翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
のトランスポートセキュリティAWS IoT Core
TLS (Transport Layer Security) は、コンピュータネットワーク上での安全な通信のために設計された暗号化プロトコルです。AWS IoT CoreDevice Gateway では、デバイスから Gateway への接続に TLS を使用して、転送中にすべての通信を暗号化する必要があります。TLS は、AWS IoT Core でサポートされているアプリケーションプロトコル (MQTT、HTTP、および WebSocket) の機密性を達成するために使用されます。TLS サポートは、多くのプログラミング言語とオペレーティングシステムで使用できます。内のデータはAWS、特定のAWSサービスによって暗号化されます。他の AWSサービスのデータ暗号化の詳細については、そのサービスのセキュリティドキュメントを参照してください。
TLS プロトコル
AWS IoT Coreは、TLS プロトコルの次のバージョンをサポートしています。
-
TLS 1.3
-
TLS 1.2
ではAWS IoT Core、ドメイン設定で TLS 設定 (TLS 1.2
セキュリティポリシー
セキュリティポリシーは、クライアントとサーバー間の TLS ネゴシエーション中にサポートされるプロトコルと暗号を決定する TLS プロトコルとその暗号の組み合わせです。必要に応じて、事前定義されたセキュリティポリシーを使用するようにデバイスを設定できます。AWS IoT Coreはカスタムセキュリティポリシーをサポートしていないことに注意してください。
デバイスの事前定義されたセキュリティポリシーの 1 つを接続時に選択できますAWS IoT Core。の最新の事前定義されたセキュリティポリシーの名前には、リリースされた年月に基づくバージョン情報AWS IoT Coreが含まれます。事前に定義されたデフォルトのセキュリティポリシーは IoTSecurityPolicy_TLS13_1_2_2022_10 です。セキュリティポリシーを指定するには、 AWS IoTコンソールまたは を使用できますAWS CLI。詳細については、「ドメイン設定での TLS 設定の設定」を参照してください。
次の表は、AWS IoT Core でサポートされる、事前に定義された最新のセキュリティポリシーの詳細を示しています。見出し行に収まるようにポリシー名から IotSecurityPolicy_ を削除しました。
| セキュリティポリシー | TLS13_1_3_2022_10 | TLS13_1_2_2022_10 | TLS12_1_2_2022_10 | TLS12_1_0_2016_01* | TLS12_1_0_2015_01* | ||
|---|---|---|---|---|---|---|---|
| TCP ポート |
443/8443/8883 |
443/8443/8883 |
443/8443/8883 |
443 | 8443/8883 | 443 | 8443/8883 |
| TLS Protocols | |||||||
| TLS 1.2 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| TLS 1.3 | ✓ | ✓ | |||||
| TLS Ciphers | |||||||
| TLS_AES_128_GCM_SHA256 | ✓ | ✓ | |||||
| TLS_AES_256_GCM_SHA384 | ✓ | ✓ | |||||
| TLS_CHACHA20_POLY1305_SHA256 | ✓ | ✓ | |||||
| ECDHE-RSA-AES128- GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES256-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-RSA-AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| DHE-RSA-AES256-SHA | ✓ | ✓ | |||||
| ECDHE-ECDSA-AES128- GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES256- GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES256-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| ECDHE-ECDSA-AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
注記
TLS12_1_0_2016_01 は、AWS リージョンap-east-1、ap-northeast-2、ap-south-1、ap-southeast-2、ca-central-1、cn-north-1、cn-northwest-1、eu-north-1、eu-west-2、eu-west-3、me-south-1、sa-east-1、us-east-2、us-gov-west-1、us-gov-west-2、us-west-1 でのみ使用できます。
TLS12_1_0_2015_01 はAWS リージョン、ap-northeast-1、ap-southeast-1、eu-central-1、eu-west-1、us-east-1、us-west-2 でのみ使用できます。
AWS IoT Core のトランスポートセキュリティに関する重要な注意事項
MQTT AWS IoT Coreを使用して に接続するデバイスの場合、TLS はデバイスとブローカー間の接続を暗号化し、TLS クライアント認証AWS IoT Coreを使用してデバイスを識別します。詳細については、「クライアント認証」を参照してください。HTTP AWS IoT Coreを使用して に接続するデバイスの場合、TLS はデバイスとブローカー間の接続を暗号化し、認証はAWS署名バージョン 4 に委任されます。詳細については、「AWS 全般リファレンス」で署名バージョン 4 でのリクエストの署名に関する情報を参照してください。
デバイスを に接続する場合AWS IoT Core、Server Name Indication (SNI) 拡張機能host_name フィールドに完全なエンドポイントアドレスを指定する必要があります。host_name フィールドには、呼び出すエンドポイントが含まれている必要があります。そのエンドポイントは、次のいずれかである必要があります。
-
endpointAddressによって返されるaws iot describe-endpoint--endpoint-type iot:Data-ATS -
domainNameによって返されるaws iot describe-domain-configuration–-domain-configuration-name " domain_configuration_name"
正しくない、または無効なhost_name値を持つデバイスによって試行された接続は失敗します。 AWS IoT Coreは、カスタム認証の認証タイプの CloudWatch に失敗をログに記録します。
AWS IoT Coreは SessionTicket TLS 拡張機能
LoRaWAN ワイヤレスデバイスのトランスポートセキュリティ
LoRaWAN デバイスは、LoRaWAN ™ SECURITY: Gemalto、Actility、および Semtech による LoRa Alliance™ 向けに作成されたホワイトペーパー
LoRaWAN デバイスでのトランスポートセキュリティの詳細については、「LoRaWAN データおよびトランスポートセキュリティ」を参照してください。
