Menggunakan tunneling AWS IoT Device Management aman dengan titik akhir VPC antarmuka - AWS IoT Core
PrasyaratMenerima notifikasi terowongan melalui titik akhir VPCMembuat titik akhir VPC untuk tunneling yang amanMengonfigurasi kebijakan titik akhir VPC di Server ProxyLangkah selanjutnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan tunneling AWS IoT Device Management aman dengan titik akhir VPC antarmuka

AWS IoT Device Managementtunneling aman mendukung antarmuka titik akhir VPC. Anda dapat menggunakan titik akhir VPC untuk menjaga lalu lintas antara VPC Anda dan di AWS IoT Secure Tunneling dalam AWS jaringan, tanpa memerlukan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect

Endpoint VPC Antarmuka didukung oleh AWS PrivateLink, teknologi yang memungkinkan Anda mengakses layanan secara pribadi dengan menggunakan alamat IP pribadi. Untuk informasi selengkapnya, lihat Mengakses AWS layanan menggunakan titik akhir VPC antarmuka di Panduan. AWS PrivateLink

Prasyarat

Sebelum Anda membuat titik akhir VPCAWS IoT Secure Tunneling, verifikasi bahwa Anda memiliki yang berikut:

  • AWSAkun dengan izin yang diperlukan untuk membuat titik akhir VPC.

  • VPC di akun AndaAWS.

  • Memahami konsep terowongan yang AWS IoT Device Management aman.

  • Keakraban dengan kebijakan AWS Identity and Access Management titik akhir VPC dan (IAM)

Menerima notifikasi terowongan melalui titik akhir VPC

Untuk menerima notifikasi terowongan melalui titik akhir VPC, perangkat Anda dapat terhubung ke pesawat AWS IoT Core data melalui titik akhir VPC dan berlangganan topik MQTT cadangan tunneling aman.

Untuk petunjuk tentang cara membuat dan mengonfigurasi titik akhir VPC di bidang AWS IoT Core data, lihat Menggunakan dengan titik akhir VPC AWS IoT Core antarmuka di Panduan Pengembang. AWS IoT

Membuat titik akhir VPC untuk tunneling yang aman

Anda dapat membuat titik akhir VPC untuk bidang kontrol tunneling aman dan server proxy.

Untuk membuat titik akhir VPC untuk tunneling aman

  1. Ikuti langkah-langkah dalam Membuat titik akhir antarmuka di Panduan Pengembang Amazon VPC

  2. Untuk nama Layanan, pilih salah satu opsi berikut berdasarkan jenis titik akhir Anda:

    Bidang kontrol

    • Standar: com.amazonaws.<region>.iot.tunneling.api

    • FIPS (tersedia di wilayah FIPS): com.amazonaws.<region>.iot-fips.tunneling.api

    Server proksi

    • Standar: com.amazonaws.<region>.iot.tunneling.data

    • FIPS (tersedia di wilayah FIPS): com.amazonaws.<region>.iot-fips.tunneling.data

    Ganti <region> dengan AndaWilayah AWS. Misalnya, us-east-1.

  3. Selesaikan langkah-langkah yang tersisa dalam proses pembuatan titik akhir VPC sesuai dengan kebutuhan jaringan Anda.

Mengonfigurasi kebijakan titik akhir VPC di Server Proxy

Selain otorisasi berbasis token akses klien yang digunakan untuk mengotorisasi koneksi ke terowongan, Anda dapat menggunakan kebijakan titik akhir VPC untuk lebih membatasi bagaimana perangkat dapat menggunakan titik akhir VPC untuk terhubung ke Server Proxy Tunneling Aman. Kebijakan titik akhir VPC mengikuti sintaks mirip IAM dan dikonfigurasi pada titik akhir VPC itu sendiri.

Perhatikan bahwa satu-satunya tindakan IAM yang didukung untuk kebijakan titik akhir VPC server proxy adalah. iot:ConnectToTunnel

Di bawah ini adalah contoh kebijakan titik akhir VPC yang berbeda.

Contoh kebijakan titik akhir VPC server proxy

Contoh berikut menunjukkan konfigurasi kebijakan titik akhir VPC Server Proxy untuk kasus penggunaan umum.

contoh - Kebijakan default

Kebijakan ini memungkinkan perangkat dalam VPC Anda untuk terhubung ke terowongan apa pun di tempat titik akhir dibuat, di seluruh akun Wilayah AWS mana pun. AWS

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}
contoh - Batasi akses ke akun tertentu AWS

Kebijakan ini memungkinkan titik akhir VPC untuk terhubung hanya ke terowongan di akun tertentu. AWS

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": [
                "arn:aws:iot:us-east-1:111122223333:tunnel/*",
                "arn:aws:iot:us-east-1:444455556666:tunnel/*"
            ]
        }
    ]
}
contoh - Batasi koneksi dengan titik akhir terowongan

Anda dapat membatasi akses titik akhir VPC untuk hanya mengizinkan perangkat terhubung ke sumber atau ujung tujuan terowongan.

Sumber saja:

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iot:ClientMode": "source"
                }
            }
        }
    ]
}

Tujuan saja:

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iot:ClientMode": "destination"
                }
            }
        }
    ]
}
contoh - Batasi akses berdasarkan tag sumber daya

Kebijakan ini memungkinkan titik akhir VPC untuk terhubung hanya ke terowongan yang ditandai dengan pasangan nilai kunci tertentu.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Environment": "Production"
                }
            }
        }
    ]
}
contoh - Kondisi kebijakan gabungan

Kebijakan ini menunjukkan penggabungan beberapa elemen kebijakan. Ini memungkinkan koneksi ke terowongan apa pun di AWS akun tertentu, tetapi hanya jika terowongan ditandai dengan AllowConnectionsThroughPrivateLink set ke true dan klien tidak terhubung ke ujung tujuan terowongan.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": [
                "arn:aws:iot:us-east-1:111122223333:tunnel/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AllowConnectionsThroughPrivateLink": "true"
                }
            }
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": [
                "arn:aws:iot:us-east-1:111122223333:tunnel/*"
            ],
            "Condition": {
                "StringEquals": {
                    "iot:ClientMode": "destination"
                }
            }
        }
    ]
}

Langkah selanjutnya

Setelah Anda membuat dan mengonfigurasi titik akhir VPCAWS IoT Secure Tunneling, pertimbangkan hal berikut:

  • Uji konfigurasi titik akhir VPC Anda dengan menghubungkan perangkat melalui titik akhir.

  • Pantau penggunaan titik akhir VPC melalui metrik. Amazon CloudWatch

  • Tinjau dan perbarui kebijakan titik akhir VPC Anda sesuai kebutuhan untuk persyaratan keamanan Anda.

Untuk informasi selengkapnya tentang terowongan AWS IoT Device Management aman, lihat. AWS IoT Secure Tunneling