在域配置中配置TLS设置 - AWS IoT Core
在域配置中配置TLS设置(控制台)在域配置中配置TLS设置 (CLI)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在域配置中配置TLS设置

AWS IoT Core 提供了预定义的安全策略,供您在域配置中自定义 TLS1.2 和 TLS 1. 3 的传输层安全 (TLS) 设置。安全策略是TLS协议及其密码的组合,用于在客户端和服务器之间的TLS协商期间确定支持的协议和密码。借助支持的安全策略,您可以更灵活地管理设备TLS设置,在连接新设备时采用最严格的 up-to-date安全措施,并保持现有设备的一致TLS配置。

下表描述了安全策略、其TLS版本和支持的区域:

安全策略名称 支持的 AWS 区域
I oTSecurity Policy_ _1_3_2022_10 TLS13 全部 AWS 区域
I oTSecurity Policy_ _1_2_2022_10 TLS13 全部 AWS 区域
I oTSecurity Policy_ _1_2_2022_10 TLS12 全部 AWS 区域
I oTSecurity Policy_ _1_0_2016_01 TLS12 ap-east-1、ap-northeast-2、ap-southeast-1、ap-southeast-2、ca-central-1、cn-northeast-1、eu-northeast-1、eu-northeast-1、eu-west-3、me-south-1、sa-east-1、us-east-2、us-west-1
I oTSecurity Policy_ _1_0_2015_01 TLS12 ap-northeast-1、ap-southeast-1、eu-central-1、eu-west-1、us-east-1、us-west-2

中的安全策略名称 AWS IoT Core 包括基于发布年份和月份的版本信息。如果您创建新的域配置,则安全策略将默认为 IoTSecurityPolicy_TLS13_1_2_2022_10。有关包含协议、TCP端口和密码详细信息的安全策略的完整表,请参阅安全策略。 AWS IoT Core 不支持自定义安全策略。有关更多信息,请参阅 运输安全 AWS IoT Core

要配置域配置中的TLS设置,您可以使用 AWS IoT 控制台或 AWS CLI。

在域配置中配置TLS设置(控制台)

使用 AWS IoT 控制台配置TLS设置

  1. 登录 AWS Management Console 并打开AWS IoT 控制台

  2. 要在创建新的域配置时配置TLS设置,请按照以下步骤操作。

    1. 在左侧导航窗格中,选择设置,然后从域配置部分选择创建域配置

    2. 创建域配置页面的自定义域设置 - 可选部分,从选择安全策略中选择安全策略。

    3. 按照小部件操作并完成其余步骤。选择创建域配置

  3. 要更新现有域配置中的TLS设置,请执行以下步骤。

    1. 在左侧导航窗格中,选择设置,然后在域配置下选择域配置。

    2. 域配置详细信息页面中,选择编辑。然后,在自定义域设置 - 可选部分的选择安全策略下,选择安全策略。

    3. 选择更新域配置

有关更多信息,请参阅创建域配置管理域配置

在域配置中配置TLS设置 (CLI)

您可以使用create-domain-configurationupdate-domain-configurationCLI命令在域配置中配置您的TLS设置。

  1. 要使用create-domain-configurationCLI命令指定TLS设置,请执行以下操作:

    aws iot create-domain-configuration \
    --domain-configuration-name domainConfigurationName \
    --tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10

    此命令的输出可能如下所示:

    {
"domainConfigurationName": "test",
"domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
}

    如果您在未指定安全策略的情况下创建新的域配置,则该值将默认为:IoTSecurityPolicy_TLS13_1_2_2022_10

  2. 要使用describe-domain-configurationCLI命令描述TLS设置,请执行以下操作:

    aws iot describe-domain-configuration \
    --domain-configuration-name domainConfigurationName

    此命令可以返回包含如下TLS设置的域配置详细信息:

    {
 "tlsConfig": {
 "securityPolicy": "IoTSecurityPolicy_TLS13_1_2_2022_10"
 }, 
 "domainConfigurationStatus": "ENABLED", 
 "serviceType": "DATA", 
 "domainType": "AWS_MANAGED", 
 "domainName": "d1234567890abcdefghij-ats.iot.us-west-2.amazonaws.com",
 "serverCertificates": [], 
 "lastStatusChangeDate": 1678750928.997, 
 "domainConfigurationName": "test", 
 "domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
}

  3. 要使用update-domain-configurationCLI命令更新TLS设置,请执行以下操作:

    aws iot update-domain-configuration \
    --domain-configuration-name domainConfigurationName \
    --tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10

    此命令的输出可能如下所示:

    {
"domainConfigurationName": "test",
"domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
}

  4. 要更新终ATS端节点的TLS设置,请运行update-domain-configurationCLI命令。您的ATS终端节点的域配置名称是iot:Data-ATS

    aws iot update-domain-configuration \
    --domain-configuration-name "iot:Data-ATS" \
    --tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10

    此命令的输出可能如下所示:

    {
"domainConfigurationName": "iot:Data-ATS",
"domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/iot:Data-ATS"
}

有关更多信息,请参阅 “AWS API参考UpdateDomainConfiguration中的 “CreateDomainConfiguration和”。