Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan transportasi di AWS IoT Core
TLS (Transport Layer Security) adalah protokol kriptografi yang dirancang untuk komunikasi yang aman melalui jaringan komputer. AWS IoT Core Device Gateway mengharuskan pelanggan untuk mengenkripsi semua komunikasi saat dalam perjalanan dengan menggunakan TLS untuk koneksi dari perangkat ke Gateway. TLS digunakan untuk mencapai kerahasiaan protokol aplikasi (MQTT, HTTP, dan) yang didukung oleh. WebSocket AWS IoT Core Dukungan TLS tersedia dalam sejumlah bahasa pemrograman dan sistem operasi. Data di dalamnya AWS dienkripsi oleh layanan tertentu AWS . Untuk informasi selengkapnya tentang enkripsi data pada AWS layanan lain, lihat dokumentasi keamanan untuk layanan tersebut.
**Topics**
+ [Protokol TLS](#tls-ssl-policy)
+ [Kebijakan Keamanan](#tls-policy-table)
+ [Catatan penting untuk keamanan transportasi di AWS IoT Core](#tls-ssl-core)
+ [Keamanan transportasi untuk perangkat nirkabel LoRa WAN](#tls-lorawan)
## Protokol TLS
AWS IoT Core mendukung versi protokol TLS berikut:
+ TLS 1.3
+ TLS 1.2
Dengan AWS IoT Core, Anda dapat mengkonfigurasi pengaturan TLS (untuk [TLS 1.2](https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_1.2) dan [TLS 1.3](https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_1.3)) dalam konfigurasi domain. Untuk informasi selengkapnya, lihat [Mengonfigurasikan pengaturan TLS dalam konfigurasi domain](iot-endpoints-tls-config.md).
## Kebijakan Keamanan
Kebijakan keamanan adalah kombinasi protokol TLS dan cipher mereka yang menentukan protokol dan cipher mana yang didukung selama negosiasi TLS antara klien dan server. Anda dapat mengonfigurasi perangkat Anda untuk menggunakan kebijakan keamanan yang telah ditentukan berdasarkan kebutuhan Anda. Perhatikan bahwa AWS IoT Core tidak mendukung kebijakan keamanan khusus.
Anda dapat memilih salah satu kebijakan keamanan yang telah ditetapkan untuk perangkat Anda saat AWS IoT Core menghubungkannya. Nama-nama kebijakan keamanan standar terbaru AWS IoT Core termasuk informasi versi berdasarkan tahun dan bulan mereka dirilis. Kebijakan keamanan standar default adalah`IoTSecurityPolicy_TLS13_1_2_2022_10`. Untuk menentukan kebijakan keamanan, Anda dapat menggunakan AWS IoT konsol atau AWS CLI. Untuk informasi selengkapnya, lihat [Mengonfigurasikan pengaturan TLS dalam konfigurasi domain](iot-endpoints-tls-config.md).
Tabel berikut menjelaskan kebijakan keamanan standar terbaru yang AWS IoT Core mendukung. `IotSecurityPolicy_` telah dihapus dari nama kebijakan di baris judul agar sesuai.
| **Kebijakan keamanan** | TLS13\$11\$13\$12022\$110 | TLS13\$11\$12\$12022\$110 | TLS12\$11\$12\$12022\$110 | TLS12\$11\$10\$12016\$101\$1 | TLS12\$11\$10\$12015\$101\$1 |
| --- | --- | --- | --- | --- | --- |
| Pelabuhan TCP | 443/8443/8883 | 443/8443/8883 | 443/8443/8883 | 443 | 8443/8883 | 443 | 8443/8883 |
| Protokol TLS |
| TLS 1.2 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS 1.3 | ✓ | ✓ | | | | | |
| Cipher TLS |
| TLS\$1AES\$1128\$1GCM\$1 SHA256 | ✓ | ✓ | | | | | |
| TLS\$1AES\$1256\$1GCM\$1 SHA384 | ✓ | ✓ | | | | | |
| TLS\$1 \$1 \$1 CHACHA20 POLY1305 SHA256 | ✓ | ✓ | | | | | |
| ECDHE-RSA- -GCM- AES128 SHA256 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-RSA- - AES128 SHA256 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-RSA- -SHA AES128 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-RSA- -GCM- AES256 SHA384 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-RSA- - AES256 SHA384 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-RSA- -SHA AES256 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| AES128-GCM- SHA256 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| AES128-SHA256 | | ✓ | ✓ | ✓ | | ✓ | ✓ |
| AES128-SHA | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| AES256-GCM- SHA384 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| AES256-SHA256 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| AES256-SHA | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| DHE-RSA- -SHA AES256 | | | | | | ✓ | ✓ |
| ECDHE-ECDSA- -GCM- AES128 SHA256 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-ECDSA- - AES128 SHA256 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-ECDSA- -SHA AES128 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-ECDSA- -GCM- AES256 SHA384 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-ECDSA- - AES256 SHA384 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-ECDSA- -SHA AES256 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
**catatan**
`TLS12_1_0_2016_01`hanya tersedia sebagai berikut Wilayah AWS: ap-east-1, ap-northeast-2, ap-south-1, ap-south-1, ap-southeast-2, ca-central-1, cn-north-1, cn-north-1, cn-northwest-1, eu-north-1, eu-north-1, eu-west-2 st-2, eu-west-3, me-south-1, sa-east-1, us-east-2, -1, -2, us-west-1. us-gov-west us-gov-west
`TLS12_1_0_2015_01`hanya tersedia dalam hal berikut Wilayah AWS: ap-northeast-1, ap-southeast-1, eu-central-1, eu-central-1, eu-west-1, us-east-1, us-east-1, us-west-2.
## Catatan penting untuk keamanan transportasi di AWS IoT Core
Untuk perangkat yang terhubung AWS IoT Core menggunakan [MQTT, TLS](https://docs.aws.amazon.com//iot/latest/developerguide/mqtt.html) mengenkripsi koneksi antara perangkat dan broker, dan AWS IoT Core menggunakan otentikasi klien TLS untuk mengidentifikasi perangkat. Untuk informasi selengkapnya, lihat [Autentikasi klien](https://docs.aws.amazon.com//iot/latest/developerguide/client-authentication.html). Untuk perangkat yang terhubung AWS IoT Core menggunakan [HTTP](https://docs.aws.amazon.com//iot/latest/developerguide/http.html), TLS mengenkripsi koneksi antara perangkat dan broker, dan otentikasi didelegasikan ke Signature Version 4. AWS Untuk informasi selengkapnya, lihat [Menandatangani permintaan dengan Tanda Tangan Versi 4](https://docs.aws.amazon.com//general/latest/gr/create-signed-request.html) di *Referensi AWS Umum*.
Saat Anda menghubungkan perangkat AWS IoT Core, mengirim [ekstensi Server Name Indication (SNI)](https://tools.ietf.org/html/rfc3546#section-3.1) tidak diperlukan tetapi sangat disarankan. Untuk menggunakan fitur seperti [pendaftaran multi-akun](https://docs.aws.amazon.com//iot/latest/developerguide/x509-client-certs.html#multiple-account-cert), [domain kustom](https://docs.aws.amazon.com//iot/latest/developerguide/iot-custom-endpoints-configurable-custom.html), [titik akhir VPC](https://docs.aws.amazon.com//iot/latest/developerguide/IoTCore-VPC.html), dan [kebijakan TLS yang dikonfigurasi](https://docs.aws.amazon.com//iot/latest/developerguide/iot-endpoints-tls-config.html), Anda harus menggunakan ekstensi SNI dan memberikan alamat titik akhir lengkap di bidang. `host_name` `host_name`Bidang harus berisi titik akhir yang Anda panggil. Titik akhir itu harus salah satu dari yang berikut:
+ Yang `endpointAddress` dikembalikan oleh `aws iot [describe-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-endpoint.html) --endpoint-type iot:Data-ATS`
+ Yang `domainName` dikembalikan oleh `aws iot [describe-domain-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-domain-configuration.html) –-domain-configuration-name "domain_configuration_name"`
Koneksi yang dicoba oleh perangkat dengan `host_name` nilai yang salah atau tidak valid akan gagal. AWS IoT Core akan mencatat kegagalan CloudWatch untuk jenis otentikasi Otentikasi [Kustom](https://docs.aws.amazon.com//iot/latest/developerguide/custom-authentication.html).
AWS IoT Core tidak mendukung [ekstensi SessionTicket TLS](https://www.ietf.org/rfc/rfc5077.txt).
## Keamanan transportasi untuk perangkat nirkabel LoRa WAN
LoRaPerangkat WAN mengikuti praktik keamanan yang dijelaskan dalam [LoRaWAN™ SECURITY: Buku Putih yang Disiapkan untuk LoRa Aliansi™ oleh Gemalto, Actility,](https://lora-alliance.org/sites/default/files/2019-05/lorawan_security_whitepaper.pdf) dan Semtech.
Untuk informasi selengkapnya tentang keamanan transportasi dengan perangkat LoRa WAN, lihat [data LoRa WAN dan keamanan transportasi](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/iot-lorawan-security.html).