Amazon IoT Greengrass Version 1 2023 年 6 月 30 日进入延长寿命阶段。有关更多信息,请参阅 Amazon IoT Greengrass V1 维护策略。在此日期之后,将 Amazon IoT Greengrass V1 不会发布提供功能、增强功能、错误修复或安全补丁的更新。在上面运行的设备 Amazon IoT Greengrass V1 不会中断,将继续运行并连接到云端。我们强烈建议您迁移到 Amazon IoT Greengrass Version 2,这样可以添加重要的新功能并支持其他平台。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Greengrass 核心设备的密钥管理
客户有责任保证在 Greengrass 核心设备上安全存储加密(公共和私有)密钥。在以下情况下,Amazon IoT Greengrass 使用公钥和私钥:
IoT 客户端密钥与 IoT 证书一起使用,以便在 Greengrass 核心连接 Amazon IoT Core 时对传输层安全性 (TLS) 握手进行身份验证。有关更多信息,请参阅Amazon IoT Greengrass 的设备身份验证和授权。
注意
密钥和证书也称为核心私钥和核心设备证书。
MQTT 服务器密钥用于 MQTT 服务器证书对核心设备和客户端设备之间的 TLS 连接进行身份验证。有关更多信息,请参阅Amazon IoT Greengrass 的设备身份验证和授权。
本地 Secrets Manager 还使用 IoT 客户端密钥来保护用于加密本地机密的数据密钥,但您可以提供自己的私钥。有关更多信息,请参阅密钥加密。
Greengrass 核心支持使用文件系统权限、硬件安全模块或同时使用两者进行的私钥存储。如果您使用基于文件系统的私钥,您需要负责在核心设备上安全存储这些私钥。
在 Greengrass 核心上,您的私钥位置在 config.json 文件的 crypto 部分中指定。如果您将核心配置为使用客户提供的 MQTT 服务器证书的密钥,您需要负责轮换该密钥。有关更多信息,请参阅Amazon IoT Greengrass 核心安全主体。
对于客户端设备,您需要负责使 TLS 堆栈保持最新状态并保护私钥安全。私钥与设备证书一起使用,用于对与 Amazon IoT Greengrass 服务的 TLS 连接进行身份验证。