Verwenden von AWS IoT Device Management sicherem Tunneling mit VPC-Endpunkten mit Schnittstellen - AWS IoT Core
VoraussetzungenEmpfangen von Tunnelbenachrichtigungen über VPC-EndpunkteVPC-Endpunkte für sicheres Tunneling erstellenKonfiguration von VPC-Endpunktrichtlinien auf dem ProxyserverNächste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von AWS IoT Device Management sicherem Tunneling mit VPC-Endpunkten mit Schnittstellen

AWS IoT Device ManagementSecure Tunneling unterstützt Schnittstellen-VPC-Endpunkte. Sie können VPC-Endpunkte verwenden, um den Verkehr zwischen Ihrer VPC und AWS IoT Secure Tunneling innerhalb des AWS Netzwerks aufrechtzuerhalten, ohne dass ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine Verbindung erforderlich ist. AWS Direct Connect

Interface-VPC-Endpunkte basieren auf einer Technologie AWS PrivateLink, mit der Sie privat auf Dienste zugreifen können, indem Sie private IP-Adressen verwenden. Weitere Informationen finden Sie im AWS PrivateLink Handbuch unter Zugreifen auf einen AWS Dienst über einen Schnittstellen-VPC-Endpunkt.

Voraussetzungen

Bevor Sie VPC-Endpoints für erstellen, stellen Sie sicherAWS IoT Secure Tunneling, dass Sie über Folgendes verfügen:

  • Ein AWS Konto mit den erforderlichen Berechtigungen zum Erstellen von VPC-Endpoints.

  • Eine VPC in Ihrem AWS Konto.

  • Verständnis von Konzepten für AWS IoT Device Management sicheres Tunneling.

  • Vertrautheit mit VPC-Endpunktrichtlinien und AWS Identity and Access Management (IAM)

Empfangen von Tunnelbenachrichtigungen über VPC-Endpunkte

Um Tunnelbenachrichtigungen über einen VPC-Endpunkt zu erhalten, können Ihre Geräte über einen VPC-Endpunkt eine Verbindung zur AWS IoT Core Datenebene herstellen und das reservierte MQTT-Thema für sicheres Tunneling abonnieren.

Anweisungen zum Erstellen und Konfigurieren eines VPC-Endpunkts in der AWS IoT Core Datenebene finden Sie unter VPC-Endpunkte AWS IoT Core mit der Schnittstelle verwenden im AWS IoT Entwicklerhandbuch.

VPC-Endpunkte für sicheres Tunneling erstellen

Sie können VPC-Endpunkte sowohl für die Secure Tunneling-Kontrollebene als auch für den Proxyserver erstellen.

So erstellen Sie einen VPC-Endpunkt für sicheres Tunneling

  1. Folgen Sie den Schritten unter Erstellen eines Schnittstellenendpunkts im Amazon VPC Developer Guide

  2. Wählen Sie für den Servicenamen je nach Endpunkttyp eine der folgenden Optionen aus:

    Steuerebene

    • Standard: com.amazonaws.<region>.iot.tunneling.api

    • FIPS (in FIPS-Regionen verfügbar): com.amazonaws.<region>.iot-fips.tunneling.api

    Proxy-Server

    • Standard: com.amazonaws.<region>.iot.tunneling.data

    • FIPS (in FIPS-Regionen verfügbar): com.amazonaws.<region>.iot-fips.tunneling.data

    Ersetze es durch <region> dein. AWS-Region Beispiel, us-east-1.

  3. Führen Sie die verbleibenden Schritte im Prozess zur Erstellung von VPC-Endpunkten gemäß Ihren Netzwerkanforderungen aus.

Konfiguration von VPC-Endpunktrichtlinien auf dem Proxyserver

Zusätzlich zur tokenbasierten Autorisierung für den Clientzugriff, mit der Verbindungen zu Tunneln autorisiert werden, können Sie VPC-Endpunktrichtlinien verwenden, um weiter einzuschränken, wie Geräte einen VPC-Endpunkt verwenden können, um eine Verbindung zum Secure Tunneling Proxy Server herzustellen. VPC-Endpunktrichtlinien folgen einer IAM-ähnlichen Syntax und werden auf dem VPC-Endpunkt selbst konfiguriert.

Beachten Sie, dass die einzige unterstützte IAM-Aktion für Proxyserver-VPC-Endpunktrichtlinien ist. iot:ConnectToTunnel

Im Folgenden finden Sie Beispiele für verschiedene VPC-Endpunktrichtlinien.

Beispiele für VPC-Endpunktrichtlinien für Proxyserver

Die folgenden Beispiele zeigen die Konfigurationen der VPC-Endpunktrichtlinien für Proxyserver für allgemeine Anwendungsfälle.

Beispiel - Standardrichtlinie

Diese Richtlinie ermöglicht es Geräten in Ihrer VPC, über jedes AWS Konto eine Verbindung zu jedem Tunnel herzustellen, der sich in demselben Tunnel befindet, in AWS-Region dem der Endpunkt erstellt wurde.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}
Beispiel - Beschränken Sie den Zugriff auf bestimmte Konten AWS

Diese Richtlinie ermöglicht es dem VPC-Endpunkt, sich nur mit Tunneln in bestimmten AWS Konten zu verbinden.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": [
                "arn:aws:iot:us-east-1:111122223333:tunnel/*",
                "arn:aws:iot:us-east-1:444455556666:tunnel/*"
            ]
        }
    ]
}
Beispiel - Beschränken Sie Verbindungen nach Tunnelendpunkt

Sie können den VPC-Endpunktzugriff so einschränken, dass nur Geräte eine Verbindung zum Quell- oder Zielende eines Tunnels herstellen können.

Nur Quelle:

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iot:ClientMode": "source"
                }
            }
        }
    ]
}

Nur Ziel:

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iot:ClientMode": "destination"
                }
            }
        }
    ]
}
Beispiel - Beschränken Sie den Zugriff auf der Grundlage von Ressourcen-Tags

Diese Richtlinie ermöglicht es dem VPC-Endpunkt, sich nur mit Tunneln zu verbinden, die mit einem bestimmten Schlüssel-Wert-Paar gekennzeichnet sind.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Environment": "Production"
                }
            }
        }
    ]
}
Beispiel - Kombinierte Versicherungsbedingungen

Diese Politik zeigt die Kombination mehrerer politischer Elemente. Sie ermöglicht Verbindungen zu jedem Tunnel in einem bestimmten AWS Konto, aber nur, wenn der Tunnel mit AllowConnectionsThroughPrivateLink set to gekennzeichnet ist true und der Client keine Verbindung zum Zielende des Tunnels herstellt.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": [
                "arn:aws:iot:us-east-1:111122223333:tunnel/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AllowConnectionsThroughPrivateLink": "true"
                }
            }
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": [
                "arn:aws:iot:us-east-1:111122223333:tunnel/*"
            ],
            "Condition": {
                "StringEquals": {
                    "iot:ClientMode": "destination"
                }
            }
        }
    ]
}

Nächste Schritte

Nachdem Sie Ihre VPC-Endpoints für erstellt und konfiguriert habenAWS IoT Secure Tunneling, sollten Sie Folgendes beachten:

  • Testen Sie Ihre VPC-Endpunktkonfiguration, indem Sie Geräte über den Endpunkt verbinden.

  • Überwachen Sie die VPC-Endpunktnutzung anhand von Amazon CloudWatch Metriken.

  • Überprüfen und aktualisieren Sie Ihre VPC-Endpunktrichtlinien nach Bedarf für Ihre Sicherheitsanforderungen.

Weitere Informationen zu AWS IoT Device Management Secure Tunneling finden Sie unter. AWS IoT Secure Tunneling