本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Device Advisor VPC 端點 (AWS PrivateLink)
您可以透過建立介面 VPC 端點,在 VPC 和 AWS IoT Core Device Advisor 測試端點 (資料平面) 之間建立私人連線。在將裝置部署到生產環境 AWS IoT Core 之前,您可以使用此端點驗證 AWS IoT 裝置是否具有可靠且安全的連線能力。Device Advisor 的預先建置測試可協助依據最佳實務驗證您的裝置軟體對於 TLS、MQTT、Device Shadow 和 AWS IoT 工作 的使用。
AWS PrivateLink
每個介面端點都由子網路中的一個或多個彈性網路介面表示。
如需 VPC 端點的詳細資訊,請參閱《Amazon VPC 使用者指南》中的界面 VPC 端點 (AWS PrivateLink)。
AWS IoT Core Device Advisor VPC 端點的考量
設定界面 VPC 端點之前,請務必檢閱《Amazon VPC 使用者指南》中的界面端點屬性和限制。繼續之前,請考慮以下項目:
-
AWS IoT Core Device Advisor 目前支援從 VPC 呼叫「裝置建議程式」測試端點 (資料平面)。訊息代理程式使用資料平面通訊來傳送和接收資料。它藉由 TLS 和 MQTT 封包的協助做到這一點。將您的裝置 AWS IoT Core Device Advisor 連線至「 AWS IoT 裝置建議程式」測試端點的 VPC 端點。此 VPC 端點不會使用控制平面 API 動作
。若要建立或執行測試套件或其他控制平面 API,請透過公用網際網路使用主控台、 AWS SDK 或 AWS 命令列介面。 -
下列項目 AWS 區域 支援 VPC 端點: AWS IoT Core Device Advisor
-
美國東部 (維吉尼亞北部)
-
美國西部 (奧勒岡)
-
亞太區域 (東京)
-
歐洲 (愛爾蘭)
-
-
Device Advisor 支援具有 X.509 用戶端憑證和 RSA 伺服器的 MQTT。
-
目前不支援 VPC 端點政策。
-
如需如何建立資源 (連接 VPC 端點) 的指示,請檢查 VPC 端點的必要條件。您必須建立 VPC 和私有子網路才能使用 AWS IoT Core Device Advisor VPC 端點。
-
您的 AWS PrivateLink 資源有配額。如需詳細資訊,請參閱 AWS PrivateLink 配額。
-
VPC 端點僅支援 IPv4 流量。
為 AWS IoT Core Device Advisor建立界面 VPC 端點
若要開始使用 VPC 端點,請建立介面 VPC 端點。接下來,選擇 AWS IoT Core Device Advisor 作為 AWS 服務. 如果您正在使用 AWS CLI,請撥describe-vpc-endpoint-services打電話以確 AWS IoT Core Device Advisor 認存在於您的 AWS 區域. 確認連接到端點的安全群組允許 MQTT 和 TLS 流量進行 TCP 協定通訊。例如,在美國東部 (維吉尼亞北部) 區域,使用下列命令:
aws ec2 describe-vpc-endpoint-services
--service-name
com.amazonaws.us-east-1.deviceadvisor.iot
您可以使用下列服務名稱建 AWS IoT Core 立 VPC 端點:
-
com.amazonaws.region.deviceadvisor.iot
根據預設,端點的私有 DNS 為開啟。這可確保使用預設測試端點會保留在您的私有子網路中。若要取得您的帳戶或裝置層級端點,請使用主控台 AWS CLI 或 AWS SDK。例如,如果您在公有子網路或公用網際網路上執行 get-point
若要將 MQTT 用戶端連線到 VPC 端點介面, AWS PrivateLink 服務會在連接到 VPC 的私有託管區域中建立 DNS 記錄。這些 DNS 記錄會將 AWS IoT 裝置的要求導向至 VPC 端點。
控制對 VPC 端點 AWS IoT Core Device Advisor 的存取
您可以使用 VPC 條件內容金鑰來限制裝置存取, AWS IoT Core Device Advisor 並僅允許透過 VPC 端點進行存取。 AWS IoT Core 支援下列 VPC 相關內容金鑰:
注意
AWS IoT Core Device Advisor 目前不支援 VPC 端點原則。
下列原則授與使用符合物名稱的 AWS IoT Core Device Advisor 用戶端 ID 連線的權限。它也會發佈至以物件名稱為前置詞的任何主題。該政策取決於連接到具有特定 VPC 端點 ID 的 VPC 端點的裝置。此政策會拒絕與公有 AWS IoT Core Device Advisor 測試端點的連線嘗試。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:Connect" ], "Resource": [ "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}" ], "Condition": { "StringEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } }, { "Effect": "Allow", "Action": [ "iot:Publish" ], "Resource": [ "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*" ] } ] }