints da VPC](https://docs.aws.amazon.com//iot/latest/developerguide/IoTCore-VPC.html) e [políticas de TLS configuradas](https://docs.aws.amazon.com//iot/latest/developerguide/iot-endpoints-tls-config.html), é necessário usar a extensão SNI e fornecer o endereço completo do endpoint no campo `host_name`. O campo `host_name` deve conter o endpoint que você está chamando. Esse endpoint deve ser um dos seguintes:
+ O `endpointAddress` retornado por `aws iot [describe-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-endpoint.html) --endpoint-type iot:Data-ATS`
+ O `domainName` retornado por `aws iot [describe-domain-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-domain-configuration.html) –-domain-configuration-name "domain_configuration_name"`

As conexões tentadas por dispositivos com o `host_name` valor incorreto ou inválido falharão. AWS IoT Core registrará falhas no tipo de [autenticação personalizada](https://docs.aws.amazon.com//iot/latest/developerguide/custom-authentication.html). CloudWatch 

AWS IoT Core não suporta a [extensão SessionTicket TLS](https://www.ietf.org/rfc/rfc5077.txt).

## Segurança de transporte para dispositivos sem fio LoRa WAN
<a name="tls-lorawan"></a>

LoRaOs dispositivos WAN seguem as práticas de segurança descritas em [LoRaWAN™ SECURITY: um white paper preparado para a LoRa Alliance™ pela Gemalto, Actility e](https://lora-alliance.org/sites/default/files/2019-05/lorawan_security_whitepaper.pdf) Semtech. 

Para obter mais informações sobre segurança de transporte com dispositivos LoRa WAN, consulte [Dados de LoRa WAN e segurança de transporte](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/iot-lorawan-security.html).