本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 设置 AWS 物联网 FleetWise
在首次使用 AWS I FleetWise oT 之前,请完成以下各节中的步骤。
**Topics**
+ [设置你的 AWS 账户](#setting-up-create-iam-user)
+ [开始使用控制台](#console-get-started)
+ [配置您的 AWS 物联网 FleetWise 设置](configure-settings.md)
+ [FleetWise 使用向 AWS 物联网发出请求 IPv6](fleetwise-ipv6-access.md)
## 设置你的 AWS 账户
完成以下任务以注册 AWS 并创建管理用户。
### 注册获取 AWS 账户
如果您没有 AWS 账户,请完成以下步骤来创建一个。
**报名参加 AWS 账户**
1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)
1. 按照屏幕上的说明操作。
在注册时,将接到电话或收到短信,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”,查看您当前的账户活动并管理您的账户**。
### 创建具有管理访问权限的用户
注册后,请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center,启用并创建管理用户,这样您就不会使用 root 用户执行日常任务。
**保护你的 AWS 账户根用户**
1. 选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上,输入您的密码。
要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 为您的根用户启用多重身份验证(MFA)。
有关说明,请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**创建具有管理访问权限的用户**
1. 启用 IAM Identity Center。
有关说明,请参阅**《AWS IAM Identity Center 用户指南》中的[启用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,为用户授予管理访问权限。
有关使用 IAM Identity Center 目录 作为身份源的教程,请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。
有关使用 IAM Identity Center 用户[登录的帮助,请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**将访问权限分配给其他用户**
1. 在 IAM Identity Center 中,创建一个权限集,该权限集遵循应用最低权限的最佳做法。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 将用户分配到一个组,然后为该组分配单点登录访问权限。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
**注意**
您可以在 AWS IoT FleetWise 中使用服务相关角色。服务相关角色由 AWS 物联网预定义 FleetWise ,包括 AWS 物联网向亚马逊 CloudWatch发送指标 FleetWise 所需的权限。有关更多信息,请参阅 [在 AWS IoT 中使用服务相关角色 FleetWise](using-service-linked-roles.md)。
## 开始使用控制台
如果您尚未登录您的,请登录 AWS 账户,然后打开 [AWS IoT FleetWise 控制台](https://console.aws.amazon.com/iotfleetwise/)。要开始使用 AWS 物联网 FleetWise,请创建车辆模型。车辆型号可以标准化您的车辆格式。
1. 打开[AWS 物联网 FleetWise 控制台](https://console.aws.amazon.com/iotfleetwise)。
1. 在 “**入门” 中 AWS IoT FleetWise,**选择 “**开始**”。
有关创建车辆型号的更多信息,请参阅[创建 AWS 物联网 FleetWise 车辆模型](create-vehicle-model.md)。
# 配置您的 AWS 物联网 FleetWise 设置
您可以使用 AWS 物联网 FleetWise 控制台或 API 来配置亚马逊 CloudWatch 日志指标和亚马逊 CloudWatch 日志的设置,并使用加密数据 AWS 托管式密钥。
借助 CloudWatch 指标,您可以监控 AWS 物联网 FleetWise 和其他 AWS 资源。您可以使用 CloudWatch指标来收集和跟踪指标,例如确定是否超过了服务限制。有关 CloudWatch 指标的更多信息,请参阅[FleetWise 使用 Amazon 监控 AWS 物联网 CloudWatch](monitoring-cloudwatch.md)。
通过 CloudWatch 日志, AWS 物联网 FleetWise 将日志数据发送到 CloudWatch 日志组,您可以在其中使用它来识别和缓解任何问题。有关 CloudWatch 日志的更多信息,请参阅[配置 AWS 物联网 FleetWise 日志](logging-cw.md)。
通过数据加密, AWS 物联网 FleetWise 使用 AWS 托管式密钥 来加密数据。您也可以选择使用创建和管理密钥 AWS KMS。有关加密的更多信息,请参阅[AWS 物联网中的数据加密 FleetWise](data-encryption.md)。
## 配置设置(控制台)
如果您尚未登录您的,请登录 AWS 账户,然后打开 [AWS IoT FleetWise 控制台](https://console.aws.amazon.com/iotfleetwise/)。
1. 打开[AWS 物联网 FleetWise 控制台](https://console.aws.amazon.com/iotfleetwise)。
1. 在左侧窗格中,选择**设置**。
1. 在**指标**中,选择**启用**。 AWS IoT FleetWise 会自动将 CloudWatch托管策略附加到服务相关角色并启用 CloudWatch 指标。
1. 在**日志记录**中,选择**编辑**。
1. 在**CloudWatch 日志记录**部分,输入**日志组**。
1. 选择**提交**可保存更改。
1. 在**加密**部分,选择**编辑**。
1. 选择要使用的密钥类型。有关更多信息,请参阅 [AWS 物联网中的密钥管理 FleetWise](key-management.md)。
1. **使用 AWS 密钥** — AWS 物联网 FleetWise 拥有并管理密钥。
1. **选择其他 AWS Key Management Service 密钥** — 由 AWS KMS keys 您管理账户中的密钥。
1. 选择**提交**可保存更改。
## 配置设置 (AWS CLI)
在中 AWS CLI,注册账户以配置设置。
### 账户注册的 IAM 权限设置
要成功调用 `RegisterAccount` API,您需要在 IAM 策略文档`iam:CreateServiceLinkedRole`中包含内容。此 API 会在您的账户中创建服务相关角色,用于向您的账户发布 AWS IoT FleetWise 指标。 CloudWatch要验证账户是否成功注册,请调用 `GetRegisterAccountStatus` API 并确保注册状态为`REGISTRATION_SUCCESS`。
以下示例显示了用于设置`RegisterAccount`和权限的策略文档示例`GetRegisterAccountStatus`:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotfleetwise:RegisterAccount",
"iotfleetwise:GetRegisterAccountStatus",
"iam:CreateServiceLinkedRole"
],
"Resource": [
"*"
]
}
]
}
```
1. 要配置设置,请运行以下命令。
```
aws iotfleetwise register-account
```
1. 要验证您的设置,请运行以下命令来检索注册状态。
**注意**
服务相关角色仅用于向发布 AWS 物联网 FleetWise 指标。 CloudWatch有关更多信息,请参阅 [在 AWS IoT 中使用服务相关角色 FleetWise](using-service-linked-roles.md)。
```
aws iotfleetwise get-register-account-status
```
**Example 响应**
```
{
"accountStatus": "REGISTRATION_SUCCESS",
"creationTime": "2022-07-28T11:31:22.603000-07:00",
"customerAccountId": "012345678912",
"iamRegistrationResponse": {
"errorMessage": "",
"registrationStatus": "REGISTRATION_SUCCESS",
"roleArn": "arn:aws:iam::012345678912:role/AWSIoTFleetwiseServiceRole"
},
"lastModificationTime": "2022-07-28T11:31:22.854000-07:00",
}
}
```
注册状态可以是下列项之一:
+ `REGISTRATION_SUCCESS`— AWS 资源已成功注册。
+ `REGISTRATION_PENDING`— AWS 物联网 FleetWise 正在处理注册请求。该过程可能需要五分钟才能完成。
+ `REGISTRATION_FAILURE`— AWS 物联网 FleetWise 无法注册 AWS 资源。请稍后重试。
# FleetWise 使用向 AWS 物联网发出请求 IPv6
您可以通过 FleetWise 互联网协议版本 6 与 AWS IoT 进行通信 IPv4 并管理您的资源。IPv6双栈端点支持通过 IPv6 和 IPv4向 AWS 物联网发 FleetWise APIs 出的请求。通过通信不收取任何额外费用 IPv6。
该 IPv6 协议是具有其他安全功能的下一代 IP 标准。它提供 128 位长地址空间,同时 IPv4 具有 32 位长地址。 IPv4 可以生成 4.29 x 10^9 个地址,而 IPv6 可以有 3.4 x 10^38 个地址。
## IPv6 控制平面端点的先决条件
IPv6 将自动为控制平面端点启用协议支持。使用控制面板客户端的端点时,必须提供[服务器名称指示(SNI)扩展名](https://www.rfc-editor.org/rfc/rfc3546#section-3.1)。客户端可以使用 SNI 扩展来指示正在联系的服务器的名称,以及它使用的是常规端点还是双栈端点。请参阅[使用双堆栈端点](#fleetwise-ipv6-dualstack)。
## IPv6 对 AWS PrivateLink 端点的支持
AWS 物联网 FleetWise 支持使用与接口 VPC 终端节点进行 IPv6 通信 AWS PrivateLink。
## 测试 IPv6 地址兼容性
如果您使用的是 use Linux/Unix 或 Mac OS X,则可以使用 curl 命令测试是否可以访问双栈端点,如以下示例所示: IPv6
```
curl -v https://iotfleetwise..api.aws
```
您获得的信息如下例所示。如果您是通过连接的 IPv6,则连接的 IP 地址将是一个 IPv6 地址。
```
* Host iotfleetwise.us-east-1.api.aws:443 was resolved.
* IPv6: ::ffff:3.82.78.135, ::ffff:54.211.220.216, ::ffff:54.211.201.157
* IPv4: (none)
* Trying [::ffff:3.82.78.135]:443...
* Connected to iotfleetwise.us-east-1.api.aws (::ffff:3.82.78.135) port 443
* ALPN: curl offers h2,http/1.1
```
如果你使用的是微软 Windows 7 或 Windows 10,你可以测试是否 IPv4 可以通过 IPv6 或使用 ping 命令访问双栈端点,如下例所示。
```
ping iotfleetwise..api.aws
```
## 在 IAM 策略中使用 IPv6 地址
在使用资源之前,必须确保用 IPv6 于 IP 地址筛选的任何 IAM 策略都包含 IPv6 地址范围。有关使用 IAM 管理访问权限的更多信息,请参阅 [适用于 AWS 物联网的 Identity and Access 管理 FleetWise](security-iam.md)。
筛选 IP 地址的 IAM 策略使用 [IP 地址条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_IPAddress)。以下策略使用 IP IPv4 地址条件运算符确定允许的地址`54.240.143.*`范围。由于所有 IPv6地址都超出了允许的范围,因此此策略禁止使用 IPv6地址进行通信。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Principal": "*",
"Action": "iotfleetwise:*",
"Resource": "arn:aws:iotfleetwise:us-east-1:111122223333:*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
}
}
]
}
```
------
要包括 IPv6 地址,您可以修改策略的条件元素以同时允许 IPv4 (54.240.143.0/24) 和 IPv6 (2001:: 1234:5678::DB8: /64) 地址范围,如以下示例所示。
```
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"54.240.143.0/24",
"2001:DB8:1234:5678::/64"
]
}
}
```
## 使用双堆栈端点
AWS 物联网 FleetWise 双栈端点支持通过 IPv6和 IPv4向 AWS 物联网发 FleetWise APIs 出的请求。当您向双栈终端节点发出请求时,它会自动解析为 IPv4 IPv6 或地址。在双栈模式下,同时接受 IPv4 和 IPv6 客户端连接。
如果您使用的是 REST API,则可以使用 FleetWise 终端节点名称 (URI) 直接访问 AWS 物联网终端节点。 AWS IoT 仅 FleetWise 支持区域双栈终端节点名称,这意味着您必须在名称中 AWS 区域 指定。
下表显示了使用 FleetWise 时 AWS 物联网控制平面端点的格式 IPv4 和双栈模式。有关这些终端节点的更多信息,请参阅[AWS 物联网 FleetWise 终端节点](https://docs.aws.amazon.com/general/latest/gr/iotfleetwise.html)。
| 端点 | IPv4 地址 | 双栈模式 |
| --- | --- | --- |
| 控制面板 | iotfleetwise。 .amazonaws.co | iotfleetwise。 .api.aws |
使用 AWS CLI 和时 AWS SDKs,您可以使用`AWS_USE_DUALSTACK_ENDPOINT`环境变量或`use_dualstack_endpoint`参数(共享配置文件设置)更改为双堆栈端点。您也可以在配置文件中直接将双栈端点指定为 AWS 物联网 FleetWise 端点的替代项。有关更多信息,请参阅 [Dual-stack and FIPS endpoints](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html)。
使用时 AWS CLI,您可以像在 Config 文件`true`中的配置文件中`use_dualstack_endpoint`一样设置 AWS 配置值。这会将命令发出的所有 AWS IoT FleetWise 请求定向到指定区域的双栈终端节点。您可以在配置文件或命令中使用 `--region` 选项指定区域。
```
$ aws configure set default.iotfleetwise.use_dualstack_endpoint true
```
与其对所有命令使用双栈端点,不如使用这些端点执行特定命令:
+ 您可以通过为特定命令设置`--endpoint-url`参数来使用双栈端点。例如,在以下命令中,您可以将替换**为`iotfleetwise..api.aws`。
```
aws iotfleetwise list-fleets \
--endpoint-url
```
+ 您可以在 Config 文件中设置单独的 AWS 配置文件。例如,创建一个设置为 true `use_dualstack_endpoint` 的配置文件和一个未设置的配置文件`use_dualstack_endpoint`。在运行命令时,根据是否需要使用双堆栈端点来指定要使用的配置文件。