本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在網域組態中設定 TLS 設定
AWS IoT Core 提供[預先定義的安全政策](transport-security.md#tls-policy-table),讓您自訂網域組態中 [TLS 1.2](https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_1.2) 和 [TLS 1.3 的 Transport Layer Security (TLS) 設定。](https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_1.3)安全政策是 TLS 通訊協定及其密碼的組合,用來決定在用戶端與伺服器之間進行 TLS 交涉期間支援的通訊協定和密碼。使用支援的安全政策,您可以更靈活地管理裝置的 TLS 設定、在連線新裝置時套用最新的安全性措施,以及將現有裝置的 TLS 組態保持一致。
下表說明安全政策、其 TLS 版本及支援的區域:
****
| 安全政策名稱 | 支援的 AWS 區域 |
| --- | --- |
| IoTSecurityPolicy\_TLS13\_1\_3\_2022\_10 | 全部 AWS 區域 |
| IoTSecurityPolicy\_TLS13\_1\_2\_2022\_10 | 全部 AWS 區域 |
| IoTSecurityPolicy\_TLS12\_1\_2\_2022\_10 | 全部 AWS 區域 |
| IoTSecurityPolicy\_TLS12\_1\_0\_2016\_01 | ap-east-1、ap-northeast-2、ap-south-1、ap-southeast-2、ca-central-1、cn-north-1、cn-northwest-1、eu-north-1、eu-west-2、eu-west-3、me-south-1、sa-east-1、us-east-2、us-west-1 |
| IoTSecurityPolicy\_TLS12\_1\_0\_2015\_01 | ap-northeast-1、ap-southeast-1、eu-central-1、eu-west-1、us-east-1、us-west-2 |
中的安全政策名稱 AWS IoT Core 包含根據發行月份和年份的版本資訊。如果您建立新的網域組態,安全政策將預設為 `IoTSecurityPolicy_TLS13_1_2_2022_10`。如需包含通訊協定、TCP 連接埠和密碼詳細資訊的完整安全政策資料表,請參閱[安全政策](transport-security.md#tls-policy-table)。 AWS IoT Core 不支援自訂安全政策。如需詳細資訊,請參閱[中的傳輸安全性 AWS IoT Core](transport-security.md)。
若要在網域組態中設定 TLS 設定,您可以使用 AWS IoT 主控台或 AWS CLI。
**Topics**
+ [在網域組態中設定 TLS 設定 (主控台)](#custom-tls-console)
+ [在網域組態中設定 TLS 設定 (CLI)](#custom-tls-cli)
## 在網域組態中設定 TLS 設定 (主控台)
**使用 AWS IoT 主控台設定 TLS 設定**
1. 登入 AWS 管理主控台 並開啟 [AWS IoT 主控台](https://console.aws.amazon.com/iot/home)。
1. 若要在建立新網域組態時設定 TLS 設定,請遵循下列步驟。
1. 在左側導覽窗格中,選擇**網域組態**,然後選擇**建立網域組態**。
1. 在**建立網域組態**頁面的**自訂網域設定 - *選用***區段中,從**選取安全政策**中選擇安全政策。
1. 遵循小工具並完成其餘步驟。選擇**建立網域組態**。
1. 若要更新現有網域組態中的 TLS 設定,請遵循下列步驟。
1. 在左側導覽窗格中,選擇**網域組態**,然後選擇網域組態。
1. 在**網域組態詳細資訊**頁面中,選擇**編輯**。然後,在**自訂網域設定 - *選用***區段的**選取安全政策**下,選擇安全政策。
1. 選擇**更新網域組態**。
如需詳細資訊,請參閱[建立網域組態](https://docs.aws.amazon.com//iot/latest/developerguide/iot-custom-endpoints-configurable-custom.html#iot-custom-endpoints-configurable-custom-domain-config)和[管理網域組態](iot-custom-endpoints-managing.md)。
## 在網域組態中設定 TLS 設定 (CLI)
您可以使用 [https://docs.aws.amazon.com//cli/latest/reference/iot/create-domain-configuration.html](https://docs.aws.amazon.com//cli/latest/reference/iot/create-domain-configuration.html) 或 [https://docs.aws.amazon.com//cli/latest/reference/iot/update-domain-configuration.html](https://docs.aws.amazon.com//cli/latest/reference/iot/update-domain-configuration.html) CLI 命令,在網域組態中設定 TLS 設定。
1. 若要使用 [https://docs.aws.amazon.com//cli/latest/reference/iot/create-domain-configuration.html](https://docs.aws.amazon.com//cli/latest/reference/iot/create-domain-configuration.html) CLI 命令指定 TLS 設定:
```
aws iot create-domain-configuration \
--domain-configuration-name {{domainConfigurationName}} \
--tls-config securityPolicy={{IoTSecurityPolicy_TLS13_1_2_2022_10}}
```
此令命的輸出如下所示:
```
{
"domainConfigurationName": "test",
"domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
}
```
如果您建立新的網域組態,而未指定安全政策,則值將預設為 `IoTSecurityPolicy_TLS13_1_2_2022_10`。
1. 若要使用 [https://docs.aws.amazon.com//cli/latest/reference/iot/describe-domain-configuration.html](https://docs.aws.amazon.com//cli/latest/reference/iot/describe-domain-configuration.html) CLI 命令說明 TLS 設定:
```
aws iot describe-domain-configuration \
--domain-configuration-name {{domainConfigurationName}}
```
此命令可以傳回網域組態詳細資訊,其中包含 TLS 設定,如下所示:
```
{
"tlsConfig": {
"securityPolicy": "IoTSecurityPolicy_TLS13_1_2_2022_10"
},
"domainConfigurationStatus": "ENABLED",
"serviceType": "DATA",
"domainType": "AWS_MANAGED",
"domainName": "d1234567890abcdefghij-ats.iot.us-west-2.amazonaws.com",
"serverCertificates": [],
"lastStatusChangeDate": 1678750928.997,
"domainConfigurationName": "test",
"domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
}
```
1. 若要使用 [https://docs.aws.amazon.com//cli/latest/reference/iot/update-domain-configuration.html](https://docs.aws.amazon.com//cli/latest/reference/iot/update-domain-configuration.html) CLI 命令更新 TLS 設定:
```
aws iot update-domain-configuration \
--domain-configuration-name {{domainConfigurationName}} \
--tls-config securityPolicy={{IoTSecurityPolicy_TLS13_1_2_2022_10}}
```
此令命的輸出如下所示:
```
{
"domainConfigurationName": "test",
"domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
}
```
1. 若要更新 ATS 端點的 TLS 設定,請執行 [https://docs.aws.amazon.com//cli/latest/reference/iot/update-domain-configuration.html](https://docs.aws.amazon.com//cli/latest/reference/iot/update-domain-configuration.html) CLI 命令。ATS 端點的網域組態名稱為 `iot:Data-ATS`。
```
aws iot update-domain-configuration \
--domain-configuration-name "iot:Data-ATS" \
--tls-config securityPolicy={{IoTSecurityPolicy_TLS13_1_2_2022_10}}
```
此命令的輸出如下所示:
```
{
"domainConfigurationName": "iot:Data-ATS",
"domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/iot:Data-ATS"
}
```
如需詳細資訊,請參閱《AWS API 參考》**中的 [CreateDomainConfiguration](https://docs.aws.amazon.com//iot/latest/apireference/API_CreateDomainConfiguration.html) 和 [UpdateDomainConfiguration](https://docs.aws.amazon.com//iot/latest/apireference/API_UpdateDomainConfiguration.html)。