Endpoints da VPC do Device Advisor (AWS PrivateLink) - AWS IoT Core
Considerações sobre endpoints da VPC do AWS IoT Core Device AdvisorCriar um endpoint de VPC da interface para AWS IoT Core Device AdvisorComo controlar o acesso ao AWS IoT Core Device Advisor por endpoints da VPC

Endpoints da VPC do Device Advisor (AWS PrivateLink)

É possível estabelecer uma conexão privada entre a VPC e o endpoint de teste do AWS IoT Core Device Advisor (plano de dados) criando um endpoint da VPC da interface. Você pode usar esse endpoint para validar dispositivos AWS IoT para conectividade confiável e segura com AWS IoT Core antes de implantá-los na produção. Os testes pré-criados do Device Advisor ajudam você a validar o software do dispositivo em relação às práticas recomendadas de uso de TLS, MQTT, Sombra do dispositivo e Tarefas do AWS IoT.

O AWS PrivateLink alimenta os endpoints de interface usados com os dispositivos de IoT. Esse serviço ajuda você a acessar o endpoint de teste do AWS IoT Core Device Advisor sem um gateway da Internet, um dispositivo NAT, uma conexão VPN ou uma conexão do Direct Connect. As instâncias na VPC que enviam pacotes TCP e MQTT não precisam de endereços IP públicos para a comunicação com endpoints de teste do AWS IoT Core Device Advisor. O tráfego entre a VPC e o AWS IoT Core Device Advisor não sai da rede da Nuvem AWS. Qualquer comunicação TLS e MQTT entre dispositivos de IoT e casos de teste do Device Advisor permanece dentro dos recursos da sua Conta da AWS.

Cada endpoint de interface é representado por uma ou mais interfaces de rede elástica nas sub-redes.

Para saber mais sobre como usar os endpoints da VPC da interface, consulte Endpoints da VPC da interface (AWS PrivateLink) no Guia do usuário da Amazon VPC.

Considerações sobre endpoints da VPC do AWS IoT Core Device Advisor

Antes de configurar propriedades e limitações de endpoint da interface no Guia do usuário da Amazon VPC antes de configurar os endpoints da VPC da interface. Considere o seguinte antes de continuar:

  • O AWS IoT Core Device Advisor atualmente oferece suporte para fazer chamadas para o endpoint de teste do Device Advisor (plano de dados) por meio da VPC. Um agente de mensagens usa comunicações de plano de dados para enviar e receber dados. Ele faz isso com a ajuda dos pacotes TLS e MQTT. Os endpoints da VPC para o AWS IoT Core Device Advisor conectam o dispositivo AWS IoT aos endpoints de teste do Device Advisor. As ações da API do ambiente de gerenciamento não são usadas por esse endpoint da VPC. Para criar ou executar um conjunto de testes ou outras APIs do ambiente de gerenciamento, use o console, um AWS SDK ou uma interface de linha de comandos da AWS na Internet pública.

  • As seguintes Regiões da AWS são compatíveis com endpoints da VPC para o AWS IoT Core Device Advisor:

    • Leste dos EUA (N. da Virgínia)

    • Oeste dos EUA (Oregon)

    • Ásia-Pacífico (Tóquio)

    • Europa (Irlanda)

  • O Device Advisor oferece suporte ao MQTT com certificados de cliente X.509 e certificados de servidor RSA.

  • As políticas de endpoint da VPC não são compatíveis no momento.

  • Consulte os pré-requisitos de endpoint da VPC para obter instruções sobre como criar recursos que conectem os endpoints da VPC. Você deve criar uma VPC e sub-redes privadas para usar endpoints da VPC do AWS IoT Core Device Advisor.

  • Existem cotas em seus recursos do AWS PrivateLink. Para obter mais informações, consulte as AWS PrivateLink cotas.

  • Os endpoints da VPC só são compatíveis com tráfego IPv4.

Criar um endpoint de VPC da interface para AWS IoT Core Device Advisor

Para começar a usar endpoints da VPC, crie um endpoint da VPC da interface. Em seguida, selecione o AWS IoT Core Device Advisor como o AWS service (Serviço da AWS). Se você estiver usando a AWS CLI, chame describe-vpc-endpoint-services para confirmar que o AWS IoT Core Device Advisor esteja presente em uma Zona de Disponibilidade na Região da AWS. Confirme se o grupo de segurança conectado ao endpoint permite a comunicação do protocolo TCP para tráfego MQTT e TLS. Por exemplo, na região Leste dos EUA (Norte da Virgínia), use o seguinte comando: 

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.deviceadvisor.iot

Você pode criar um endpoint da VPC para o AWS IoT Core usando o seguinte nome de serviço:

  • com.amazonaws.region.deviceadvisor.iot

Por padrão, o DNS privado está ativado para o endpoint. Isso garante que o uso do endpoint de teste padrão permaneça nas sub-redes privadas. Para obter o endpoint em nível de conta ou dispositivo, use o console, a AWS CLI ou um AWS SDK. Por exemplo, se você executa get-endpoint em uma sub-rede pública ou na Internet pública, você pode obter o endpoint e usá-lo para se conectar ao Device Advisor. Para mais informações, consulte Acessar um serviço por um endpoint de interface no Guia do usuário da Amazon VPC.

Para conectar clientes MQTT às interfaces de endpoint da VPC, o serviço AWS PrivateLink cria registros DNS em uma zona hospedada privada anexada à VPC. Esses registros DNS direcionam as solicitações do dispositivo AWS IoT para o endpoint da VPC.

Como controlar o acesso ao AWS IoT Core Device Advisor por endpoints da VPC

Você pode restringir o acesso ao AWS IoT Core Device Advisor e permitir o acesso somente por meio de endpoints da VPC usando chaves de contexto de condição da VPC. O AWS IoT Core é compatível com as seguintes chaves de contexto relacionadas à VPC:

nota

O AWS IoT Core Device Advisor não é compatível com políticas de endpoint da VPC no momento.

A política a seguir concede permissão para se conectar ao AWS IoT Core Device Advisor com o ID de cliente que corresponde ao nome do objeto. Ele também publica em qualquer tópico prefixado pelo nome do objeto. A política depende da conexão do dispositivo a um endpoint da VPC com um ID específico do endpoint da VPC. Essa política nega tentativas de conexão com o endpoint de teste do AWS IoT Core Device Advisor público.

JSON
{
"Version":"2012-10-17",		 	 	 
    "Statement": [
        {
"Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
            ],
            "Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-1a2b3c4d"
                }
            }
            
        },
        {
"Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*"
            ]
        }
    ]
}