Device Advisor VPC 端點 (AWS PrivateLink) - AWS IoT Core
AWS IoT Core Device Advisor VPC 端點的考量為 AWS IoT Core Device Advisor建立界面 VPC 端點控制對 VPC 端點 AWS IoT Core Device Advisor 的存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Device Advisor VPC 端點 (AWS PrivateLink)

您可以透過建立介面 VPC 端點,在 VPC 和 AWS IoT Core Device Advisor 測試端點 (資料平) 之間建立私人連線。在將裝置部署到生產環境 AWS IoT Core 之前,您可以使用此端點驗證 AWS IoT 裝置是否具有可靠且安全的連線能力。Device Advisor 的預先建置測試可協助依據最佳實務驗證您的裝置軟體對於 TLSMQTTDevice ShadowAWS IoT 工作 的使用。

AWS PrivateLink為您的 IoT 裝置使用的介面端點提供動力。此服務可協助您在不使用網際網路閘道、NAT 裝置、VPC 連線或 AWS Direct Connect 連接的情況下,以私有方式存取 AWS IoT Core Device Advisor 測試端點。VPC 中傳送 TCP 和 MQTT 封包的執行個體不需要公用 IP 位址即可與 AWS IoT Core Device Advisor 測試端點通訊。您的 VPC 和 AWS IoT Core Device Advisor 不會離開 AWS 雲端之間的流量。IoT 裝置與 Device Advisor 測試案例之間的任何 TLS 和 MQTT 通訊都會保留在您 AWS 帳戶的資源中。

每個介面端點都由子網路中的一個或多個彈性網路介面表示。

如需 VPC 端點的詳細資訊,請參閱《Amazon VPC 使用者指南》中的界面 VPC 端點 (AWS PrivateLink)

AWS IoT Core Device Advisor VPC 端點的考量

設定界面 VPC 端點之前,請務必檢閱《Amazon VPC 使用者指南》中的界面端點屬性和限制。繼續之前,請考慮以下項目:

  • AWS IoT Core Device Advisor 目前支援從 VPC 呼叫「裝置建議程式」測試端點 (資料平面)。訊息代理程式使用資料平面通訊來傳送和接收資料。它藉由 TLS 和 MQTT 封包的協助做到這一點。將您的裝置 AWS IoT Core Device Advisor 連線至「 AWS IoT 裝置建議程式」測試端點的 VPC 端點。此 VPC 端點不會使用控制平面 API 動作。若要建立或執行測試套件或其他控制平面 API,請透過公用網際網路使用主控台、 AWS SDK 或 AWS 命令列介面。

  • 下列項目 AWS 區域 支援 VPC 端點: AWS IoT Core Device Advisor

    • 美國東部 (維吉尼亞北部)

    • 美國西部 (奧勒岡)

    • 亞太區域 (東京)

    • 歐洲 (愛爾蘭)

  • Device Advisor 支援具有 X.509 用戶端憑證和 RSA 伺服器的 MQTT。

  • 目前不支援 VPC 端點政策

  • 如需如何建立資源 (連接 VPC 端點) 的指示,請檢查 VPC 端點的必要條件。您必須建立 VPC 和私有子網路才能使用 AWS IoT Core Device Advisor VPC 端點。

  • 您的 AWS PrivateLink 資源有配額。如需詳細資訊,請參閱 AWS PrivateLink 配額

  • VPC 端點僅支援 IPv4 流量。

為 AWS IoT Core Device Advisor建立界面 VPC 端點

若要開始使用 VPC 端點,請建立介面 VPC 端點。接下來,選擇 AWS IoT Core Device Advisor 作為 AWS 服務. 如果您正在使用 AWS CLI,請撥describe-vpc-endpoint-services打電話以確 AWS IoT Core Device Advisor 認存在於您的 AWS 區域. 確認連接到端點的安全群組允許 MQTT 和 TLS 流量進行 TCP 協定通訊。例如,在美國東部 (維吉尼亞北部) 區域,使用下列命令:

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.deviceadvisor.iot

您可以使用下列服務名稱建 AWS IoT Core 立 VPC 端點:

  • com.amazonaws.region.deviceadvisor.iot

根據預設,端點的私有 DNS 為開啟。這可確保使用預設測試端點會保留在您的私有子網路中。若要取得您的帳戶或裝置層級端點,請使用主控台 AWS CLI 或 AWS SDK。例如,如果您在公有子網路或公用網際網路上執行 get-point,您可以取得端點並使用它來連線至 Device Advisor。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的透過介面端點存取服務

若要將 MQTT 用戶端連線到 VPC 端點介面, AWS PrivateLink 服務會在連接到 VPC 的私有託管區域中建立 DNS 記錄。這些 DNS 記錄會將 AWS IoT 裝置的要求導向至 VPC 端點。

控制對 VPC 端點 AWS IoT Core Device Advisor 的存取

您可以使用 VPC 條件內容金鑰來限制裝置存取, AWS IoT Core Device Advisor 並僅允許透過 VPC 端點進行存取。 AWS IoT Core 支援下列 VPC 相關內容金鑰:

注意

AWS IoT Core Device Advisor 目前不支援 VPC 端點原則

下列原則授與使用符合物名稱的 AWS IoT Core Device Advisor 用戶端 ID 連線的權限。它也會發佈至以物件名稱為前置詞的任何主題。該政策取決於連接到具有特定 VPC 端點 ID 的 VPC 端點的裝置。此政策會拒絕與公有 AWS IoT Core Device Advisor 測試端點的連線嘗試。

{
"Version": "2012-10-17",
    "Statement": [
        {
"Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
            ],
            "Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-1a2b3c4d"
                }
            }
            
        },
        {
"Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*"
            ]
        }
    ]
}