在离线时对客户端进行身份验证 - Amazon IoT Greengrass
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在离线时对客户端进行身份验证

通过离线身份验证,您可以配置 Amazon IoT Greengrass 核心设备,以便即使核心设备未连接到云,客户端设备也可以连接到核心设备。当您使用离线身份验证时,Greengrass 设备可以在部分离线环境中继续工作。

要对连接到云的客户端设备使用离线身份验证,需要满足以下条件:

  • 部署了 客户端设备身份验证 组件的 Amazon IoT Greengrass 核心设备。必须使用版本 2.3.0 或更高版本才能进行离线身份验证。

  • 在客户端设备初始连接期间,对核心设备进行云连接。

存储客户端凭证

当客户端设备首次连接到核心设备时,核心设备会调用 Amazon IoT Greengrass 服务。当被调用时,Greengrass 会将客户端设备的注册作为 Amazon IoT 事物进行验证。它还会验证设备是否具有有效证书。然后,核心设备将这些信息存储在本地。

设备下次连接时,Greengrass 核心设备会尝试使用 Amazon IoT Greengrass 服务验证客户端设备。如果无法连接到 Amazon IoT Greengrass,则核心设备将使用其本地存储的设备信息来验证客户端设备。

您可以配置 Greengrass 核心设备存储凭证的时长。通过在客户端设备身份验证组件配置中设置 clientDeviceTrustDurationMinutes 配置选项,您可以将超时时间从 1 分钟设置为 2,147,483,647 分钟。默认值为 1 分钟,这实际上会关闭离线身份验证。在设置此超时时,建议您考虑安全需求。您还应该考虑核心设备在与云断开连接时预计能运行多长时间。

核心设备会三次更新其凭证存储:

  1. 当设备首次连接到核心设备时。

  2. 如果核心设备已连接到云,则当客户端设备重新连接到核心设备时。

  3. 如果核心设备已连接到云,则每天一次刷新整个凭证存储。

当 Greengrass 核心设备刷新其凭证存储时,它会使用 ListClientDevicesAssociatedWithCoreDevice 操作。Greengrass 仅刷新此操作返回的设备。要将客户端设备与核心设备关联,请参阅关联客户端设备

要使用 ListClientDevicesAssociatedWithCoreDevice 操作,您必须向与运行 Amazon IoT Greengrass 的 Amazon Web Services 账户关联的 Amazon Identity and Access Management(IAM)角色添加操作权限。有关更多信息,请参阅 授权核心设备与 Amazon 服务交互