Requisitos previos Recibir notificaciones de túnel a través de puntos finales de VPC Creación de puntos finales de VPC para una tunelización segura Configuración de políticas de puntos finales de VPC en el servidor proxy Siguientes pasos

Uso de túneles AWS IoT Device Management seguros con puntos finales de VPC de interfaz

AWS IoT Device Managementla tunelización segura admite los puntos finales de la interfaz de la VPC. Puede usar los puntos de enlace de la VPC para mantener el tráfico entre su VPC y AWS IoT Secure Tunneling dentro de la AWS red, sin necesidad de una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. AWS Direct Connect

Los puntos finales de VPC de interfaz cuentan con una tecnología que le permite acceder de forma privada a los servicios mediante direcciones IP privadas. AWS PrivateLink Para obtener más información, consulte Acceder a un AWS servicio mediante un punto final de VPC de interfaz en la AWS PrivateLink Guía.

Contenido

Requisitos previos
Recibir notificaciones de túnel a través de puntos finales de VPC
Creación de puntos finales de VPC para una tunelización segura
Configuración de políticas de puntos finales de VPC en el servidor proxy
Siguientes pasos

Requisitos previos

Antes de crear puntos de enlace de VPC paraAWS IoT Secure Tunneling, compruebe que dispone de lo siguiente:

Una AWS cuenta con los permisos necesarios para crear puntos de enlace de VPC.
Una VPC en tu cuenta. AWS
Comprensión de los conceptos de tunelización AWS IoT Device Management segura.
Familiaridad con las políticas de puntos finales de VPC AWS Identity and Access Management y (IAM)

Recibir notificaciones de túnel a través de puntos finales de VPC

Para recibir notificaciones de túnel a través de un punto de enlace de VPC, sus dispositivos pueden conectarse al plano de AWS IoT Core datos a través de un punto de enlace de VPC y suscribirse al tema MQTT reservado sobre tunelización segura.

Para obtener instrucciones sobre cómo crear y configurar un punto final de VPC en el plano de AWS IoT Core datos, consulte Uso AWS IoT Core con puntos de enlace de VPC de interfaz en la Guía para desarrolladores. AWS IoT

Creación de puntos finales de VPC para una tunelización segura

Puede crear puntos finales de VPC tanto para el plano de control de tunelización segura como para el servidor proxy.

Para crear un punto final de VPC para una tunelización segura

Siga los pasos que se indican en Creación de un punto final de interfaz en la Guía para desarrolladores de Amazon VPC
En el campo Nombre del servicio, elija una de las siguientes opciones en función del tipo de punto final:
Plano de control
- Estándar: com.amazonaws.<region>.iot.tunneling.api
- FIPS (disponible en las regiones FIPS): com.amazonaws.<region>.iot-fips.tunneling.api
Servidor proxy
- Estándar: com.amazonaws.<region>.iot.tunneling.data
- FIPS (disponible en las regiones FIPS): com.amazonaws.<region>.iot-fips.tunneling.data
Sustitúyalo por <region> su. Región de AWS Por ejemplo, us-east-1.
Complete los pasos restantes del proceso de creación del punto final de la VPC de acuerdo con los requisitos de su red.

Configuración de políticas de puntos finales de VPC en el servidor proxy

Además de la autorización basada en el token de acceso del cliente que se utiliza para autorizar las conexiones a los túneles, puede utilizar las políticas de punto final de la VPC para restringir aún más la forma en que los dispositivos pueden utilizar un punto final de la VPC para conectarse al servidor proxy de túnel seguro. Las políticas de puntos de enlace de la VPC siguen una sintaxis similar a la de la IAM y se configuran en el propio punto de enlace de la VPC.

Tenga en cuenta que la única acción de IAM admitida para las políticas de punto final de VPC del servidor proxy es. iot:ConnectToTunnel

A continuación, se muestran ejemplos de diferentes políticas de puntos finales de VPC.

Ejemplos de políticas de puntos finales de VPC para servidores proxy

Los siguientes ejemplos muestran las configuraciones de políticas de puntos finales de VPC del servidor proxy para casos de uso comunes.

ejemplo - Política predeterminada

Esta política permite que los dispositivos de su VPC se conecten a cualquier túnel en el mismo Región de AWS lugar en el que se creó el punto final, en cualquier AWS cuenta.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

ejemplo - Restrinja el acceso a cuentas específicas AWS

Esta política permite que el punto final de la VPC se conecte solo a los túneles de cuentas específicasAWS.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": [
                "arn:aws:iot:us-east-1:111122223333:tunnel/*",
                "arn:aws:iot:us-east-1:444455556666:tunnel/*"
            ]
        }
    ]
}

ejemplo - Restrinja las conexiones por punto final del túnel

Puede restringir el acceso al punto final de la VPC para permitir que los dispositivos solo se conecten al extremo de origen o destino de un túnel.

Solo fuente:


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iot:ClientMode": "source"
                }
            }
        }
    ]
}

Solo destino:


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iot:ClientMode": "destination"
                }
            }
        }
    ]
}

ejemplo - Restrinja el acceso en función de las etiquetas de los recursos

Esta política permite que el punto final de la VPC se conecte solo a los túneles etiquetados con un par clave-valor específico.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Environment": "Production"
                }
            }
        }
    ]
}

ejemplo - Condiciones de política combinadas

Esta política demuestra la combinación de varios elementos de política. Permite las conexiones a cualquier túnel de una AWS cuenta específica, pero solo si el túnel tiene la etiqueta AllowConnectionsThroughPrivateLink set en true y el cliente no se conecta al extremo de destino del túnel.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": [
                "arn:aws:iot:us-east-1:111122223333:tunnel/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AllowConnectionsThroughPrivateLink": "true"
                }
            }
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": [
                "arn:aws:iot:us-east-1:111122223333:tunnel/*"
            ],
            "Condition": {
                "StringEquals": {
                    "iot:ClientMode": "destination"
                }
            }
        }
    ]
}

Siguientes pasos

Después de crear y configurar los puntos de enlace de la VPCAWS IoT Secure Tunneling, tenga en cuenta lo siguiente:

Pruebe la configuración del punto final de la VPC conectando los dispositivos a través del punto final.
Supervise el uso de los puntos finales de la VPC mediante métricasAmazon CloudWatch.
Revise y actualice las políticas de puntos finales de la VPC según sea necesario según sus requisitos de seguridad.

Para obtener más información sobre la tunelización AWS IoT Device Management segura, consulte. AWS IoT Secure Tunneling

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Uso AWS IoT Core con puntos finales de VPC

Seguridad de la infraestructura