puntos de conexión de VPC de Device Advisor (AWS PrivateLink) - AWS IoT Core
Consideraciones para los puntos de conexión de VPC de AWS IoT Core Device AdvisorCrear un punto de conexión de VPC de la interfaz para AWS IoT Core Device AdvisorControl del acceso a AWS IoT Core Device Advisor a través de puntos de conexión de VPC

puntos de conexión de VPC de Device Advisor (AWS PrivateLink)

Puede establecer una conexión privada entre su VPC y el punto de conexión de prueba de AWS IoT Core Device Advisor (plano de datos) creando un punto de conexión de VPC de interfaz. Puede usar este punto de conexión para validar los dispositivos AWS IoT y lograr una conectividad confiable y segura con AWS IoT Core antes de implementarlos en la producción. Las pruebas prediseñadas de Device Advisor le ayudarán a validar el software de su dispositivo según las prácticas recomendadas de uso de TLS, MQTT, Device Shadow y AWS IoT Jobs.

AWS PrivateLink potencia los puntos de conexión de la interfaz que se utilizan con sus dispositivos IoT. Este servicio le ayuda a acceder al punto de conexión de prueba de AWS IoT Core Device Advisor de forma privada sin una puerta de enlace de internet, un dispositivo NAT, una conexión VPN o una conexión Direct Connect. Las instancias de la VPC que envían paquetes TCP y MQTT no necesitan direcciones IP públicas para comunicarse con los puntos de conexión de prueba de AWS IoT Core Device Advisor. El tráfico entre su VPC y AWS IoT Core Device Advisor no sale de Nube de AWS. Cualquier comunicación TLS y MQTT entre los dispositivos IoT y los casos de prueba de Device Advisor se mantiene dentro de los recursos que tiene a su disposición en su Cuenta de AWS.

Cada punto de conexión de la interfaz está representado por una o más interfaces de redes elásticas en las subredes.

Para obtener más información sobre el uso de los puntos de conexión de VPC de interfaz, consulte puntos de conexión de VPC de interfaz (AWS PrivateLink) en la Guía del usuario de Amazon VPC.

Consideraciones para los puntos de conexión de VPC de AWS IoT Core Device Advisor

Revise las propiedades y limitaciones de los puntos de conexión de interfaz en la Guía del usuario de Amazon VPC antes de configurar los puntos de conexión de VPC de interfaz. Tenga en cuenta lo siguiente antes de continuar:

  • AWS IoT Core Device Advisor actualmente admite realizar llamadas al punto de conexión de prueba de Device Advisor (plano de datos) desde su VPC. Un agente de mensajes utiliza las comunicaciones del plano de datos para enviar y recibir datos. Lo hace con la ayuda de paquetes TLS y MQTT. puntos de conexión de VPC para AWS IoT Core Device Advisor conectan su dispositivo AWS IoT a los puntos de conexión de prueba de Device Advisor. Este punto de conexión de VPC no utiliza las acciones de la API del plano de control. Para crear o ejecutar un conjunto de pruebas u otras API del plano de control, use la consola, un AWS SDK o una interfaz de línea de comandos de AWS en una conexión pública a internet.

  • Las siguientes Regiones de AWS admiten puntos de conexión de VPC compatibles para AWS IoT Core Device Advisor:

    • Este de EE. UU. (Norte de Virginia)

    • Oeste de EE. UU. (Oregón)

    • Asia-Pacífico (Tokio)

    • Europa (Irlanda)

  • Device Advisor admite MQTT con certificados de cliente X.509 y certificados de servidor RSA.

  • En este momento, no se admiten políticas de puntos de conexión de VPC.

  • Consulte los requisitos previos de los puntos de conexión de VPC para obtener instrucciones sobre cómo crear recursos que conecten los puntos de conexión de VPC. Debe crear una VPC y subredes privadas para usar los puntos de conexión de VPC de AWS IoT Core Device Advisor.

  • Hay cuotas en los recursos de AWS PrivateLink. Para obtener más información, consulte Cuotas de AWS PrivateLink.

  • Los puntos de conexión de VPC solo son compatibles con el tráfico IPv4.

Crear un punto de conexión de VPC de la interfaz para AWS IoT Core Device Advisor

Para empezar con los puntos de conexión de VPC, cree un punto de conexión de VPC de interfaz. A continuación, seleccione AWS IoT Core Device Advisor como Servicio de AWS. Si está utilizando la AWS CLI, llame a describe-vpc-endpoint-services para confirmar que AWS IoT Core Device Advisor está presente en una zona de disponibilidad en su Región de AWS. Confirme que el grupo de seguridad asociado al punto de conexión permita la comunicación mediante el protocolo TCP para el tráfico MQTT y TLS. Por ejemplo, en la región Este de EE. UU. (Norte de Virginia), utilice el siguiente comando: 

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.deviceadvisor.iot

Puede crear un punto de conexión de VPC para AWS IoT Core con el siguiente nombre de servicio:

  • com.amazonaws.region.deviceadvisor.iot

De forma predeterminada, el DNS privado está activado para el punto de conexión. Esto garantiza que el uso del punto de conexión de prueba predeterminado permanezca dentro de sus subredes privadas. Para obtener el punto de conexión de nivel de cuenta o de dispositivo, use la consola, la AWS CLI o un SDK de AWS. Por ejemplo, si ejecuta get-endpoint en una subred pública o en una conexión pública a internet, puede obtener su punto de conexión y usarlo para conectarse a Device Advisor. Para obtener más información, consulte Acceso a un servicio a través de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

Para conectar los clientes MQTT a las interfaces de punto de conexión de VPC, el servicio AWS PrivateLink crea registros de DNS en una zona alojada privada conectada a la VPC. Estos registros de DNS dirigen las solicitudes del dispositivo AWS IoT al punto de conexión de VPC.

Control del acceso a AWS IoT Core Device Advisor a través de puntos de conexión de VPC

Puede restringir el acceso a los dispositivos y permitir el acceso a AWS IoT Core Device Advisor solo a través de los puntos de conexión de VPC utilizando claves contextuales de condición de VPC. AWS IoT Core admite las siguientes claves contextuales relacionadas con la VPC:

nota

AWS IoT Core Device Advisor no admite políticas de punto de conexión de VPC en este momento.

La siguiente política concede permiso para conectarse a AWS IoT Core Device Advisor utilizando un ID de cliente que coincida con el nombre del objeto. También publica en cualquier tema con el prefijo del nombre del objeto. La política está condicionada a que el dispositivo se conecte a un punto de conexión de VPC con un ID de punto de conexión de VPC concreto. Esta política deniega los intentos de conexión a su punto de conexión de prueba de AWS IoT Core Device Advisor público.

JSON
{
"Version":"2012-10-17",		 	 	 
    "Statement": [
        {
"Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
            ],
            "Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-1a2b3c4d"
                }
            }
            
        },
        {
"Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*"
            ]
        }
    ]
}