本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Device Advisor VPC 端點 (AWS PrivateLink)
<a name="device-advisor-vpc-endpoint"></a>

您可以建立*介面 VPC 端點，在 VPC* 與 AWS IoT Core Device Advisor 測試端點 （資料平面） 之間建立私有連線。您可以在將 AWS IoT 裝置部署到生產環境 AWS IoT Core 之前，使用此端點來驗證裝置與 的可靠且安全連線。Device Advisor 的預先建置測試可協助依據最佳實務驗證您的裝置軟體對於 [TLS](https://docs.aws.amazon.com/iot/latest/developerguide/protocols.html)、[MQTT](https://docs.aws.amazon.com/iot/latest/developerguide/protocols.html)、[Device Shadow](https://docs.aws.amazon.com/iot/latest/developerguide/iot-device-shadows.html) 和 [AWS IoT 工作](https://docs.aws.amazon.com/iot/latest/developerguide/iot-jobs.html) 的使用。

[AWS PrivateLink](https://aws.amazon.com/privatelink) 支援與 IoT 裝置搭配使用的介面端點。此服務可協助您在不使用網際網路閘道、NAT 裝置、VPC 連線或 Direct Connect 連接的情況下，以私有方式存取 AWS IoT Core Device Advisor 測試端點。您 VPC 中傳送 TCP 和 MQTT 封包的執行個體不需要公有 IP 地址，即可與 AWS IoT Core Device Advisor 測試端點通訊。VPC 與 AWS IoT Core Device Advisor 之間的流量不會離開 AWS 雲端。IoT 裝置與 Device Advisor 測試案例之間的任何 TLS 和 MQTT 通訊都會保留在您 AWS 帳戶的資源中。

每個介面端點都由子網路中的一個或多個[彈性網路介面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)表示。

如需 VPC 端點的詳細資訊，請參閱《*Amazon VPC 使用者指南*》中的[界面 VPC 端點 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)。

## AWS IoT Core Device Advisor VPC 端點的考量事項
<a name="vpc-considerations"></a>

設定界面 VPC 端點之前，請務必檢閱《*Amazon VPC 使用者指南*》中的[界面端點屬性和限制](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations)。繼續之前，請考慮以下項目：
+ AWS IoT Core Device Advisor 目前支援從您的 VPC 呼叫 Device Advisor 測試端點 （資料平面）。訊息代理程式使用資料平面通訊來傳送和接收資料。它藉由 TLS 和 MQTT 封包的協助做到這一點。將 AWS IoT 裝置 AWS IoT Core Device Advisor 連線至 Device Advisor 測試端點的 VPC 端點。此 VPC 端點不會使用[控制平面 API 動作](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iotdeviceadvisor/index.html)。若要建立或執行測試套件或其他控制平面 APIs，請透過公有網際網路使用 主控台、 AWS 開發套件或 AWS 命令列界面。
+ 下列 AWS 區域 支援 的 VPC 端點 AWS IoT Core Device Advisor：
  + 美國東部 (維吉尼亞北部)
  + 美國西部 (奧勒岡)
  + 亞太地區 (東京)
  + 歐洲 (愛爾蘭)
+  Device Advisor 支援具有 X.509 用戶端憑證和 RSA 伺服器的 MQTT。
+ 目前不支援 [VPC 端點政策](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
+ 如需如何[建立資源](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) (連接 VPC 端點) 的指示，請檢查 VPC 端點的[必要條件](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#prerequisites-interface-endpoints)。您必須建立 VPC 和私有子網路，才能使用 AWS IoT Core Device Advisor VPC 端點。
+ 資源上有配額 AWS PrivateLink 。如需詳細資訊，請參閱 [AWS PrivateLink 配額](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-limits-endpoints.html)。
+ VPC 端點僅支援 IPv4 流量。

## 建立 的介面 VPC 端點 AWS IoT Core Device Advisor
<a name="vpc-interface"></a>

若要開始使用 VPC 端點，請[建立介面 VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。接著，選取 AWS IoT Core Device Advisor 做為 AWS 服務。如果您使用的是 AWS CLI，請呼叫 [describe-vpc-endpoint-services](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-services.html) 以確認 AWS IoT Core Device Advisor 存在於您 中的可用區域中 AWS 區域。確認連接到端點的安全群組允許 MQTT 和 TLS 流量進行 [TCP 協定通訊](https://docs.aws.amazon.com/iot/latest/developerguide/protocols.html)。例如，在美國東部 (維吉尼亞北部) 區域，使用下列命令：

```
aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.deviceadvisor.iot
```

您可以使用 AWS IoT Core 下列服務名稱為 建立 VPC 端點：
+ com.amazonaws.*region*.deviceadvisor.iot

根據預設，端點的私有 DNS 為開啟。這可確保使用預設測試端點會保留在您的私有子網路中。若要取得您的帳戶或裝置層級端點，請使用 主控台 AWS CLI 或 AWS SDK。例如，如果您在公有子網路或公用網際網路上執行 [get-point](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iotdeviceadvisor/get-endpoint.html)，您可以取得端點並使用它來連線至 Device Advisor。如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[透過介面端點存取服務](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。

若要將 MQTT 用戶端連線至 VPC 端點介面， AWS PrivateLink 服務會在連接到 VPC 的私有託管區域中建立 DNS 記錄。這些 DNS 記錄會將 AWS IoT 裝置的要求導向至 VPC 端點。

## 透過 VPC AWS IoT Core Device Advisor 端點控制對 的存取
<a name="vpc-controlling-access"></a>

您可以使用 VPC [條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)來限制裝置對 的存取， AWS IoT Core Device Advisor 並僅允許透過 VPC 端點存取。 AWS IoT Core 支援下列 VPC 相關內容索引鍵：
+  [SourceVpc](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc) 
+  [SourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce) 
+  [VPCSourcelp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpcsourceip) 

**注意**  
 AWS IoT Core Device Advisor 目前不支援 [ VPC 端點政策](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-policies)。

下列政策授予許可，以 AWS IoT Core Device Advisor 使用符合物件名稱的用戶端 ID 連線至 。它也會發佈至以物件名稱為前置詞的任何主題。該政策取決於連接到具有特定 VPC 端點 ID 的 VPC 端點的裝置。此政策會拒絕與公有 AWS IoT Core Device Advisor 測試端點的連線嘗試。

****  

```
{
"Version":"2012-10-17",		 	 	 
    "Statement": [
        {
"Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
            ],
            "Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-1a2b3c4d"
            }
        }
            
        },
        {
"Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*"
            ]
        }
    ]
}
```