Prerequisiti Ricezione di notifiche del tunnel tramite endpoint VPC Creazione di endpoint VPC per un tunneling sicuro Configurazione delle policy degli endpoint VPC sul server proxy Fasi successive

Utilizzo del tunneling AWS IoT Device Management sicuro con endpoint VPC di interfaccia

AWS IoT Device Managementil tunneling sicuro supporta gli endpoint VPC di interfaccia. Puoi utilizzare gli endpoint VPC per mantenere il traffico tra il tuo VPC e AWS IoT Secure Tunneling all'interno della AWS rete, senza richiedere un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect

Gli endpoint VPC di interfaccia sono alimentati da AWS PrivateLink, una tecnologia che consente di accedere in modo privato ai servizi utilizzando indirizzi IP privati. Per ulteriori informazioni, consulta Accedere a un AWS servizio utilizzando un endpoint VPC di interfaccia nella Guida. AWS PrivateLink

Indice

Prerequisiti
Ricezione di notifiche del tunnel tramite endpoint VPC
Creazione di endpoint VPC per un tunneling sicuro
Configurazione delle policy degli endpoint VPC sul server proxy
Fasi successive

Prerequisiti

Prima di creare endpoint VPC perAWS IoT Secure Tunneling, verifica di disporre di quanto segue:

Un AWS account con le autorizzazioni necessarie per creare endpoint VPC.
Un VPC nel tuo AWS account.
Comprensione dei concetti di tunneling AWS IoT Device Management sicuro.
Familiarità con le policy AWS Identity and Access Management degli endpoint VPC e (IAM)

Ricezione di notifiche del tunnel tramite endpoint VPC

Per ricevere le notifiche del tunnel tramite un endpoint VPC, i dispositivi possono connettersi al piano AWS IoT Core dati tramite un endpoint VPC e sottoscrivere l'argomento MQTT riservato al tunneling sicuro.

Per istruzioni su come creare e configurare un endpoint VPC nel piano AWS IoT Core dati, consulta Using with AWS IoT Coreinterface VPC endpoint nella Developer Guide. AWS IoT

Creazione di endpoint VPC per un tunneling sicuro

È possibile creare endpoint VPC sia per il piano di controllo del tunneling sicuro che per il server proxy.

Per creare un endpoint VPC per un tunneling sicuro

Segui i passaggi descritti nella sezione Creazione di un endpoint di interfaccia nella Amazon VPC Developer Guide
Per Service name, scegli una delle seguenti opzioni in base al tipo di endpoint:
Piano di controllo
- Standard: com.amazonaws.<region>.iot.tunneling.api
- FIPS (disponibile nelle regioni FIPS): com.amazonaws.<region>.iot-fips.tunneling.api
Server proxy
- Standard: com.amazonaws.<region>.iot.tunneling.data
- FIPS (disponibile nelle regioni FIPS): com.amazonaws.<region>.iot-fips.tunneling.data
Sostituisci <region> con il tuo. Regione AWS Ad esempio, us-east-1.
Completa i passaggi rimanenti del processo di creazione degli endpoint VPC in base ai requisiti di rete.

Configurazione delle policy degli endpoint VPC sul server proxy

Oltre all'autorizzazione basata su token di accesso client utilizzata per autorizzare le connessioni ai tunnel, puoi utilizzare le policy degli endpoint VPC per limitare ulteriormente il modo in cui i dispositivi possono utilizzare un endpoint VPC per connettersi al Secure Tunneling Proxy Server. Le policy degli endpoint VPC seguono una sintassi simile a quella di IAM e sono configurate sull'endpoint VPC stesso.

Tieni presente che l'unica azione IAM supportata per le policy degli endpoint VPC del server proxy è. iot:ConnectToTunnel

Di seguito sono riportati alcuni esempi di diverse policy per gli endpoint VPC.

Esempi di policy relative agli endpoint VPC del server proxy

Gli esempi seguenti mostrano le configurazioni delle policy degli endpoint VPC di Proxy Server per casi d'uso comuni.

Esempio - Politica predefinita

Questa policy consente ai dispositivi all'interno del tuo VPC di connettersi a qualsiasi tunnel nello stesso punto in Regione AWS cui viene creato l'endpoint, su qualsiasi account. AWS


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Esempio - Limita l'accesso a account specifici AWS

Questa policy consente all'endpoint VPC di connettersi solo ai tunnel di account specifici. AWS


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": [
                "arn:aws:iot:us-east-1:111122223333:tunnel/*",
                "arn:aws:iot:us-east-1:444455556666:tunnel/*"
            ]
        }
    ]
}

Esempio - Limita le connessioni per endpoint del tunnel

Puoi limitare l'accesso agli endpoint VPC per consentire solo ai dispositivi di connettersi all'estremità di origine o destinazione di un tunnel.

Solo origine:


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iot:ClientMode": "source"
                }
            }
        }
    ]
}

Solo destinazione:


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iot:ClientMode": "destination"
                }
            }
        }
    ]
}

Esempio - Limita l'accesso in base ai tag delle risorse

Questa policy consente all'endpoint VPC di connettersi solo ai tunnel etichettati con una coppia chiave-valore specifica.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Environment": "Production"
                }
            }
        }
    ]
}

Esempio - Condizioni politiche combinate

Questa politica dimostra la combinazione di più elementi politici. Consente le connessioni a qualsiasi tunnel in un AWS account specifico, ma solo se il tunnel è etichettato con AllowConnectionsThroughPrivateLink set to true e il client non si connette all'estremità di destinazione del tunnel.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": [
                "arn:aws:iot:us-east-1:111122223333:tunnel/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AllowConnectionsThroughPrivateLink": "true"
                }
            }
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": [
                "arn:aws:iot:us-east-1:111122223333:tunnel/*"
            ],
            "Condition": {
                "StringEquals": {
                    "iot:ClientMode": "destination"
                }
            }
        }
    ]
}

Fasi successive

Dopo aver creato e configurato gli endpoint VPC perAWS IoT Secure Tunneling, considera quanto segue:

Testa la configurazione del tuo endpoint VPC collegando i dispositivi tramite l'endpoint.
Monitora l'utilizzo degli endpoint VPC tramite metriche. Amazon CloudWatch
Rivedi e aggiorna le policy degli endpoint VPC in base alle tue esigenze di sicurezza.

Per ulteriori informazioni sul tunneling AWS IoT Device Management sicuro, consulta. AWS IoT Secure Tunneling

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo AWS IoT Core con endpoint VPC

Sicurezza dell’infrastruttura