As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Segurança de OTA
<a name="dev-guide-ota-security"></a>

A seguir estão três aspectos da segurança over-the-air (OTA):

**Segurança de conexão**  
O serviço OTA Update Manager depende dos mecanismos de segurança existentes, como a autenticação mútua do Transport Layer Security (TLS), usada pela AWS IoT. O tráfego de atualização OTA passa pelo gateway do AWS IoT dispositivo e usa mecanismos AWS IoT de segurança. Cada mensagem HTTP ou MQTT recebida e enviada por meio do gateway de dispositivo é submetida a autenticação e autorização rigorosas.

**Autenticidade e integridade das atualizações OTA**  
O firmware pode ser assinado digitalmente antes de uma atualização OTA para garantir que ele seja de uma fonte confiável e não tenha sido adulterado.   
O serviço FreeRTOS OTA Update Manager usa a Assinatura de Código AWS IoT para assinar automaticamente seu firmware. Para obter mais informações, consulte [Code Signing para AWS IoT](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html).   
O agente OTA que é executado nos dispositivos executa verificações de integridade no firmware quando ele chega no dispositivo.

**Segurança do operador**  
Cada chamada de API feita por meio da API do ambiente de gerenciamento é submetida à autenticação e autorização padrão do Signature Version 4 do IAM. Para criar uma implantação, você deve ter permissões para invocar o `CreateDeployment``CreateJob`, e. `CreateStream` APIs Além disso, em sua política de bucket ou ACL do Amazon S3, você deve conceder permissões de leitura ao responsável pelo AWS IoT serviço para que a atualização do firmware armazenada no Amazon S3 possa ser acessada durante o streaming. 

## Assinatura de código para AWS IoT
<a name="dev-guide-code-signing"></a>

O AWS IoT console usa a Assinatura de [Código AWS IoT para assinar](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) automaticamente sua imagem de firmware para qualquer dispositivo compatível com AWS IoT.

A assinatura de código para AWS IoT usa um certificado e uma chave privada que você importa para o ACM. Você pode usar um certificado autoassinado para testes, mas recomendamos obter um certificado de uma autoridade de certificação (AC) comercial reconhecida.

Os certificados de assinatura de código usam as extensões `Key Usage` e `Extended Key Usage` do X.509 versão 3. A extensão `Key Usage` é definida como `Digital Signature` e a extensão `Extended Key Usage` é definida como `Code Signing`. Para obter mais informações sobre como assinar sua imagem de código, consulte o [Guia de assinatura de código para AWS IoT desenvolvedores](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) e a [referência de assinatura de código para AWS IoT API](https://docs.aws.amazon.com/signer/latest/api/Welcome.html).

**nota**  
Você pode baixar o Code Signing for AWS IoT SDK em [Tools for Amazon Web Services](https://aws.amazon.com/tools/).