Pré-requisitos Recebendo notificações de túnel por meio de VPC endpoints Criação de endpoints de VPC para tunelamento seguro Configurando políticas de VPC endpoint no servidor proxy Próximas etapas

Usando tunelamento AWS IoT Device Management seguro com endpoints de interface VPC

AWS IoT Device Managemento tunelamento seguro oferece suporte a endpoints de interface VPC. Você pode usar VPC endpoints para manter o tráfego entre sua VPC e AWS IoT Secure Tunneling dentro da AWS rede, sem precisar de um gateway de internet, dispositivo NAT, conexão VPN ou conexão. AWS Direct Connect

Os endpoints VPC da Interface são alimentados por AWS PrivateLinkuma tecnologia que permite acessar serviços de forma privada usando endereços IP privados. Para obter mais informações, consulte Acessar um AWS serviço usando uma interface VPC endpoint no Guia. AWS PrivateLink

Conteúdos

Pré-requisitos
Recebendo notificações de túnel por meio de VPC endpoints
Criação de endpoints de VPC para tunelamento seguro
Configurando políticas de VPC endpoint no servidor proxy
Próximas etapas

Pré-requisitos

Antes de criar VPC endpoints paraAWS IoT Secure Tunneling, verifique se você tem o seguinte:

Uma AWS conta com as permissões necessárias para criar VPC endpoints.
Uma VPC na sua conta. AWS
Compreensão dos conceitos de tunelamento AWS IoT Device Management seguro.
Familiaridade com as políticas AWS Identity and Access Management de VPC endpoint e (IAM)

Recebendo notificações de túnel por meio de VPC endpoints

Para receber notificações de túnel por meio de um VPC endpoint, seus dispositivos podem se conectar ao plano de AWS IoT Core dados por meio de um endpoint VPC e assinar o tópico MQTT reservado para tunelamento seguro.

Para obter instruções sobre como criar e configurar um VPC endpoint no plano de AWS IoT Core dados, consulte Como usar com AWS IoT Core interface VPC endpoints no Guia do desenvolvedor. AWS IoT

Criação de endpoints de VPC para tunelamento seguro

Você pode criar endpoints VPC tanto para o plano de controle de tunelamento seguro quanto para o servidor proxy.

Para criar um VPC endpoint para tunelamento seguro

Siga as etapas em Criação de um endpoint de interface no Guia do desenvolvedor da Amazon VPC
Em Nome do serviço, escolha uma das seguintes opções com base no seu tipo de endpoint:
Ambiente de gerenciamento
- Padrão: com.amazonaws.<region>.iot.tunneling.api
- FIPS (disponível nas regiões FIPS): com.amazonaws.<region>.iot-fips.tunneling.api
Servidor de proxy
- Padrão: com.amazonaws.<region>.iot.tunneling.data
- FIPS (disponível nas regiões FIPS): com.amazonaws.<region>.iot-fips.tunneling.data
<region>Substitua pelo seuRegião da AWS. Por exemplo, .us-east-1
Conclua as etapas restantes no processo de criação do VPC endpoint de acordo com seus requisitos de rede.

Configurando políticas de VPC endpoint no servidor proxy

Além da autorização baseada em token de acesso ao cliente que é usada para autorizar conexões com túneis, você pode usar políticas de endpoint de VPC para restringir ainda mais a forma como os dispositivos podem usar um endpoint de VPC para se conectar ao Secure Tunneling Proxy Server. As políticas de VPC endpoint seguem uma sintaxe semelhante à IAM e são configuradas no próprio VPC endpoint.

Observe que a única ação do IAM compatível com as políticas de endpoint VPC do servidor proxy é. iot:ConnectToTunnel

Abaixo estão exemplos de diferentes políticas de VPC endpoint.

Exemplos de políticas de endpoint VPC de servidor proxy

Os exemplos a seguir mostram as configurações da política de endpoint VPC do Proxy Server para casos de uso comuns.

exemplo - Política padrão

Essa política permite que dispositivos em sua VPC se conectem a qualquer túnel no mesmo Região da AWS local em que o endpoint é criado, em qualquer conta. AWS


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

exemplo - Restringir o acesso a AWS contas específicas

Essa política permite que o VPC endpoint se conecte somente a túneis em contas específicas. AWS


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": [
                "arn:aws:iot:us-east-1:111122223333:tunnel/*",
                "arn:aws:iot:us-east-1:444455556666:tunnel/*"
            ]
        }
    ]
}

exemplo - Restringir conexões por ponto final do túnel

Você pode restringir o acesso ao VPC endpoint para permitir que apenas os dispositivos se conectem à extremidade de origem ou destino de um túnel.

Somente fonte:


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iot:ClientMode": "source"
                }
            }
        }
    ]
}

Somente destino:


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iot:ClientMode": "destination"
                }
            }
        }
    ]
}

exemplo - Restrinja o acesso com base em tags de recursos

Essa política permite que o VPC endpoint se conecte somente a túneis marcados com um par de valores-chave específico.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Environment": "Production"
                }
            }
        }
    ]
}

exemplo - Condições políticas combinadas

Essa política demonstra a combinação de vários elementos da política. Ele permite conexões com qualquer túnel em uma AWS conta específica, mas somente se o túnel estiver marcado com AllowConnectionsThroughPrivateLink definido como true e o cliente não estiver se conectando à extremidade de destino do túnel.


{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": [
                "arn:aws:iot:us-east-1:111122223333:tunnel/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AllowConnectionsThroughPrivateLink": "true"
                }
            }
        },
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "iot:ConnectToTunnel",
            "Resource": [
                "arn:aws:iot:us-east-1:111122223333:tunnel/*"
            ],
            "Condition": {
                "StringEquals": {
                    "iot:ClientMode": "destination"
                }
            }
        }
    ]
}

Próximas etapas

Depois de criar e configurar seus VPC endpoints paraAWS IoT Secure Tunneling, considere o seguinte:

Teste sua configuração de VPC endpoint conectando dispositivos por meio do endpoint.
Monitore o uso do VPC endpoint por meio de métricas. Amazon CloudWatch
Revise e atualize suas políticas de VPC endpoint conforme necessário para seus requisitos de segurança.

Para obter mais informações sobre tunelamento AWS IoT Device Management seguro, consulte. AWS IoT Secure Tunneling

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Usando AWS IoT Core com VPC endpoints

Segurança da infraestrutura