本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 AWS IoT FleetWise
首次使用 AWS IoT FleetWise 之前,請完成下列各節中的步驟。
**Topics**
+ [設定您的 AWS 帳戶](#setting-up-create-iam-user)
+ [在主控台中開始使用](#console-get-started)
+ [設定您的 AWS IoT FleetWise 設定](configure-settings.md)
+ [使用 IPv6 向 AWS IoT FleetWise 提出請求](fleetwise-ipv6-access.md)
## 設定您的 AWS 帳戶
完成下列任務以註冊 AWS 並建立管理使用者。
### 註冊 AWS 帳戶
如果您沒有 AWS 帳戶,請完成下列步驟來建立一個。
**註冊 AWS 帳戶**
1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。
1. 請遵循線上指示進行。
部分註冊程序需接收來電或簡訊,並在電話鍵盤輸入驗證碼。
當您註冊 時 AWS 帳戶,*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇**我的帳戶**,以檢視您目前的帳戶活動並管理帳戶。
### 建立具有管理存取權的使用者
註冊 後 AWS 帳戶,請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者,以免將根使用者用於日常任務。
**保護您的 AWS 帳戶根使用者**
1. 選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者[AWS 管理主控台](https://console.aws.amazon.com/)身分登入 。在下一頁中,輸入您的密碼。
如需使用根使用者登入的說明,請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。
如需說明,請參閱《*IAM 使用者指南*》中的[為您的 AWS 帳戶 根使用者 (主控台) 啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**建立具有管理存取權的使用者**
1. 啟用 IAM Identity Center。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,將管理存取權授予使用者。
如需使用 IAM Identity Center 目錄 做為身分來源的教學課程,請參閱*AWS IAM Identity Center 《 使用者指南*》中的[使用預設值設定使用者存取 IAM Identity Center 目錄](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理存取權的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署,請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。
如需使用 IAM Identity Center 使用者登入的說明,請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**指派存取權給其他使用者**
1. 在 IAM Identity Center 中,建立一個許可集來遵循套用最低權限的最佳實務。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 將使用者指派至群組,然後對該群組指派單一登入存取權。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[新增群組](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
**注意**
您可以使用服務連結角色搭配 AWS IoT FleetWise。服務連結角色由 AWS IoT FleetWise 預先定義,並包含 AWS IoT FleetWise 將指標傳送至 Amazon CloudWatch 所需的許可。如需詳細資訊,請參閱[使用 AWS IoT FleetWise 的服務連結角色](using-service-linked-roles.md)。
## 在主控台中開始使用
如果您尚未登入 AWS 帳戶,請登入,然後開啟 [AWS IoT FleetWise 主控台](https://console.aws.amazon.com/iotfleetwise/)。若要開始使用 AWS IoT FleetWise,請建立 車輛模型。車輛模型會標準化您車輛的格式。
1. 開啟 [AWS IoT FleetWise 主控台](https://console.aws.amazon.com/iotfleetwise)。
1. 在**開始使用中 AWS IoT FleetWise**,選擇**開始使用**。
如需建立車輛模型的詳細資訊,請參閱 [建立 AWS IoT FleetWise 車輛模型](create-vehicle-model.md)。
# 設定您的 AWS IoT FleetWise 設定
您可以使用 AWS IoT FleetWise 主控台或 API 來設定 Amazon CloudWatch Logs 指標、Amazon CloudWatch Logs 的設定,並使用 加密資料 AWS 受管金鑰。
透過 CloudWatch 指標,您可以監控 AWS IoT FleetWise 和其他 AWS 資源。您可以使用 CloudWatch 指標來收集和追蹤指標,例如判斷是否有超出的服務限制。如需 CloudWatch 指標的詳細資訊,請參閱[使用 Amazon CloudWatch 監控 AWS IoT FleetWise Amazon CloudWatch](monitoring-cloudwatch.md)。
透過 CloudWatch Logs, AWS IoT FleetWise 會將日誌資料傳送至 CloudWatch 日誌群組,您可以在其中使用它來識別和緩解任何問題。如需 CloudWatch Logs 的詳細資訊,請參閱[Configure AWS IoT FleetWise 記錄](logging-cw.md)。
使用資料加密時, AWS IoT FleetWise 會使用 AWS 受管金鑰 來加密資料。您也可以選擇使用 建立和管理金鑰 AWS KMS。如需加密的詳細資訊,請參閱 [AWS IoT FleetWise 中的資料加密](data-encryption.md)。
## 進行設定 (主控台)
如果您尚未登入 AWS 帳戶,請登入,然後開啟 [AWS IoT FleetWise 主控台](https://console.aws.amazon.com/iotfleetwise/)。
1. 開啟 [AWS IoT FleetWise 主控台](https://console.aws.amazon.com/iotfleetwise)。
1. 在左側窗格中,選擇**設定**。
1. 在**指標**中,選擇**啟用**。 AWS IoT FleetWise 會自動將 CloudWatch 受管政策連接至服務連結角色,並啟用 CloudWatch 指標。
1. 在**記錄中**,選擇**編輯**。
1. 在 **CloudWatch 記錄**區段中,輸入**日誌群組**。
1. 若要儲存變更,請選擇**提交**。
1. 在**加密**區段中,選擇**編輯**。
1. 選擇您要使用的金鑰類型。如需詳細資訊,請參閱[AWS IoT FleetWise 中的金鑰管理](key-management.md)。
1. **使用 AWS 金鑰** – AWS IoT FleetWise 擁有和管理金鑰。
1. **選擇不同的 AWS Key Management Service 金鑰** – 您可以管理您帳戶中 AWS KMS keys 的 。
1. 若要儲存變更,請選擇**提交**。
## 設定設定 (AWS CLI)
在 中 AWS CLI,註冊帳戶以設定 設定。
### 帳戶註冊的 IAM 許可設定
若要成功叫用 `RegisterAccount` API,您需要`iam:CreateServiceLinkedRole`在 IAM 政策文件中包含 。此 API 會在您的帳戶中建立服務連結角色,用於將 AWS IoT FleetWise 指標發佈到您的 CloudWatch。若要驗證帳戶是否已成功註冊,請叫用 `GetRegisterAccountStatus` API,並確認註冊狀態為 `REGISTRATION_SUCCESS`。
下列範例顯示設定 `RegisterAccount`和 許可的範例政策文件`GetRegisterAccountStatus`:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotfleetwise:RegisterAccount",
"iotfleetwise:GetRegisterAccountStatus",
"iam:CreateServiceLinkedRole"
],
"Resource": [
"*"
]
}
]
}
```
1. 若要設定設定,請執行下列命令。
```
aws iotfleetwise register-account
```
1. 若要驗證您的設定,請執行下列命令來擷取註冊狀態。
**注意**
服務連結角色僅用於將 AWS IoT FleetWise 指標發佈至 CloudWatch。如需詳細資訊,請參閱[使用 AWS IoT FleetWise 的服務連結角色](using-service-linked-roles.md)。
```
aws iotfleetwise get-register-account-status
```
**Example 回應**
```
{
"accountStatus": "REGISTRATION_SUCCESS",
"creationTime": "2022-07-28T11:31:22.603000-07:00",
"customerAccountId": "012345678912",
"iamRegistrationResponse": {
"errorMessage": "",
"registrationStatus": "REGISTRATION_SUCCESS",
"roleArn": "arn:aws:iam::012345678912:role/AWSIoTFleetwiseServiceRole"
},
"lastModificationTime": "2022-07-28T11:31:22.854000-07:00",
}
}
```
註冊狀態可以是下列其中一項:
+ `REGISTRATION_SUCCESS` – AWS 資源已成功註冊。
+ `REGISTRATION_PENDING` – AWS IoT FleetWise 正在處理註冊請求。此程序大約需要五分鐘才能完成。
+ `REGISTRATION_FAILURE` – AWS IoT FleetWise 無法註冊 AWS 資源。請稍後再試。
# 使用 IPv6 向 AWS IoT FleetWise 提出請求
您可以透過網際網路通訊協定第 6 版 (IPv6) 和 IPv4 與 AWS IoT FleetWise 通訊,以管理您的 資源。雙堆疊端點支援透過 IPv6 和 IPv4 向 AWS IoT FleetWise APIs提出請求。透過 IPv6 進行通訊無需額外費用。
IPv6 通訊協定是具有其他安全功能的新一代 IP 標準。它提供 128 位元長地址空間,而 IPv4 有 32 位元長地址。IPv4 可以產生 4.29 x 10^9 地址,而 IPv6 可以有 3.4 x 10^38 地址。
## 控制平面端點的 IPv6 先決條件
IPv6 通訊協定支援會自動為控制平面端點啟用。將端點用於控制平面用戶端時,您必須提供[伺服器名稱指示 (SNI) 延伸](https://www.rfc-editor.org/rfc/rfc3546#section-3.1)。用戶端可以使用 SNI 延伸來指出正在聯絡的伺服器名稱,以及使用一般端點或雙堆疊端點。請參閱 [使用雙堆疊端點](#fleetwise-ipv6-dualstack)。
## AWS PrivateLink 端點的 IPv6 支援
AWS IoT FleetWise 支援使用 與介面 VPC 端點進行 IPv6 通訊 AWS PrivateLink。
## 測試 IPv6 地址相容性
如果您使用 Linux/Unix 或 Mac OS X,您可以使用 curl 命令測試是否可以透過 IPv6 存取雙堆疊端點,如下列範例所示:
```
curl -v https://iotfleetwise..api.aws
```
您會收到類似下例的資訊。如果您透過 IPv6 連接,連接的 IP 地址將是 IPv6 地址。
```
* Host iotfleetwise.us-east-1.api.aws:443 was resolved.
* IPv6: ::ffff:3.82.78.135, ::ffff:54.211.220.216, ::ffff:54.211.201.157
* IPv4: (none)
* Trying [::ffff:3.82.78.135]:443...
* Connected to iotfleetwise.us-east-1.api.aws (::ffff:3.82.78.135) port 443
* ALPN: curl offers h2,http/1.1
```
如果您使用的是 Microsoft Windows 7 或 Windows 10,您可以使用 ping 命令測試是否可以透過 IPv6 或 IPv4 存取雙堆疊端點,如下列範例所示。
```
ping iotfleetwise..api.aws
```
## 在 IAM 原則中使用 IPv6 地址
將 IPv6 用於資源之前,您必須確保用於 IP 地址篩選的任何 IAM 政策都包含 IPv6 地址範圍。如需 IAM 管理存取許可的詳細資訊,請參閱 [適用於 AWS IoT FleetWise 的 Identity and Access Management](security-iam.md)。
篩選 IP 地址的 IAM 原則使用[IP 地址條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_IPAddress)。下列政策會使用 IP 地址條件運算子來識別允許的 IPv4 地址`54.240.143.*`範圍。由於所有 IPv6 地址都超出允許的範圍,因此此政策會防止使用 IPv6 地址進行通訊。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Principal": "*",
"Action": "iotfleetwise:*",
"Resource": "arn:aws:iotfleetwise:us-east-1:111122223333:*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
}
}
]
}
```
------
若要包含 IPv6 地址,您可以修改政策的條件元素,以允許 IPv4 (54.240.143.0/24) 和 IPv6 (2001:DB8:1234:5678::/64) 地址範圍,如下列範例所示。
```
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"54.240.143.0/24",
"2001:DB8:1234:5678::/64"
]
}
}
```
## 使用雙堆疊端點
AWS IoT FleetWise 雙堆疊端點支援透過 IPv6 和 IPv4 向 AWS IoT FleetWise APIs提出請求。當您向雙堆疊端點提出請求時,它會自動解析為 IPv4 或 IPv6 地址。在雙堆疊模式中,接受 IPv4 和 IPv6 用戶端連線。
如果您使用的是 REST API,則可以使用端點名稱 (URI) 直接存取 AWS IoT FleetWise 端點。 AWS IoT FleetWise 僅支援區域雙堆疊端點名稱,這表示您必須指定 AWS 區域 做為名稱的一部分。
下表顯示使用 IPv4 和雙堆疊模式時 AWS IoT FleetWise 的控制平面端點格式。如需這些端點的詳細資訊,請參閱 [AWS IoT FleetWise 端點](https://docs.aws.amazon.com/general/latest/gr/iotfleetwise.html)。
| Endpoint | IPv4 地址 | 雙堆疊模式 |
| --- | --- | --- |
| 控制平面 | iotfleetwise..amazonaws.com | iotfleetwise..api.aws |
使用 AWS CLI AWS SDKs時,您可以使用`AWS_USE_DUALSTACK_ENDPOINT`環境變數或 `use_dualstack_endpoint` 參數,這是共用組態檔案設定,以變更為雙堆疊端點。您也可以直接將雙堆疊端點指定為組態檔案中 AWS IoT FleetWise 端點的覆寫。如需詳細資訊,請參閱[雙堆疊和 FIPS 端點](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html)。
使用 時 AWS CLI,您可以將組態值設定為 Config `use_dualstack_endpoint` `true` 檔案中的設定檔中的 AWS 。這會將命令提出的所有 AWS IoT FleetWise 請求導向至指定區域的雙堆疊端點。您可以在設定檔或命令中使用 `--region` 選項指定區域。
```
$ aws configure set default.iotfleetwise.use_dualstack_endpoint true
```
不是針對所有命令使用雙堆疊端點,而是針對特定命令使用這些端點:
+ 您可以設定這些命令的 `--endpoint-url` 參數,以針對特定命令使用雙堆疊端點。例如,在下列命令中,您可以將 ** 取代為 `iotfleetwise..api.aws`。
```
aws iotfleetwise list-fleets \
--endpoint-url
```
+ 您可以在 Config AWS 檔案中設定個別的設定檔。例如,建立一個`use_dualstack_endpoint`設定為 true 的設定檔,以及一個未設定 的設定檔`use_dualstack_endpoint`。當您執行命令時,必須依據是否要使用雙堆疊端點來指定所要使用的設定檔。