翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
インターフェイス VPC エンドポイントでのAWS IoT Device Managementセキュアトンネリングの使用
AWS IoT Device Managementセキュアトンネリングはインターフェイス VPC エンドポイントをサポートします。VPC エンドポイントを使用すると、インターネットゲートウェイ、NAT デバイス、VPN 接続、またはAWS Direct Connect 接続を必要とせずに、VPC とAWSネットワークAWS IoT Secure Tunneling間のトラフィックを維持できます。
インターフェイス VPC エンドポイントはAWS PrivateLink、プライベート IP アドレスを使用して サービスにプライベートにアクセスできるテクノロジーである を利用しています。詳細については、「 AWS PrivateLinkガイド」の「インターフェイス VPC エンドポイントを使用して AWSサービスにアクセスする」を参照してください。
前提条件
の VPC エンドポイントを作成する前にAWS IoT Secure Tunneling、以下があることを確認します。
-
VPC エンドポイントを作成するために必要なアクセス許可を持つAWSアカウント。
-
AWSアカウントの VPC。
-
AWS IoT Device Managementセキュアトンネリングの概念の理解。
-
VPC エンドポイントポリシーと AWS Identity and Access Management(IAM) に精通していること
VPC エンドポイントを介したトンネル通知の受信
VPC エンドポイントを介してトンネル通知を受信するために、デバイスは VPC エンドポイントを介してAWS IoT Coreデータプレーンに接続し、セキュアトンネリング予約 MQTT トピックにサブスクライブできます。
AWS IoT Coreデータプレーンで VPC エンドポイントを作成して設定する手順については、「 AWS IoTデベロッパーガイド」の「インターフェイス VPC エンドポイントAWS IoT Coreで を使用する」を参照してください。
セキュアトンネリング用の VPC エンドポイントの作成
セキュアトンネリングコントロールプレーンとプロキシサーバーの両方の VPC エンドポイントを作成できます。
セキュアトンネリング用の VPC エンドポイントを作成するには
-
Amazon VPC デベロッパーガイドの「インターフェイスエンドポイントの作成」のステップに従います。
-
サービス名で、エンドポイントタイプに基づいて次のいずれかのオプションを選択します。
コントロールプレーン
-
標準:
com.amazonaws.<region>.iot.tunneling.api -
FIPS (FIPS リージョンで利用可能):
com.amazonaws.<region>.iot-fips.tunneling.api
プロキシサーバー
-
標準:
com.amazonaws.<region>.iot.tunneling.data -
FIPS (FIPS リージョンで利用可能):
com.amazonaws.<region>.iot-fips.tunneling.data
<region>を に置き換えますAWS リージョン。例えば、us-east-1。 -
-
ネットワーク要件に従って、VPC エンドポイント作成プロセスの残りのステップを完了します。
Proxy Server での VPC エンドポイントポリシーの設定
トンネルへの接続を許可するために使用されるクライアントアクセストークンベースの認可に加えて、VPC エンドポイントポリシーを使用して、デバイスが VPC エンドポイントを使用して Secure Tunneling Proxy Server に接続する方法をさらに制限できます。VPC エンドポイントポリシーは IAM のような構文に従い、VPC エンドポイント自体で設定されます。
プロキシサーバー VPC エンドポイントポリシーでサポートされている IAM アクションは のみですiot:ConnectToTunnel。
以下は、さまざまな VPC エンドポイントポリシーの例です。
プロキシサーバー VPC エンドポイントポリシーの例
次の例は、一般的なユースケースの Proxy Server VPC エンドポイントポリシー設定を示しています。
例 - デフォルトポリシー
このポリシーにより、VPC 内のデバイスは、任意のアカウントでAWS リージョンエンドポイントが作成されたのと同じ 内の任意のAWSトンネルに接続できます。
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
例 - 特定のAWSアカウントへのアクセスを制限する
このポリシーにより、VPC エンドポイントは特定のAWSアカウントのトンネルにのみ接続できます。
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "iot:ConnectToTunnel", "Resource": [ "arn:aws:iot:us-east-1:111122223333:tunnel/*", "arn:aws:iot:us-east-1:444455556666:tunnel/*" ] } ] }
例 - トンネルエンドポイントによる接続の制限
VPC エンドポイントへのアクセスを制限して、デバイスがトンネルの送信元または送信先の端に接続することのみを許可できます。
ソースのみ:
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "iot:ConnectToTunnel", "Resource": "*", "Condition": { "StringEquals": { "iot:ClientMode": "source" } } } ] }
送信先のみ:
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "iot:ConnectToTunnel", "Resource": "*", "Condition": { "StringEquals": { "iot:ClientMode": "destination" } } } ] }
例 - リソースタグに基づいてアクセスを制限する
このポリシーにより、VPC エンドポイントは、特定のキーと値のペアでタグ付けされたトンネルにのみ接続できます。
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "iot:ConnectToTunnel", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Environment": "Production" } } } ] }
例 - 結合ポリシー条件
このポリシーは、複数のポリシー要素を組み合わせる方法を示しています。これにより、特定のAWSアカウントの任意のトンネルへの接続が許可されますが、トンネルが AllowConnectionsThroughPrivateLinkに設定されtrue、クライアントがトンネルの送信先端に接続していないというタグが付けられている場合に限られます。
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "iot:ConnectToTunnel", "Resource": [ "arn:aws:iot:us-east-1:111122223333:tunnel/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/AllowConnectionsThroughPrivateLink": "true" } } }, { "Effect": "Deny", "Principal": "*", "Action": "iot:ConnectToTunnel", "Resource": [ "arn:aws:iot:us-east-1:111122223333:tunnel/*" ], "Condition": { "StringEquals": { "iot:ClientMode": "destination" } } } ] }
次の手順
の VPC エンドポイントを作成して設定したらAWS IoT Secure Tunneling、次の点を考慮してください。
-
エンドポイントを介してデバイスを接続して、VPC エンドポイント設定をテストします。
-
Amazon CloudWatchメトリクスを使用して VPC エンドポイントの使用状況をモニタリングします。
-
セキュリティ要件に応じて、VPC エンドポイントポリシーを確認して更新します。
AWS IoT Device Managementセキュアトンネリングの詳細については、「」を参照してくださいAWS IoT Secure Tunneling。
