Conditions préalables Réception de notifications de tunnel via les points de terminaison VPC Création de points de terminaison VPC pour un tunneling sécurisé Configuration des politiques de point de terminaison VPC sur le serveur proxy Étapes suivantes

Utilisation d'AWS IoT Device Managementun tunneling sécurisé avec des points de terminaison VPC d'interface

AWS IoT Device Managementle tunneling sécurisé prend en charge les points de terminaison VPC d'interface. Vous pouvez utiliser les points de terminaison VPC pour maintenir le trafic entre votre VPC et AWS IoT Secure Tunneling au sein du AWS réseau, sans avoir besoin d'une passerelle Internet, d'un périphérique NAT, d'une connexion VPN ou d'une connexion. AWS Direct Connect

Les points de terminaison VPC d'interface sont alimentés par AWS PrivateLinkune technologie qui vous permet d'accéder à des services de manière privée en utilisant des adresses IP privées. Pour plus d'informations, consultez la section Accès à un AWS service à l'aide d'un point de terminaison VPC d'interface dans le AWS PrivateLink Guide.

Table des matières

Conditions préalables
Réception de notifications de tunnel via les points de terminaison VPC
Création de points de terminaison VPC pour un tunneling sécurisé
Configuration des politiques de point de terminaison VPC sur le serveur proxy
Étapes suivantes

Conditions préalables

Avant de créer des points de terminaison VPC pourAWS IoT Secure Tunneling, vérifiez que vous disposez des éléments suivants :

Un AWS compte disposant des autorisations nécessaires pour créer des points de terminaison VPC.
Un VPC sur votre compte. AWS
Compréhension des AWS IoT Device Management concepts de tunneling sécurisé.
Connaissance des politiques relatives aux points de terminaison VPC Gestion des identités et des accès AWS et (IAM)

Réception de notifications de tunnel via les points de terminaison VPC

Pour recevoir des notifications de tunnel via un point de terminaison VPC, vos appareils peuvent se connecter au plan de AWS IoT Core données via un point de terminaison VPC et s'abonner à la rubrique MQTT réservée au tunneling sécurisé.

Pour obtenir des instructions sur la création et la configuration d'un point de terminaison VPC dans le plan de AWS IoT Core données, consultez la section Utilisation AWS IoT Core avec les points de terminaison VPC d'interface du guide du développeur. AWS IoT

Création de points de terminaison VPC pour un tunneling sécurisé

Vous pouvez créer des points de terminaison VPC à la fois pour le plan de contrôle du tunneling sécurisé et pour le serveur proxy.

Pour créer un point de terminaison VPC pour un tunneling sécurisé

Suivez les étapes décrites dans la section Création d'un point de terminaison d'interface dans le manuel Amazon VPC Developer Guide
Pour Nom du service, choisissez l'une des options suivantes en fonction de votre type de point de terminaison :
Plan de contrôle
- Norme : com.amazonaws.<region>.iot.tunneling.api
- FIPS (disponible dans les régions FIPS) : com.amazonaws.<region>.iot-fips.tunneling.api
Serveur proxy
- Norme : com.amazonaws.<region>.iot.tunneling.data
- FIPS (disponible dans les régions FIPS) : com.amazonaws.<region>.iot-fips.tunneling.data
<region>Remplacez-le par votreRégion AWS. Par exemple, us-east-1.
Effectuez les étapes restantes du processus de création du point de terminaison VPC conformément aux exigences de votre réseau.

Configuration des politiques de point de terminaison VPC sur le serveur proxy

Outre l'autorisation basée sur un jeton d'accès client qui est utilisée pour autoriser les connexions aux tunnels, vous pouvez utiliser des politiques de point de terminaison VPC pour restreindre davantage la manière dont les appareils peuvent utiliser un point de terminaison VPC pour se connecter au serveur proxy de tunnel sécurisé. Les politiques de point de terminaison du VPC suivent une syntaxe de type IAM et sont configurées sur le point de terminaison du VPC lui-même.

Notez que la seule action IAM prise en charge pour les politiques de point de terminaison VPC du serveur proxy est. iot:ConnectToTunnel

Vous trouverez ci-dessous des exemples de différentes politiques relatives aux points de terminaison VPC.

Exemples de politiques relatives aux points de terminaison VPC d'un serveur proxy

Les exemples suivants présentent les configurations de politique de point de terminaison VPC du serveur proxy pour les cas d'utilisation courants.

Exemple - Politique par défaut

Cette politique permet aux appareils de votre VPC de se connecter à n'importe quel tunnel au même Région AWS endroit où le point de terminaison est créé, quel AWS que soit le compte.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Exemple - Restreindre l'accès à des AWS comptes spécifiques

Cette politique permet au point de terminaison VPC de se connecter uniquement aux tunnels de comptes spécifiquesAWS.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": [
                "arn:aws:iot:us-east-1:111122223333:tunnel/*",
                "arn:aws:iot:us-east-1:444455556666:tunnel/*"
            ]
        }
    ]
}

Exemple - Restreindre les connexions par point de terminaison du tunnel

Vous pouvez restreindre l'accès des points de terminaison VPC pour autoriser uniquement les appareils à se connecter à l'extrémité source ou de destination d'un tunnel.

Source uniquement :


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iot:ClientMode": "source"
                }
            }
        }
    ]
}

Destination uniquement :


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iot:ClientMode": "destination"
                }
            }
        }
    ]
}

Exemple - Restreindre l'accès en fonction des balises de ressources

Cette politique permet au point de terminaison VPC de se connecter uniquement aux tunnels étiquetés avec une paire clé-valeur spécifique.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Environment": "Production"
                }
            }
        }
    ]
}

Exemple - Conditions d'assurance combinées

Cette politique illustre la combinaison de plusieurs éléments de stratégie. Il autorise les connexions à n'importe quel tunnel dans un AWS compte spécifique, mais uniquement si le tunnel est marqué avec AllowConnectionsThroughPrivateLink set to true et que le client ne se connecte pas à l'extrémité de destination du tunnel.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": [
                "arn:aws:iot:us-east-1:111122223333:tunnel/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AllowConnectionsThroughPrivateLink": "true"
                }
            }
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": [
                "arn:aws:iot:us-east-1:111122223333:tunnel/*"
            ],
            "Condition": {
                "StringEquals": {
                    "iot:ClientMode": "destination"
                }
            }
        }
    ]
}

Étapes suivantes

Après avoir créé et configuré vos points de terminaison VPC pourAWS IoT Secure Tunneling, tenez compte des points suivants :

Testez la configuration de votre point de terminaison VPC en connectant les appareils via le point de terminaison.
Surveillez l'utilisation des points de terminaison VPC grâce à des métriquesAmazon CloudWatch.
Passez en revue et mettez à jour vos politiques de point de terminaison VPC en fonction de vos exigences de sécurité.

Pour plus d'informations sur le tunneling AWS IoT Device Management sécurisé, consultez. AWS IoT Secure Tunneling

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation AWS IoT Core avec des points de terminaison VPC

Sécurité de l’infrastructure