终止支持通知:2026 年 10 月 7 日, Amazon 将停止对的支持。 Amazon IoT Greengrass Version 1 2026 年 10 月 7 日之后,您将无法再访问这些 Amazon IoT Greengrass V1 资源。如需了解更多信息,请访问迁移自 Amazon IoT Greengrass Version 1。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Greengrass 核心设备的密钥管理
客户有责任保证在 Greengrass 核心设备上安全存储加密(公共和私有)密钥。在以下情况下, Amazon IoT Greengrass 使用公钥和私钥:
IoT 客户端密钥与 IoT 证书一起使用,以便在 Greengrass 核心连接 Amazon IoT Core时对传输层安全性 (TLS) 握手进行身份验证。有关更多信息,请参阅 设备身份验证和授权 Amazon IoT Greengrass。
注意
密钥和证书也称为核心私钥和核心设备证书。
MQTT 服务器密钥用于 MQTT 服务器证书对核心设备和客户端设备之间的 TLS 连接进行身份验证。有关更多信息,请参阅 设备身份验证和授权 Amazon IoT Greengrass。
本地 Secrets Manager 还使用 IoT 客户端密钥来保护用于加密本地机密的数据密钥,但您可以提供自己的私钥。有关更多信息,请参阅 秘密加密。
Greengrass 核心支持使用文件系统权限、硬件安全模块或同时使用两者进行的私钥存储。如果您使用基于文件系统的私钥,您需要负责在核心设备上安全存储这些私钥。
在 Greengrass 核心上,您的私钥位置在 config.json 文件的 crypto 部分中指定。如果您将核心配置为使用客户提供的 MQTT 服务器证书的密钥,您需要负责轮换该密钥。有关更多信息,请参阅 Amazon IoT Greengrass 核心安全主体。
对于客户端设备,您需要负责使 TLS 堆栈保持最新状态并保护私钥安全。私钥与设备证书一起使用,用于对与 Amazon IoT Greengrass 服务的 TLS 连接进行身份验证。