Device Advisor VPC 端點 (AWS PrivateLink) - AWS IoT Core
AWS IoT Core Device Advisor VPC 端點的考量事項為 AWS IoT Core Device Advisor建立界面 VPC 端點透過 VPC AWS IoT Core Device Advisor 端點控制對 的存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Device Advisor VPC 端點 (AWS PrivateLink)

您可以建立介面 VPC 端點,在 VPC 與 AWS IoT Core Device Advisor 測試端點 (資料平面) 之間建立私有連線。您可以在將 AWS IoT 裝置部署到生產環境 AWS IoT Core 之前,使用此端點來驗證裝置與 的可靠且安全連線。Device Advisor 的預先建置測試可協助依據最佳實務驗證您的裝置軟體對於 TLSMQTTDevice ShadowAWS IoT 工作 的使用。

AWS PrivateLink 支援與 IoT 裝置搭配使用的介面端點。此服務可協助您在不使用網際網路閘道、NAT 裝置、VPC 連線或 AWS Direct Connect 連接的情況下,以私有方式存取 AWS IoT Core Device Advisor 測試端點。您 VPC 中傳送 TCP 和 MQTT 封包的執行個體不需要公有 IP 地址,即可與 AWS IoT Core Device Advisor 測試端點通訊。VPC 與 AWS IoT Core Device Advisor 之間的流量不會離開 AWS 雲端。IoT 裝置與 Device Advisor 測試案例之間的任何 TLS 和 MQTT 通訊都會保留在您 AWS 帳戶的資源中。

每個介面端點都由子網路中的一個或多個彈性網路介面表示。

如需 VPC 端點的詳細資訊,請參閱《Amazon VPC 使用者指南》中的界面 VPC 端點 (AWS PrivateLink)

AWS IoT Core Device Advisor VPC 端點的考量事項

設定界面 VPC 端點之前,請務必檢閱《Amazon VPC 使用者指南》中的界面端點屬性和限制。繼續之前,請考慮以下項目:

  • AWS IoT Core Device Advisor 目前支援從您的 VPC 呼叫 Device Advisor 測試端點 (資料平面)。訊息代理程式使用資料平面通訊來傳送和接收資料。它藉由 TLS 和 MQTT 封包的協助做到這一點。將 AWS IoT 裝置 AWS IoT Core Device Advisor 連線至 Device Advisor 測試端點的 VPC 端點。此 VPC 端點不會使用控制平面 API 動作。若要建立或執行測試套件或其他控制平面 APIs,請透過公有網際網路使用 主控台、 AWS 開發套件或 AWS 命令列界面。

  • 下列 AWS 區域 支援 的 VPC 端點 AWS IoT Core Device Advisor:

    • 美國東部 (維吉尼亞北部)

    • 美國西部 (奧勒岡)

    • 亞太區域 (東京)

    • 歐洲 (愛爾蘭)

  • Device Advisor 支援具有 X.509 用戶端憑證和 RSA 伺服器的 MQTT。

  • 目前不支援 VPC 端點政策

  • 如需如何建立資源 (連接 VPC 端點) 的指示,請檢查 VPC 端點的必要條件。您必須建立 VPC 和私有子網路,才能使用 AWS IoT Core Device Advisor VPC 端點。

  • 資源上有配額 AWS PrivateLink 。如需詳細資訊,請參閱 AWS PrivateLink 配額

  • VPC 端點僅支援 IPv4 流量。

為 AWS IoT Core Device Advisor建立界面 VPC 端點

若要開始使用 VPC 端點,請建立介面 VPC 端點。接著,選取 AWS IoT Core Device Advisor 做為 AWS 服務。如果您使用的是 AWS CLI,請呼叫 describe-vpc-endpoint-services 以確認 AWS IoT Core Device Advisor 存在於您 中的可用區域中 AWS 區域。確認連接到端點的安全群組允許 MQTT 和 TLS 流量進行 TCP 協定通訊。例如,在美國東部 (維吉尼亞北部) 區域,使用下列命令:

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.deviceadvisor.iot

您可以使用 AWS IoT Core 下列服務名稱為 建立 VPC 端點:

  • com.amazonaws.region.deviceadvisor.iot

根據預設,端點的私有 DNS 為開啟。這可確保使用預設測試端點會保留在您的私有子網路中。若要取得您的帳戶或裝置層級端點,請使用 主控台 AWS CLI 或 AWS SDK。例如,如果您在公有子網路或公用網際網路上執行 get-point,您可以取得端點並使用它來連線至 Device Advisor。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的透過介面端點存取服務

若要將 MQTT 用戶端連線至 VPC 端點介面, AWS PrivateLink 服務會在連接到 VPC 的私有託管區域中建立 DNS 記錄。這些 DNS 記錄會將 AWS IoT 裝置的要求導向至 VPC 端點。

透過 VPC AWS IoT Core Device Advisor 端點控制對 的存取

您可以使用 VPC 條件內容金鑰來限制裝置對 的存取, AWS IoT Core Device Advisor 並僅允許透過 VPC 端點存取。 AWS IoT Core 支援下列 VPC 相關內容金鑰:

注意

AWS IoT Core Device Advisor 目前不支援 VPC 端點政策

下列政策授予許可,以 AWS IoT Core Device Advisor 使用符合物件名稱的用戶端 ID 連線至 。它也會發佈至以物件名稱為前置詞的任何主題。該政策取決於連接到具有特定 VPC 端點 ID 的 VPC 端點的裝置。此政策會拒絕與公有 AWS IoT Core Device Advisor 測試端點的連線嘗試。

JSON
{
"Version": "2012-10-17",
    "Statement": [
        {
"Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
            ],
            "Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-1a2b3c4d"
                }
            }
            
        },
        {
"Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*"
            ]
        }
    ]
}