Creare un oggetto IoT Crea un IAM ruolo da utilizzare come ruolo del dispositivo Crea una policy gestita personalizzata per consentire a un IAM utente di utilizzare Device Advisor Crea un IAM utente per utilizzare Device Advisor Configurazione del dispositivo

Configurazione

Prima di utilizzare Device Advisor per la prima volta, completa le seguenti attività:

Creare un oggetto IoT

Innanzitutto, crea un oggetto IoT e collega un certificato a tale oggetto. Per un tutorial su come creare oggetti, consultare Creazione di un oggetto.

Crea un IAM ruolo da utilizzare come ruolo del dispositivo

Nota

È possibile creare rapidamente il ruolo del dispositivo utilizzando la console Device Advisor. Per ulteriori informazioni su come configurare il ruolo del dispositivo con la console Device Advisor, consultare Nozioni di base su Device Advisor nella console.

Vai alla AWS Identity and Access Management console e accedi al file Account AWS che usi per il test di Device Advisor.
Nel pannello di navigazione a sinistra scegli Policies (Policy).
Scegli Create Policy (Crea policy).
Sotto Create Policy (Crea policy), effettua le operazioni seguenti:
1. Per Service (Servizio), scegli IoT.
2. In Azioni, esegui una delle seguenti operazioni:
  - (Consigliato) Seleziona le azioni in base alla policy collegata all'oggetto IoT o al certificato creati nella sezione precedente.
  - Cerca le seguenti azioni nella casella Filtra le azioni e selezionale:
    - Connect
    - Publish
    - Subscribe
    - Receive
    - RetainPublish
3. In Risorse, limita il client, l'argomento e le risorse argomento. La limitazione di queste risorse è una best practice di sicurezza. Per limitare le risorse, esegui le seguenti operazioni:
  1. Scegli Specificare la risorsa client ARN per l'azione Connect.
  2. Scegli Aggiungi ARN, quindi esegui una delle seguenti operazioni:
    
    Nota
    clientIdÈ l'ID MQTT client utilizzato dal dispositivo per interagire con Device Advisor.
    - Specificare Region, AccountID e ClientID nell'editor visivo. ARN
    - Inserisci manualmente gli Amazon Resource Names (ARNs) degli argomenti IoT con cui desideri eseguire i casi di test.
  3. Scegli Aggiungi.
  4. Scegli Specificare la risorsa tematica ARN per la ricezione e un'altra azione.
  5. Scegli Aggiungi ARN, quindi esegui una delle seguenti operazioni:
    
    Nota
    Il nome dell'argomento è l'MQTTargomento su cui il dispositivo pubblica i messaggi.
    - Specificare la regione, l'AccountID e il nome dell'argomento nell'editor visivoARN.
    - Inserisci manualmente gli ARNs argomenti IoT con cui desideri eseguire i tuoi casi di test.
  6. Scegli Aggiungi.
  7. Scegli Specificare la topicFilter risorsa ARN per l'azione Sottoscrivi.
  8. Scegli Aggiungi ARN, quindi esegui una delle seguenti operazioni:
    
    Nota
    Il nome dell'argomento è l'MQTTargomento a cui il tuo dispositivo è abbonato.
    - Specificare la regione, l'AccountID e il nome dell'argomento nell'editor visivoARN.
    - Inserisci manualmente gli ARNs argomenti IoT con cui desideri eseguire i tuoi casi di test.
  9. Scegli Aggiungi.
Scegliere Next: Tags (Successivo: Tag).
Scegliere Next:Review (Successivo: Rivedi).
In Verifica policy, immetti un Nome per la policy.
Scegli Create Policy (Crea policy).
Nel pannello di navigazione a sinistra seleziona Roles (Ruoli).
Selezionare Create Role (Crea ruolo).
In Seleziona un'entità attendibile, scegli Policy di attendibilità personalizzata.

Immetti la seguente policy di attendibilità nella casella Policy di attendibilità personalizzata. Per prevenire il problema "confused deputy", aggiungi le chiavi di contesto di condizione globali aws:SourceArn e aws:SourceAccount alla policy.

Importante

È necessaria la conformità di aws:SourceArn con format: arn:aws:iotdeviceadvisor:region:account-id:*.. Assicurati che region corrisponda alla regione AWS IoT e che account-id corrisponda all'ID dell'account cliente. Per ulteriori informazioni consulta la pagina relativa alla prevenzione del problema "confused deputy" tra servizi.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAwsIoTCoreDeviceAdvisor",
            "Effect": "Allow",
            "Principal": {
                "Service": "iotdeviceadvisor.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:iotdeviceadvisor:*:111122223333:suitedefinition/*"
                }
            }
        }
    ]
}

Scegli Next (Successivo).
Seleziona la policy creata nella Fase 4.
(Opzionale) In Imposta il limite delle autorizzazioni, scegli Utilizza un limite delle autorizzazioni per controllare il numero massimo di autorizzazioni del ruolo, quindi seleziona la policy creata.
Scegli Next (Successivo).
Immetti Role name (Nome del ruolo) e Role description (Descrizione del ruolo).
Scegliere Crea ruolo.

Crea una policy gestita personalizzata per consentire a un IAM utente di utilizzare Device Advisor

Passare alla console IAM all'indirizzo https://console.aws.amazon.com/iam/. Se viene richiesto di effettuare l'accesso, immetti le tue credenziali AWS per accedere.
Nel pannello di navigazione a sinistra, seleziona Policy.
Scegli Crea politica, quindi scegli la JSONscheda.
Aggiungi le autorizzazioni necessarie per utilizzare Device Advisor. Il documento della policy è disponibile nell'argomento relativo alle best practice per la sicurezza.
Scegliere Review policy (Esamina policy).
Immetti il Name (Nome) e la Description (Descrizione).
Scegliere Create Policy (Crea policy).

Crea un IAM utente per utilizzare Device Advisor

Nota

Ti consigliamo di creare un IAM utente da utilizzare quando esegui i test di Device Advisor. L'esecuzione dei test Device Advisor da un utente amministratore può comportare rischi per la sicurezza e non è consigliata.

Accedi alla IAM console all'indirizzo https://console.aws.amazon.com/iam/Se richiesto, inserisci AWS le tue credenziali per accedere.
Nel pannello di navigazione a sinistra, seleziona Users (Utenti).
Scegli Add User (Aggiungi utente).
Immetti un User name (Nome utente).

Gli utenti necessitano dell'accesso programmatico se desiderano interagire con utenti AWS esterni a. AWS Management Console Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS

Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.

Quale utente necessita dell'accesso programmatico?	Per	Come
Identità della forza lavoro (Utenti gestiti in IAM Identity Center)	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, vedere Configurazione dell'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface Per AWS SDKs gli strumenti e AWS APIs, consulta l'autenticazione di IAM Identity Center nella Guida di riferimento agli strumenti AWS SDKs e agli strumenti.
IAM	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per l'IAMutente.
IAM	(Non consigliato) Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, consulta Autenticazione tramite credenziali IAM utente nella Guida per l'utente.AWS Command Line Interface Per AWS SDKs gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli strumenti e agli AWS SDKs strumenti. Per AWS APIs, consulta Gestione delle chiavi di accesso per IAM gli utenti nella Guida per l'IAMutente.

Quale utente necessita dell'accesso programmatico?

Per

Come

Identità della forza lavoro

(Utenti gestiti in IAM Identity Center)

Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs

Segui le istruzioni per l'interfaccia che desideri utilizzare.

Per la AWS CLI, vedere Configurazione dell'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface
Per AWS SDKs gli strumenti e AWS APIs, consulta l'autenticazione di IAM Identity Center nella Guida di riferimento agli strumenti AWS SDKs e agli strumenti.

IAM

Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs

Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per l'IAMutente.

IAM

(Non consigliato)

Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs

Segui le istruzioni per l'interfaccia che desideri utilizzare.

Per la AWS CLI, consulta Autenticazione tramite credenziali IAM utente nella Guida per l'utente.AWS Command Line Interface
Per AWS SDKs gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli strumenti e agli AWS SDKs strumenti.
Per AWS APIs, consulta Gestione delle chiavi di accesso per IAM gli utenti nella Guida per l'IAMutente.

Scegli Successivo: autorizzazioni.
Per fornire l'accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
- Utenti e gruppi in AWS IAM Identity Center:
  
  Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
- Utenti gestiti IAM tramite un provider di identità:
  
  Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate in Creare un ruolo per un provider di identità di terze parti (federazione) nella Guida per l'IAMutente.
- IAMutenti:
  - Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate in Creare un ruolo per un IAM utente nella Guida per l'IAMutente.
  - (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate in Aggiungere autorizzazioni a un utente (console) nella Guida per l'IAMutente.
Nella casella di ricerca, immetti il nome della policy gestita dal cliente creata. Quindi, seleziona la casella di controllo per Nome della policy.
Scegliere Next: Tags (Successivo: Tag).
Scegliere Next:Review (Successivo:Rivedi).
Seleziona Create user (Crea utente).
Scegli Close (Chiudi).

Device Advisor richiede l'accesso alle tue AWS risorse (oggetti, certificati ed endpoint) per tuo conto. IAML'utente deve disporre delle autorizzazioni necessarie. Device Advisor pubblicherà anche i log su Amazon CloudWatch se alleghi la politica di autorizzazioni necessaria al tuo utenteIAM.

Configurazione del dispositivo

Device Advisor utilizza l'TLSestensione dell'indicazione del nome del server (SNI) per applicare TLS le configurazioni. I dispositivi devono utilizzare questa estensione quando si collegano e passare un nome server identico all'endpoint di test di Device Advisor.

Device Advisor consente la TLS connessione quando un test è nello Running stato. Nega la TLS connessione prima e dopo ogni esecuzione del test. Per questo motivo, è consigliabile utilizzare il meccanismo di riconnessione del dispositivo per un'esperienza di test completamente automatizzata con Device Advisor. È possibile eseguire suite di test che includono più di un test case, come TLS connect, MQTT connect e MQTT publish. Se si eseguono più casi di test, è opportuno che il dispositivo tenti di connettersi all'endpoint di test ogni cinque secondi. È quindi possibile automatizzare l'esecuzione di più casi di test in sequenza.

Nota

Per preparare il software del dispositivo per il test, ti consigliamo di utilizzare un dispositivo a SDK cui puoi connetterti AWS IoT Core. Dovresti quindi aggiornarlo SDK con l'endpoint di test Device Advisor fornito per il tuo Account AWS.

Device Advisor supporta due tipi di endpoint: endpoint a livello di account ed endpoint a livello di dispositivo. Scegli l'endpoint che meglio si adatta al tuo caso d'uso. Per eseguire contemporaneamente più gruppi di test per dispositivi differenti, utilizza un endpoint a livello di dispositivo.

Eseguire il seguente comando per ottenere l'endpoint a livello di dispositivo:

Per MQTT i clienti che utilizzano certificati client X.509:


aws iotdeviceadvisor get-endpoint --thing-arn your-thing-arn

oppure


aws iotdeviceadvisor get-endpoint --certificate-arn your-certificate-arn

Per i WebSocket clienti MQTT con più di un numero di utenti che utilizzano Signature versione 4:


aws iotdeviceadvisor get-endpoint --device-role-arn your-device-role-arn --authentication-method SignatureVersion4

Per eseguire una suite di test alla volta, scegli un endpoint a livello di account. Esegui il seguente comando per ottenere l'endpoint a livello di account:


aws iotdeviceadvisor get-endpoint

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Device Advisor

Nozioni di base su Device Advisor nella console