本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS IoT Core 搭配界面 VPC 端點使用
<a name="IoTCore-VPC"></a>

透過 AWS IoT Core，您可以使用介面 VPC [端點，在虛擬私有雲端 (VPC) 內建立 IoT 控制平面](https://docs.aws.amazon.com//iot/latest/developerguide/connect-to-iot.html#iot-service-endpoint-intro)端點和 [IoT 資料](https://docs.aws.amazon.com//iot/latest/developerguide/iot-connect-devices.html)端點。 [https://docs.aws.amazon.com//vpc/latest/userguide/vpce-interface.html#create-interface-endpoint](https://docs.aws.amazon.com//vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)介面 VPC 端點採用一種 AWS 技術 AWS PrivateLink，可讓您 AWS 使用私有 IP 地址存取在 上執行的服務。如需詳細資訊，請參閱 [Amazon Virtual Private Cloud](https://docs.aws.amazon.com//AmazonVPC/latest/UserGuide/VPC_Introduction.html)。

若要將遠端網路上 欄位中的裝置，例如公司網路連線至您的 Amazon VPC，請參閱[Network-to-Amazon VPC 連線矩陣](https://docs.aws.amazon.com//whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html)中列出的選項。

**Topics**
+ [為 AWS IoT Core 控制平面建立 VPC 端點](#Create-VPC-endpoints-CP)
+ [為 AWS IoT Core 資料平面建立 VPC 端點](#Create-VPC-endpoints)
+ [為 AWS IoT Core 登入資料提供者建立 VPC 端點](#Create-VPC-endpoints-credential-provider)
+ [建立 Amazon VPC 介面端點](#Create-VPC-endpoints-core-create-vpc)
+ [設定私有託管區域](#connect-iot-core-create-phz-lns)
+ [透過 VPC AWS IoT Core 端點控制對 的存取](#Control-VPC-access)
+ [限制](#VPC-limitations)
+ [使用 擴展 VPC 端點 AWS IoT Core](#Scaling-VPC-endpoints)
+ [搭配使用自訂網域與 VPC 端點](#VPC-custom-domains)
+ [的 VPC 端點可用性 AWS IoT Core](#VPC-availability)
+ [搭配界面 VPC 端點使用 AWS IoT Device Management 安全通道](IoTCore-ST-VPC.md)

## 為 AWS IoT Core 控制平面建立 VPC 端點
<a name="Create-VPC-endpoints-CP"></a>

您可以為 AWS IoT Core 控制平面 API 建立 VPC 端點，將裝置連線至 AWS IoT 服務和其他 AWS 服務。若要開始使用 VPC 端點，[請建立介面 VPC 端點](https://docs.aws.amazon.com//vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)，然後選取 AWS IoT Core 做為 AWS 服務。如果您使用的是 CLI，請先呼叫 [describe-vpc-endpoint-services](https://docs.aws.amazon.com//cli/latest/reference/ec2/describe-vpc-endpoint-services.html)，以確保您選擇特定 中存在 AWS IoT Core 的可用區域 AWS 區域。例如，在 us-east-1 中，此命令將如下所示：

```
aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.api
```

請參閱以下詳細說明，為 AWS IoT Core 控制平面[建立 Amazon VPC 介面端點](#Create-VPC-endpoints-core-create-vpc)。

## 為 AWS IoT Core 資料平面建立 VPC 端點
<a name="Create-VPC-endpoints"></a>

您可以為 AWS IoT Core 資料平面 API 建立 VPC 端點，將您的裝置連線至 AWS IoT 服務和其他 AWS 服務。若要開始使用 VPC 端點，[請建立介面 VPC 端點](https://docs.aws.amazon.com//vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)，然後選取 AWS IoT Core 做為 AWS 服務。如果您使用的是 CLI，請先呼叫 [describe-vpc-endpoint-services](https://docs.aws.amazon.com//cli/latest/reference/ec2/describe-vpc-endpoint-services.html)，以確保您選擇特定 中存在 AWS IoT Core 的可用區域 AWS 區域。例如，在 us-east-1 中，此命令將如下所示：

```
aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.data
```

**注意**  
已停用自動建立 DNS 記錄的 VPC 功能。若要連接這些端點，您必須手動建立私有 DNS 記錄。如需有關私有 VPC DNS 記錄的詳細資訊，請參閱[介面端點的私有 DNS](https://docs.aws.amazon.com//vpc/latest/privatelink/vpce-interface.html#vpce-private-dns)。如需 AWS IoT Core VPC 限制的詳細資訊，請參閱 [限制](#VPC-limitations) 。

若要將 MQTT 用戶端連線至 VPC 端點介面：
+ 您必須手動在連接到 VPC 的私有託管區域中建立 DNS 記錄。若要開始使用，請參閱[建立私有託管區域](https://docs.aws.amazon.com//Route53/latest/DeveloperGuide/hosted-zone-private-creating.html)。
+ 在私有託管區域內，為 VPC 端點的每個彈性網路介面 IP 建立別名記錄。如果多個 VPC 端點有多個網路介面 IP，請在所有加權記錄中建立具有相同權重的加權 DNS 記錄。依描述欄位中的 VPC 端點 ID 進行篩選時，可從 [DescribeNetworkInterfaces](https://docs.aws.amazon.com//AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) API 呼叫中取得這些 IP 地址。

請參閱以下詳細說明，以[建立 Amazon VPC 介面端點](#Create-VPC-endpoints-core-create-vpc)和[設定資料平面的私有託管區域](#connect-iot-core-create-phz-lns)。 AWS IoT Core 

## 為 AWS IoT Core 登入資料提供者建立 VPC 端點
<a name="Create-VPC-endpoints-credential-provider"></a>

您可以建立 VPC 端點 AWS IoT Core [登入資料提供者](https://docs.aws.amazon.com//iot/latest/developerguide/authorizing-direct-aws.html)，以使用用戶端憑證型身分驗證來連接裝置，並取得 [AWS Signature 第 4 版格式](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_aws-signing.html)的臨時 AWS 登入資料。若要開始使用 AWS IoT Core 登入資料提供者的 VPC 端點，請執行 [create-vpc-endpoint](https://docs.aws.amazon.com//cli/latest/reference/ec2/create-vpc-endpoint.html) CLI 命令來[建立介面 VPC 端點](https://docs.aws.amazon.com//vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)，然後選取 AWS IoT Core 登入資料提供者做為 AWS 服務。為了確保您選擇特定 中存在 AWS IoT Core 的可用區域 AWS 區域，請先執行 [describe-vpc-endpoint-services](https://docs.aws.amazon.com//cli/latest/reference/ec2/describe-vpc-endpoint-services.html) 命令。例如，在 us-east-1 中，此命令將如下所示：

```
aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.iot.credentials
```

**注意**  
已停用自動建立 DNS 記錄的 VPC 功能。若要連接這些端點，您必須手動建立私有 DNS 記錄。如需有關私有 VPC DNS 記錄的詳細資訊，請參閱[介面端點的私有 DNS](https://docs.aws.amazon.com//vpc/latest/privatelink/vpce-interface.html#vpce-private-dns)。如需 AWS IoT Core VPC 限制的詳細資訊，請參閱 [限制](#VPC-limitations) 。

若要將 HTTP 用戶端連線至 VPC 端點介面：
+ 您必須手動在連接到 VPC 的私有託管區域中建立 DNS 記錄。若要開始使用，請參閱[建立私有託管區域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html)。
+ 在私有託管區域內，為 VPC 端點的每個彈性網路介面 IP 建立別名記錄。如果多個 VPC 端點有多個網路介面 IP，請在所有加權記錄中建立具有相同權重的加權 DNS 記錄。依描述欄位中的 VPC 端點 ID 進行篩選時，可從 [DescribeNetworkInterfaces](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeNetworkInterfaces.html) API 呼叫中取得這些 IP 地址。

請參閱以下詳細說明，以[建立 Amazon VPC 介面端點](#Create-VPC-endpoints-core-create-vpc)和[設定登入資料提供者的私有託管區域](#connect-iot-core-create-phz-lns)。 AWS IoT Core 

## 建立 Amazon VPC 介面端點
<a name="Create-VPC-endpoints-core-create-vpc"></a>

您可以建立介面 VPC 端點，以連線至由 提供支援 AWS 的服務 AWS PrivateLink。使用下列程序來建立連線至 AWS IoT Core 資料平面或 AWS IoT Core 憑證提供者的介面 VPC 端點。如需詳細資訊，請參閱[使用介面 VPC 端點存取 AWS 服務](https://docs.aws.amazon.com//vpc/latest/privatelink/create-interface-endpoint.html)。

**注意**  
為 AWS IoT Core 資料平面和 AWS IoT Core 登入資料提供者建立 Amazon VPC 介面端點的程序類似，但您必須進行端點特定變更，才能使連線正常運作。

 **使用 VPC 端點主控台建立介面 [VPC](https://console.aws.amazon.com/vpc/home#/endpoints) **端點** ** 

1. 導覽至 [VPC](https://console.aws.amazon.com/vpc/home#/endpoints) **端點**主控台，在左側選單的**虛擬私有雲端**下，選擇**端點**，然後選擇**建立端點**。

1. 在**建立端點**頁面中，指定下列資訊。
   + 選擇**服務類別**的 **AWS 服務**。
   + 針對 **Service Name** (服務名稱)，輸入關鍵字 `iot` 進行搜尋。在顯示的 `iot` 服務清單中，選擇端點。

     如果您為 AWS IoT Core 控制平面建立 VPC 端點，請選擇 的 AWS IoT Core 控制平面 API 端點 AWS 區域。端點的格式為 `com.amazonaws.region.iot.api`。

     如果您為 AWS IoT Core 資料平面建立 VPC 端點，請選擇您區域 AWS IoT Core 的資料平面 API 端點。端點的格式為 `com.amazonaws.region.iot.data`。

     如果您為 AWS IoT Core 登入資料提供者建立 VPC 端點，請選擇您區域的 AWS IoT Core 登入資料提供者端點。端點的格式為 `com.amazonaws.region.iot.credentials`。

     如果您為聯邦資訊處理標準 (FIPS) 區域建立 VPC 端點，請選擇 的 FIPS API 端點 AWS 區域。端點的格式為 `com.amazonaws.region.iot-fips.api`。這僅適用於控制平面。
**注意**  
中國區域中 AWS IoT Core 資料平面的服務名稱格式為 `cn.com.amazonaws.region.iot.data`。中國區域中 AWS IoT Core 控制平面的服務名稱格式為 `com.amazonaws.region.iot.api`。
   + 針對 **VPC** 和 **Subnets** (子網路)，選擇要在其中建立端點的 VPC，以及要在其中建立端點網路的可用區域 (AZ)。
   + 針對**啟用 DNS 名稱**，請確定未針對 AWS IoT Core 資料平面和 AWS IoT Core 憑證提供者選取**此端點的啟用**。 AWS IoT Core 資料平面和 AWS IoT Core 登入資料提供者都不支援私有 DNS 名稱。

     對於 AWS IoT Core 控制平面，預設會選取**啟用 DNS 名稱**。這可確保對控制平面公有 AWS IoT Core 端點的任何請求都會改為透過 VPC 端點路由。啟用此功能時，您不需要設定私有託管區域。
   + 針對 **Security group** (安全群組)，選擇要與端點網路介面建立關聯的安全群組。
   + 您可以選擇性地新增或移除標籤。標籤是您用來與端點建立關聯的名稱值對。

1. 若要建立 VPC 端點，請選擇 **Create endpoint** (建立端點)。

建立 AWS PrivateLink 端點之後，您會在端點**的詳細資訊**索引標籤中看到 DNS 名稱清單。您可以使用您在本節中建立的其中一個 DNS 名稱來[設定私有託管區域](#connect-iot-core-create-phz-lns)。如果您使用的是 AWS IoT Core 控制平面，則不需要設定私有託管區域。

## 設定私有託管區域
<a name="connect-iot-core-create-phz-lns"></a>

**注意**  
如果您使用 AWS IoT Core 控制平面並選取**啟用 DNS 名稱**，則不需要設定私有託管區域。如果您停用此功能，必須遵循此程序來設定私有託管區域。

您可以使用您在上一節中建立的其中一個 DNS 名稱來設定私有託管區域。

 **對於 AWS IoT Core 資料平面** 

DNS 名稱必須是您的網域組態名稱或`IoT:Data-ATS`端點。DNS 名稱範例可以是：` xxx-ats.data.iot.region.amazonaws.com`。

 **對於 AWS IoT Core 登入資料提供者** 

DNS 名稱必須是您的`iot:CredentialProvider`端點。DNS 名稱範例可以是：` xxxx.credentials.iot.region.amazonaws.com`。

 **對於 AWS IoT Core 控制平面** 

DNS 名稱必須是您的 AWS IoT Core 控制平面端點。 AWS IoT Core 控制平面的範例 DNS 名稱為 ` xxxx.api.iot.region.amazonaws.com`。

**注意**  
為 AWS IoT Core 資料平面和 AWS IoT Core 登入資料提供者設定私有託管區域的程序類似，但您必須進行端點特定變更，才能使連線正常運作。

### 建立私有託管區域
<a name="connect-iot-core-create-phz-lns-private-hosted-zone"></a>

 **使用 Route 53 主控台建立私有託管區域** 

1. 導覽至 [Route 53](https://console.aws.amazon.com/route53/v2/hostedzones#/) **Hosted zones** (託管區域) 主控台，然後選擇 **Create hosted zone** (建立託管區域)。

1. 在 **Create hosted zone** (建立託管區域) 頁面中，指定下列資訊。
   + 針對**網域名稱**，輸入 `iot:Data-ATS`或 端點的`iot:CredentialProvider`端點地址。下列 AWS CLI 命令顯示如何透過公有網路取得端點： `aws iot describe-endpoint --endpoint-type iot:Data-ATS`或 `aws iot describe-endpoint --endpoint-type iot:CredentialProvider`。
**注意**  
如果您使用自訂網域，請參閱[搭配使用自訂網域與 VPC 端點。](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#VPC-custom-domains) AWS IoT Core 登入資料提供者不支援自訂網域。
   + 針對 **Type** (類型)，選擇 **Private Hosted Zone** (私有託管區域)。
   + 或者，您可以新增或移除要與託管區域建立關聯的標籤。

1. 若要建立私有託管區域，請選擇 **Create hosted zone** (建立託管區域)。

如需詳細資訊，請參閱[建立私有託管區域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html)。

### 建立記錄
<a name="connect-iot-core-create-phz-lns-create-record"></a>

在建立了私有託管區域之後，您可以建立記錄，告訴 DNS 您想要流量路由至該網域的方式。

 **建立記錄** 

1. 在顯示的託管區域清單，選擇您先前建立的私有託管區域，然後選擇 **Create record** (建立記錄)。

1. 使用精靈方法來建立記錄。如果主控台呈現 **Quick create** (快速建立) 方法，請選擇 **Switch to wizard** (切換至精靈)。

1. 為 **Routing policy** (路由政策) 選擇 **Simple Routing** (簡易路由)，然後選擇 **Next** (下一步)。

1. 在 **Configure records** (設定記錄) 頁面中，選擇 **Define simple record** (定義簡易記錄)。

1. 在 **Define simple record** (定義簡易記錄) 頁面中：
   + 針對**記錄名稱**，輸入`iot:Data-ATS`端點或`iot:CredentialProvider`端點。這必須與私有託管區域名稱相同。
   + 對於**記錄類型**，如果您只想要 IPv4 支援，請將值保留為 `A - Routes traffic to an IPv4 address and some AWS resources`。如果您只想要 IPv6 支援，請將值保留為 `AAAA - Routes traffic to an IPv6 address and some AWS resources`。如果您想要雙堆疊支援 (IPv4 和 IPv6)，請使用相同的記錄名稱和**值/路由流量**，`AAAA`在託管區域中建立兩個記錄 (`A` 和 。 ****
   + 針對 **Value/Route traffic to** (值/路由流量至)，選擇 **Alias to VPC endpoint** (VPC 端點的別名)。接著，選擇您的 **Region** (區域)，然後從顯示的端點清單中選擇您先前建立的端點，如[建立 Amazon VPC 介面端點](#Create-VPC-endpoints-core-create-vpc)所述。

1. 選擇 **Define simple record** (定義簡易記錄) 來建立您的記錄。

## 透過 VPC AWS IoT Core 端點控制對 的存取
<a name="Control-VPC-access"></a>

您可以使用 VPC [條件內容索引鍵](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html)，將裝置存取限制 AWS IoT Core 為僅允許透過 VPC 端點存取 。 AWS IoT Core 支援下列 VPC 相關內容索引鍵：
+  [SourceVpc](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc) 
+  [SourceVpce](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce) 
+  [VPCSourceIp](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpcsourceip) 

**注意**  
AWS IoT Core 不支援 [VPC 端點的端點政策](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-policies)。

例如，以下政策授予許可，以 AWS IoT Core 使用符合物件名稱的用戶端 ID 連線至 ，並發佈至物件名稱前綴的任何主題，條件是連接至具有特定 VPC 端點 ID 之 VPC 端點的裝置。此政策會拒絕與公有 IoT 資料端點的連線嘗試。

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceVpce": "vpce-1a2b3c4d"
            }
        }
            
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*"
            ]
        }
    ]
}
```

## 限制
<a name="VPC-limitations"></a>

[AWS IoT Core 控制平面端點](https://docs.aws.amazon.com//iot/latest/developerguide/connect-to-iot.html#iot-service-endpoint-intro)、[AWS IoT Core 資料端點](https://docs.aws.amazon.com//iot/latest/developerguide/iot-connect-devices.html#iot-connect-device-endpoints)和[AWS IoT Core 登入資料提供者](https://docs.aws.amazon.com//iot/latest/developerguide/authorizing-direct-aws.htm)端點目前支援 VPC 端點。只有在使用 AWS IoT Core 控制平面時，[聯邦資訊處理標準 (FIPS) 端點才支援 VPC 端點](https://docs.aws.amazon.com//iot/latest/developerguide/iot-connect-fips.html)。

### IoT 控制平面 VPC 端點的限制
<a name="VPC-limitations-iot-control"></a>

本節涵蓋 IoT 控制平面 VPC 端點的限制。
+ VPC 端點只會提供 ATS 憑證。
+ 控制平面端點不支援自訂網域。
+ 如需 FIPS 安全政策的相關資訊，請參閱 [FIPS 安全政策](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/describe-ssl-policies.html#fips-security-policies)。

### IoT 資料 VPC 端點的限制
<a name="VPC-limitations-iot-data"></a>

本節涵蓋 IoT 資料 VPC 端點的限制。
+ MQTT 持續作用期間限制為 230 秒。保持的存留期超過自動縮短為 230 秒。
+ 每個 VPC 端點支援總共 100,000 個並行連網裝置。如果您需要更多連線，請參閱 [使用 擴展 VPC 端點 AWS IoT Core](#Scaling-VPC-endpoints) 。
+ VPC 端點只會為 [ATS 憑證](https://docs.aws.amazon.com//iot/latest/developerguide/server-authentication.html)提供服務，但自訂網域除外。
+  不支援 [VPC 端點政策](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html)。
+ 對於為 AWS IoT Core 資料平面建立的 VPC 端點， AWS IoT Core 不支援使用區域或區域公有 DNS 記錄。

### 登入資料提供者端點的限制
<a name="VPC-limitations-credential-provider"></a>

本節涵蓋登入資料提供者 VPC 端點的限制。
+ VPC 端點只會提供 [ATS 憑證](https://docs.aws.amazon.com//iot/latest/developerguide/server-authentication.html)。
+  不支援 [VPC 端點政策](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html)。
+ 登入資料提供者端點不支援自訂網域。
+ 對於為 AWS IoT Core 登入資料提供者建立的 VPC 端點， AWS IoT Core 不支援使用區域或區域公有 DNS 記錄。

## 使用 擴展 VPC 端點 AWS IoT Core
<a name="Scaling-VPC-endpoints"></a>

AWS IoT Core 介面 VPC 端點透過單一介面端點限制為 100，000 個連線裝置。如果您的使用案例要求更多並行連線到代理程式，則我們建議使用多個 VPC 端點，並跨您的介面端點手動路由裝置。建立私有 DNS 記錄以將流量路由到 VPC 端點時，請確保建立的加權記錄數量與 VPC 端點數量一樣多，以將流量分配到多個端點。

## 搭配使用自訂網域與 VPC 端點
<a name="VPC-custom-domains"></a>

如果您想要搭配 VPC 端點使用自訂網域，您必須在私有託管區域中建立自訂網域名稱記錄，並在 Route53 中建立路由記錄。如需詳細資訊，請參閱[建立私有託管區域](https://docs.aws.amazon.com//Route53/latest/DeveloperGuide/hosted-zone-private-creating.html)。

**注意**  
自訂網域僅支援 AWS IoT Core 資料端點。

## 的 VPC 端點可用性 AWS IoT Core
<a name="VPC-availability"></a>

AWS IoT Core 介面 VPC 端點可在所有[AWS IoT Core 支援的區域](https://aws.amazon.com//about-aws/global-infrastructure/regional-product-services/)使用。中國區域和 不支援憑證提供者的 AWS IoT Core AWS IoT Core 介面 VPC 端點 AWS GovCloud (US) Regions。