Device Advisor VPC端點 (AWS PrivateLink) - AWS IoT Core
端點的 AWS IoT Core Device Advisor VPC考量事項建立 的介面VPC端點 AWS IoT Core Device Advisor透過VPC端點控制對 AWS IoT Core Device Advisor 的存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Device Advisor VPC端點 (AWS PrivateLink)

您可以透過建立介面端點,在 VPC和 AWS IoT Core Device Advisor 測試端點 (資料平面) 之間建立私有連線。 VPC 您可以在將 AWS IoT 裝置部署到生產環境 AWS IoT Core 之前,使用此端點驗證裝置與 的可靠和安全連線。Device Advisor 的預先建置測試可協助您根據使用 TLS、、Device ShadowAWS IoT 任務的最佳實務MQTT來驗證您的裝置軟體。

AWS PrivateLink 支援與 IoT 裝置搭配使用的介面端點。此服務可協助您在沒有網際網路閘道、NAT裝置、VPN連線或 AWS Direct Connect 連線的情況下,私下存取 AWS IoT Core Device Advisor 測試端點。您 中傳送 TCP和 MQTT 封包VPC的執行個體不需要公有 IP 地址,即可與 AWS IoT Core Device Advisor 測試端點通訊。您的 VPC和 AWS IoT Core Device Advisor 之間的流量不會離開 AWS 雲端。IoT 裝置和 Device Advisor 測試案例之間的任何 TLS 和 MQTT 通訊都會保留在 中的 資源內 AWS 帳戶。

每個介面端點都由子網路中的一個或多個彈性網路介面表示。

若要進一步了解如何使用介面VPC端點,請參閱《Amazon VPC 使用者指南》中的介面VPC端點 (AWS PrivateLink)

端點的 AWS IoT Core Device Advisor VPC考量事項

在設定介面端點之前,請先檢閱 Amazon 使用者指南中的介面端點屬性和限制 VPC VPC繼續之前,請考慮以下項目:

  • AWS IoT Core Device Advisor 目前支援從您的 呼叫 Device Advisor 測試端點 (資料平面)VPC。訊息代理程式使用資料平面通訊來傳送和接收資料。它會在 TLS和 MQTT封包的協助下執行此操作。 VPC端點可將 AWS IoT 您的裝置 AWS IoT Core Device Advisor 連線至 Device Advisor 測試端點。此VPC端點不會使用控制平面API動作。若要建立或執行測試套件或其他控制平面 APIs,請透過公有網際網路使用 主控台 AWS SDK、 或 AWS 命令列界面。

  • 下列 的 AWS 區域 支援VPC端點 AWS IoT Core Device Advisor:

    • 美國東部 (維吉尼亞北部)

    • 美國西部 (奧勒岡)

    • 亞太區域 (東京)

    • 歐洲 (愛爾蘭)

  • Device Advisor MQTT 支援 X.509 用戶端憑證和RSA伺服器憑證。

  • 目前不支援VPC端點政策

  • 檢查VPC端點先決條件,以取得如何建立連接端點之資源的指示。 VPC您必須建立 VPC和私有子網路才能使用 AWS IoT Core Device Advisor VPC端點。

  • 資源上有配額 AWS PrivateLink 。如需詳細資訊,請參閱 AWS PrivateLink 配額

  • VPC 端點僅支援IPv4流量。

建立 的介面VPC端點 AWS IoT Core Device Advisor

若要開始使用VPC端點,請建立介面VPC端點。接著,選取 AWS IoT Core Device Advisor 做為 AWS 服務。如果您使用 AWS CLI,請呼叫 describe-vpc-endpoint-services 以確認 AWS IoT Core Device Advisor 存在於 中的可用區域中 AWS 區域。確認連接至端點的安全群組允許 MQTT和 TLS流量的TCP通訊協定通訊。例如,在美國東部 (維吉尼亞北部) 區域,使用下列命令:

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.deviceadvisor.iot

您可以使用 AWS IoT Core 下列服務名稱建立 的VPC端點:

  • com.amazonaws.region.deviceadvisor.iot

依預設,DNS會為端點開啟私有。這可確保使用預設測試端點會保留在您的私有子網路中。若要取得您的帳戶或裝置層級端點,請使用 主控台 AWS CLI 或 AWS SDK。例如,如果您在公有子網路或公用網際網路上執行 get-point,您可以取得端點並使用它來連線至 Device Advisor。如需詳細資訊,請參閱《Amazon VPC使用者指南》中的透過介面端點存取服務

若要將MQTT用戶端連接到VPC端點介面, AWS PrivateLink 服務會在連接到 的私有託管區域中建立DNS記錄VPC。這些DNS記錄會將 AWS IoT 裝置的請求導向VPC端點。

透過VPC端點控制對 AWS IoT Core Device Advisor 的存取

您可以使用VPC條件內容索引鍵來限制裝置對 的存取, AWS IoT Core Device Advisor 並僅允許透過VPC端點存取。 AWS IoT Core 支援下列VPC相關內容索引鍵:

注意

AWS IoT Core Device Advisor 目前不支援VPC端點政策

下列政策授予許可,以 AWS IoT Core Device Advisor 使用符合物件名稱的用戶端 ID 連線至 。它也會發佈至以物件名稱為前置詞的任何主題。此政策是依連接至具有特定VPC端點 ID 之VPC端點的裝置而定。此政策會拒絕與公有 AWS IoT Core Device Advisor 測試端點的連線嘗試。

{
"Version": "2012-10-17",
    "Statement": [
        {
"Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
            ],
            "Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-1a2b3c4d"
                }
            }
            
        },
        {
"Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*"
            ]
        }
    ]
}