Greengrass 核心设备的密钥管理 - AWS IoT Greengrass
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Greengrass 核心设备的密钥管理

客户有责任保证在 Greengrass 核心设备上安全存储加密(公共和私有)密钥。在以下情况下,AWS IoT Greengrass 使用公钥和私钥:

  • IoT 客户端密钥与 IoT 证书一起使用,以便在 Greengrass 核心连接 AWS IoT Core 时对传输层安全性 (TLS) 握手进行身份验证。有关更多信息,请参阅AWS IoT Greengrass 的设备身份验证和授权

    注意

    密钥和证书也称为核心私钥和核心设备证书。

  • MQTT 服务器密钥用于 MQTT 服务器证书对核心设备和连接设备之间的 TLS 连接进行身份验证。有关更多信息,请参阅 AWS IoT Greengrass 的设备身份验证和授权

  • 本地 Secrets Manager 还使用 IoT 客户端密钥来保护用于加密本地机密的数据密钥,但您可以提供自己的私钥。有关更多信息,请参阅 密钥加密

Greengrass 核心支持使用文件系统权限、硬件安全模块或同时使用两者进行的私钥存储。如果您使用基于文件系统的私钥,您需要负责在核心设备上安全存储这些私钥。

在 Greengrass 核心上,您的私钥位置在 config.json 文件的 crypto 部分中指定。如果您将核心配置为使用客户提供的 MQTT 服务器证书的密钥,您需要负责轮换该密钥。有关更多信息,请参阅AWS IoT Greengrass 核心安全委托人

对于连接设备,您需要负责使 TLS 堆栈保持最新状态并保护私钥安全。私钥与设备证书一起使用,用于对与 AWS IoT Greengrass 服务的 TLS 连接进行身份验证。