本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立 AWS IoT 資源
在本教學課程中,您將建立裝置連線 AWS IoT Core 和交換訊息所需的 AWS IoT 資源。
![\[建立 AWS IoT 資源頁面。\]](http://docs.aws.amazon.com/zh_tw/iot/latest/developerguide/images/iot-gs-create-resources.png)
1. 建立 AWS IoT 政策文件,其會授權您的裝置與 AWS IoT 服務互動。
1. 在 AWS IoT 及其 X.509 裝置憑證中建立物件,然後連接政策文件。物件是登錄 AWS IoT 檔中裝置的虛擬表示法。憑證會對您的裝置進行身分驗證 AWS IoT Core,而政策文件會授權您的裝置與之互動 AWS IoT。
**注意**
若您打算 [使用 Amazon EC2 建立虛擬裝置](creating-a-virtual-thing.md),則可跳過本頁,並繼續 [設定您的裝置](configure-device.md)。建立您的虛擬物件時,您將建立這些資源。
本教學課程使用 AWS IoT 主控台來建立 AWS IoT 資源。如果您的裝置支援網頁瀏覽器,在裝置的網頁瀏覽器上執行此程序可能會比較容易,因為您可以直接將憑證檔案下載到您的裝置。如果您在其他電腦上執行此程序,則必須先將憑證檔案複製到您的裝置,然後範例應用程式才能使用這些檔案。
## 建立 AWS IoT 政策
裝置使用 X.509 憑證進行身分驗證。 AWS IoT Core憑證已連接 AWS IoT 政策。這些政策決定了裝置可執行哪些 AWS IoT 操作 (例如訂購或發佈至 MQTT 主題)。您的裝置會在連線並傳送訊息時顯示其憑證 AWS IoT Core。
遵循這些步驟,以建立一個政策,讓您的裝置執行 AWS IoT 執行範例程式所需的作業。您必須先建立 AWS IoT 政策,才能將其附加到之後會建立的裝置憑證中。
**建立 AWS IoT 政策**
1. 在 [AWS IoT 主控台](https://console.aws.amazon.com//iot/home)的左側選單中,選擇**安全**,然後選擇**政策**。
1. 請在 **You don't have a policy yet** (尚無任何政策) 頁面上,選擇 **Create a policy** (建立政策)。
如果您的帳戶已有現有政策,請選擇**建立政策**。
1. 在 **Create policy** (建立政策) 頁面上:
1. 在 **Policy properties** (政策內容) 區段的 **Policy name** (政策名稱) 欄位中,輸入政策名稱 (例如 **My\$1Iot\$1Policy**)。請勿在政策名稱中使用個人識別資訊。
1. 在 **Policy document** (政策文件) 區段中,建立可授予或拒絕授予 AWS IoT Core 作業資源存取權的政策陳述式。若要建立政策陳述式,授予所有用戶端執行 ****iot:Connect****,請執行這些步驟:
+ 在 **Policy effect** (政策效果) 欄位中,選擇**允許**。這允許已將此政策附加至其憑證的所有用戶端執行 **Policy action** (政策動作) 欄位中列出的動作。
+ 在 **Policy action** (政策動作) 欄位中,選擇政策操作 (例如 ****iot:Connect****)。政策動作是您的裝置從裝置 SDK 執行範例程式時,需要許可才能執行的動作。
+ 在 **Policy resource** (政策資源) 欄位中,輸入資源 Amazon Resource Name (ARN) 或 **\$1**。一個 **\$1** 以選擇任何用戶端 (裝置)。
若要建立 ****iot:Receive****、****iot:Publish****以及 ****iot:Subscribe**** 的政策陳述式,請選擇 **Add new statement (新增陳述式)** 並重複這些步驟。
![\[建立政策的頁面。\]](http://docs.aws.amazon.com/zh_tw/iot/latest/developerguide/images/gs-create-policy-new.png)
**注意**
在這個快速入門中,萬用字元 (\$1) 字元是為了簡單起見而使用。如需更高的安全性,您應該指定用戶端 ARN,而非將萬用字元指定為資源,以限制哪些用戶端 (裝置) 可以連接和發佈訊息。用戶端 ARN 遵循以下格式:`arn:aws:iot:your-region:your-aws-account:client/my-client-id`。
不過,您必須先建立資源 (例如用戶端裝置,或物件影子),然後才能將其 ARN 指配給政策。如需詳細資訊,請參閱 [AWS IoT Core 動作資源](https://docs.aws.amazon.com//iot/latest/developerguide/iot-action-resources.html)。
1. 政策相關資訊輸入完畢後,請選擇 **Create** (建立)。
如需詳細資訊,請參閱[AWS IoT 如何使用 IAM](security_iam_service-with-iam.md)。
## 建立物件
連接到 的裝置 AWS IoT Core 由 AWS IoT 登錄檔中的*物件*表示。「物件」**代表特定的裝置或邏輯實體。它可以是實體裝置或感應器 (例如燈泡或牆上的燈光開關)。它也可以是邏輯實體,例如未連線 AWS IoT但與其他裝置 (例如具有引擎感應器或控制面板的汽車) 相關的應用程式或實體實體執行個體。
**在 AWS IoT 主控台中建立物件**
1. 在 [AWS IoT 主控台](https://console.aws.amazon.com/iot/home)的左側選單中,選擇**所有裝置**,然後選擇**物件**。
1. 在 **Things** (物件) 頁面上,選擇 **Create things** (建立物件)。
1. 在 **Create things** (建立物件) 頁面上,選擇 **Create a single thing** (建立單一物件),然後選擇 **Next** (下一步)。
1. 在 **Specify thing properties** (指定物件屬性) 頁面上,針對 **Thing name** (物件名稱),輸入您的物件名稱,例如 **MyIotThing**。
請小心選擇物件名稱,因為您之後就無法變更物件名稱。
要變更物件的名稱,您必須建立一個新的物件並為它命名,然後刪除舊的物件。
**注意**
請勿在物件名稱中使用個人識別資訊。物件名稱可以出現在未加密的通訊和報告中。
1. 將此頁面上的其餘欄位保持空白。選擇**下一步**。
1. 在 **Configure device certificate - *optional*** (設定裝置憑證 - 選用) 頁面上,選擇 **Auto-generate a new certificate (recommended)** (自動產生新憑證 (建議動作))。選擇**下一步**。
1. 在 **Attach policies to certificate - *optional*** (將策略連接到憑證 - 選用) 頁面上,選取您在上節所建立的政策。在該節中,政策已命名為 **My\$1Iot\$1Policy**。選擇 **Create thing** (建立物件)。
1. 在 **Download certificates and keys** (下載憑證和金鑰) 頁面上:
1. 下載每個憑證和金鑰檔案,並儲存它們以供稍後使用。您必須在裝置上安裝這些檔案。
當您儲存憑證檔案時,請給與它們下表中的名稱。這些是稍後範例中使用的檔案名稱。
**憑證檔案名稱**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/iot/latest/developerguide/create-iot-resources.html)
1. 若要下載這些檔案的根 CA 檔案,請選擇根 CA 憑證檔案的 **Download** (下載) 連結,此憑證檔案對應於資料端點類型以及您正在使用的密碼套件。在本教學課程中,選擇 **RSA 2048 bit key: Amazon Root CA 1** (RSA 2048 位元金鑰:Amazon 根 CA 1) 右側的 **Download** (下載),然後下載 **RSA 2048 bit key: Amazon Root CA 1** (RSA 2048 位元金鑰:Amazon 根 CA 1) 憑證檔案。
**重要**
您必須先儲存憑證檔案,然後才能離開此頁面。在主控台中離開此頁面之後,您再也不能存取憑證檔案。
如果忘了下載在此步驟中所建立的憑證檔案,您必須結束此主控台畫面、移至主控台中的物件清單、刪除您建立的物件,然後從頭重新啟動此程序。
1. 選擇 **Done (完成)**。
完成此程序之後,您應該會在物件清單中看到新的物件。