本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
离线时对客户端进行身份验证
通过离线身份验证,您可以配置您的 Amazon IoT Greengrass 核心设备,以便即使核心设备未连接到云端,客户端设备也可以连接到核心设备。当您使用离线身份验证时,您的 Greengrass 设备可以在部分离线环境中继续工作。
要对连接到云端的客户端设备使用离线身份验证,您需要满足以下条件:
-
部署了客户端设备身份验证组件的 Amazon IoT Greengrass 核心设备。必须使用 2.3.0 或更高版本进行离线身份验证。
-
在客户端设备初始连接期间,核心设备的云连接。
存储客户凭证
当客户端设备首次连接到核心设备时,核心设备会调用该 Amazon IoT Greengrass 服务。当被调用时,Greengrass 会将客户端设备的注册作为事物进行验证。 Amazon IoT 它还会验证设备是否具有有效的证书。然后,核心设备将这些信息存储在本地。
设备下次连接时,Greengrass 核心设备会尝试使用服务验证客户端设备。 Amazon IoT Greengrass 如果无法连接 Amazon IoT Greengrass,则核心设备将使用其本地存储的设备信息来验证客户端设备。
您可以配置 Greengrass 核心设备存储凭据的时间长度。您可以通过在客户端设备身份验证组件配置中设置clientDeviceTrustDurationMinutes
配置选项,将超时时间从一分钟设置为 2,147,483,647 分钟。默认值为一分钟,这实际上会关闭离线身份验证。在设置此超时时,我们建议您考虑您的安全需求。您还应该考虑核心设备在与云端断开连接时预计能运行多长时间。
核心设备会三次更新其凭据存储:
-
当设备首次连接到核心设备时。
-
如果核心设备已连接到云端,则当客户端设备重新连接到核心设备时。
-
如果核心设备已连接到云端,则每天刷新一次整个凭据存储。
当 Greengrass 核心设备刷新其凭据存储区时,它会使用该操作。 ListClientDevicesAssociatedWithCoreDeviceGreengrass 仅刷新此操作返回的设备。要将客户端设备与核心设备关联,请参阅关联客户端设备。
要使用该ListClientDevicesAssociatedWithCoreDevice
操作,您必须向与运行的关联的 Amazon Identity and Access Management (IAM) 角色添加操作权限 Amazon IoT Greengrass。 Amazon Web Services 账户
有关更多信息,请参阅 授权核心设备与 Amazon
服务交互。