Greengrass 核心设备的密钥管理 - Amazon IoT Greengrass
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon IoT Greengrass Version 1在 2023 年 6 月 30 日之前,不再接收功能更新,只会收到安全补丁和错误修复。有关更多信息,请参阅 。Amazon IoT Greengrass V1维护政策. 强烈建议您迁移到Amazon IoT Greengrass Version 2,它补充说重要新功能对其他平台的支持.

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Greengrass 核心设备的密钥管理

客户有责任保证在 Greengrass 核心设备上安全存储加密(公共和私有)密钥。在以下情况下,Amazon IoT Greengrass 使用公钥和私钥:

  • IoT 客户端密钥与 IoT 证书一起使用,以便在 Greengrass 核心连接 Amazon IoT Core 时对传输层安全性 (TLS) 握手进行身份验证。有关更多信息,请参阅 Amazon IoT Greengrass 的设备身份验证和授权

    注意

    密钥和证书也称为核心私钥和核心设备证书。

  • MQTT 服务器密钥用于 MQTT 服务器证书对核心设备和客户端设备之间的 TLS 连接进行身份验证。有关更多信息,请参阅 Amazon IoT Greengrass 的设备身份验证和授权

  • 本地 Secrets Manager 还使用 IoT 客户端密钥来保护用于加密本地机密的数据密钥,但您可以提供自己的私钥。有关更多信息,请参阅 密钥加密

Greengrass 核心支持使用文件系统权限、硬件安全模块或同时使用两者进行的私钥存储。如果您使用基于文件系统的私钥,您需要负责在核心设备上安全存储这些私钥。

在 Greengrass 核心上,您的私钥位置在 config.json 文件的 crypto 部分中指定。如果您将核心配置为使用客户提供的 MQTT 服务器证书的密钥,您需要负责轮换该密钥。有关更多信息,请参阅 Amazon IoT Greengrass 核心安全委托人

对于客户端设备,您需要负责使 TLS 堆栈保持最新状态并保护私钥安全。私钥与设备证书一起使用,用于对与 Amazon IoT Greengrass 服务的 TLS 连接进行身份验证。