翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# のトランスポートセキュリティ AWS IoT Core
TLS (Transport Layer Security) は、コンピュータネットワーク上での安全な通信のために設計された暗号化プロトコルです。 AWS IoT Core Device Gateway では、デバイスから Gateway への接続に TLS を使用して、転送中にすべての通信を暗号化する必要があります。TLS は、 AWS IoT Coreでサポートされているアプリケーションプロトコル (MQTT、HTTP、および WebSocket) の機密性を達成するために使用されます。TLS サポートは、多くのプログラミング言語とオペレーティングシステムで使用できます。内のデータは AWS 、特定の AWS サービスによって暗号化されます。他の AWS サービスのデータ暗号化の詳細については、そのサービスのセキュリティドキュメントを参照してください。
**Topics**
+ [TLS プロトコル](#tls-ssl-policy)
+ [セキュリティポリシー](#tls-policy-table)
+ [でのトランスポートセキュリティに関する重要な注意事項 AWS IoT Core](#tls-ssl-core)
+ [LoRaWAN ワイヤレスデバイスのトランスポートセキュリティ](#tls-lorawan)
## TLS プロトコル
AWS IoT Core は、TLS プロトコルの次のバージョンをサポートしています。
+ TLS 1.3
+ TLS 1.2
では AWS IoT Core、ドメイン設定で TLS 設定 ([TLS 1.2](https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_1.2) および [TLS 1.3 の場合](https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_1.3)) を設定できます。詳細については、「[ドメイン設定での TLS 設定の設定](iot-endpoints-tls-config.md)」を参照してください。
## セキュリティポリシー
セキュリティポリシーは、クライアントとサーバー間の TLS ネゴシエーション中にサポートされるプロトコルと暗号を決定する TLS プロトコルとその暗号の組み合わせです。必要に応じて、事前定義されたセキュリティポリシーを使用するようにデバイスを設定できます。 AWS IoT Core はカスタムセキュリティポリシーをサポートしていないことに注意してください。
デバイスの事前定義されたセキュリティポリシーの 1 つを接続時に選択できます AWS IoT Core。の最新の事前定義されたセキュリティポリシーの名前には、リリースされた年月に基づくバージョン情報 AWS IoT Core が含まれます。事前に定義されたデフォルトのセキュリティポリシーは `IoTSecurityPolicy_TLS13_1_2_2022_10` です。セキュリティポリシーを指定するには、 AWS IoT コンソールまたは を使用できます AWS CLI。詳細については、「[ドメイン設定での TLS 設定の設定](iot-endpoints-tls-config.md)」を参照してください。
次の表は、 AWS IoT Core でサポートされる、事前に定義された最新のセキュリティポリシーの詳細を示しています。見出し行に収まるようにポリシー名から `IotSecurityPolicy_` を削除しました。
| **セキュリティポリシー** | TLS13\$11\$13\$12022\$110 | TLS13\$11\$12\$12022\$110 | TLS12\$11\$12\$12022\$110 | TLS12\$11\$10\$12016\$101\$1 | TLS12\$11\$10\$12015\$101\$1 |
| --- | --- | --- | --- | --- | --- |
| TCP ポート | 443/8443/8883 | 443/8443/8883 | 443/8443/8883 | 443 | 8443/8883 | 443 | 8443/8883 |
| TLS Protocols |
| TLS 1.2 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| TLS 1.3 | ✓ | ✓ | | | | | |
| TLS Ciphers |
| TLS\$1AES\$1128\$1GCM\$1SHA256 | ✓ | ✓ | | | | | |
| TLS\$1AES\$1256\$1GCM\$1SHA384 | ✓ | ✓ | | | | | |
| TLS\$1CHACHA20\$1POLY1305\$1SHA256 | ✓ | ✓ | | | | | |
| ECDHE-RSA-AES128- GCM-SHA256 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-RSA-AES128-SHA256 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-RSA-AES128-SHA | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-RSA-AES256-GCM-SHA384 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-RSA-AES256-SHA384 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-RSA-AES256-SHA | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| AES128-GCM-SHA256 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| AES128-SHA256 | | ✓ | ✓ | ✓ | | ✓ | ✓ |
| AES128-SHA | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| AES256-GCM-SHA384 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| AES256-SHA256 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| AES256-SHA | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| DHE-RSA-AES256-SHA | | | | | | ✓ | ✓ |
| ECDHE-ECDSA-AES128- GCM-SHA256 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-ECDSA-AES128-SHA256 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-ECDSA-AES128-SHA | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-ECDSA-AES256- GCM-SHA384 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-ECDSA-AES256-SHA384 | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| ECDHE-ECDSA-AES256-SHA | | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
**注記**
`TLS12_1_0_2016_01` は、 AWS リージョン ap-east-1、ap-northeast-2、ap-south-1、ap-southeast-2、ca-central-1、cn-north-1、cn-northwest-1、eu-north-1、eu-west-2、eu-west-3、me-south-1、sa-east-1、us-east-2、us-gov-west-1、us-gov-west-2、us-west-1 でのみ使用できます。
`TLS12_1_0_2015_01` は AWS リージョン、ap-northeast-1、ap-southeast-1、eu-central-1、eu-west-1、us-east-1、us-west-2 でのみ使用できます。
## でのトランスポートセキュリティに関する重要な注意事項 AWS IoT Core
[MQTT](https://docs.aws.amazon.com//iot/latest/developerguide/mqtt.html) AWS IoT Core を使用して に接続するデバイスの場合、TLS はデバイスとブローカー間の接続を暗号化し、TLS クライアント認証 AWS IoT Core を使用してデバイスを識別します。詳細については、「[クライアント認証](https://docs.aws.amazon.com//iot/latest/developerguide/client-authentication.html)」を参照してください。[HTTP](https://docs.aws.amazon.com//iot/latest/developerguide/http.html) AWS IoT Core を使用して に接続するデバイスの場合、TLS はデバイスとブローカー間の接続を暗号化し、認証は AWS 署名バージョン 4 に委任されます。詳細については、「*AWS 全般リファレンス*」で[署名バージョン 4 でのリクエストの署名](https://docs.aws.amazon.com//general/latest/gr/create-signed-request.html)に関する情報を参照してください。
デバイスを に接続する場合 AWS IoT Core、[サーバー名表示 (SNI) 拡張機能](https://tools.ietf.org/html/rfc3546#section-3.1)の送信は必須ではありませんが、強くお勧めします。[マルチアカウント登録](https://docs.aws.amazon.com//iot/latest/developerguide/x509-client-certs.html#multiple-account-cert)、[カスタムドメイン](https://docs.aws.amazon.com//iot/latest/developerguide/iot-custom-endpoints-configurable-custom.html)、[VPC エンドポイント](https://docs.aws.amazon.com//iot/latest/developerguide/IoTCore-VPC.html)、[設定済み TLS ポリシー](https://docs.aws.amazon.com//iot/latest/developerguide/iot-endpoints-tls-config.html)などの機能を使用するには、SNI 拡張機能を使用し、`host_name` フィールドに完全なエンドポイントアドレスを指定する必要があります。`host_name` フィールドには、呼び出すエンドポイントが含まれている必要があります。そのエンドポイントは、次のいずれかである必要があります。
+ `endpointAddress` によって返される `aws iot [describe-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-endpoint.html) --endpoint-type iot:Data-ATS`
+ `domainName` によって返される `aws iot [describe-domain-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-domain-configuration.html) –-domain-configuration-name "domain_configuration_name"`
正しくない値または無効な`host_name`値を持つデバイスで試行された接続は失敗します。 AWS IoT Core は、[カスタム認証](https://docs.aws.amazon.com//iot/latest/developerguide/custom-authentication.html)の認証タイプについて CloudWatch に失敗をログに記録します。
AWS IoT Core は [SessionTicket TLS 拡張機能](https://www.ietf.org/rfc/rfc5077.txt)をサポートしていません。
## LoRaWAN ワイヤレスデバイスのトランスポートセキュリティ
LoRaWAN デバイスは、[LoRaWAN ™ SECURITY: Gemalto、Actility、および Semtech による LoRa Alliance™ 向けに作成されたホワイトペーパー](https://lora-alliance.org/sites/default/files/2019-05/lorawan_security_whitepaper.pdf)で説明されているセキュリティ プラクティスに従います。
LoRaWAN デバイスでのトランスポートセキュリティの詳細については、「[LoRaWAN データおよびトランスポートセキュリティ](https://docs.aws.amazon.com/iot-wireless/latest/developerguide/iot-lorawan-security.html)」を参照してください。