Greengrass 核心设备的密钥管理 - Amazon IoT Greengrass
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

您正在查看Amazon IoT Greengrass Version 1.Amazon IoT Greengrass Version 2是最新的主要版本Amazon IoT Greengrass. 有关使用Amazon IoT Greengrass V2,请参阅Amazon IoT Greengrass Version 2开发人员指南.

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Greengrass 核心设备的密钥管理

客户有责任保证在 Greengrass 核心设备上安全存储加密(公共和私有)密钥。在以下情况下,Amazon IoT Greengrass 使用公钥和私钥:

  • IoT 客户端密钥与 IoT 证书一起使用,以便在 Greengrass 核心连接 Amazon IoT Core 时对传输层安全性 (TLS) 握手进行身份验证。有关更多信息,请参阅Amazon IoT Greengrass 的设备身份验证和授权

    注意

    密钥和证书也称为核心私钥和核心设备证书。

  • MQTT 服务器密钥用于 MQTT 服务器证书对核心设备和连接设备之间的 TLS 连接进行身份验证。有关更多信息,请参阅Amazon IoT Greengrass 的设备身份验证和授权

  • 本地 Secrets Manager 还使用 IoT 客户端密钥来保护用于加密本地机密的数据密钥,但您可以提供自己的私钥。有关更多信息,请参阅密钥加密

Greengrass 核心支持使用文件系统权限、硬件安全模块或同时使用两者进行的私钥存储。如果您使用基于文件系统的私钥,您需要负责在核心设备上安全存储这些私钥。

在 Greengrass 核心上,您的私钥位置在 config.json 文件的 crypto 部分中指定。如果您将核心配置为使用客户提供的 MQTT 服务器证书的密钥,您需要负责轮换该密钥。有关更多信息,请参阅Amazon IoT Greengrass 核心安全委托人

对于连接设备,您需要负责使 TLS 堆栈保持最新状态并保护私钥安全。私钥与设备证书一起使用,用于对与 Amazon IoT Greengrass 服务的 TLS 连接进行身份验证。