本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
设备顾问VPC端点 (Amazon PrivateLink)
您可以通过创建接口终端节点在您的VPC和 Amazon IoT Core Device Advisor 测试端点(数据平面 VPC)之间建立私有连接。在将 Amazon IoT 设备部署到生产环境 Amazon IoT Core 之前,您可以使用此端点验证设备的可靠性和安全连接。Device Advisor 的预建测试可帮助您根据使用TLS、、MQTT、Device Shado w 和 Amazon IoT Job s 的最佳实践来验证您的设备软件。
Amazon PrivateLink
每个接口端点均由子网中的一个或多个弹性网络接口表示。
要了解有关使用接口VPC终端节点的更多信息,请参阅 Amazon VPC 用户指南中的接口VPC终端节点 (Amazon PrivateLink)。
Amazon IoT Core Device Advisor VPC端点注意事项
在设置接口终端节点之前,请查看《Amazon VPC 用户指南》中的接口VPC终端节点属性和限制。继续之前,请注意以下各项:
-
Amazon IoT Core Device Advisor 目前支持从您的调用设备顾问测试端点(数据平面)VPC。消息代理使用数据面板通信发送和接收数据。它在 and packets 的帮助下TLS完成MQTT此操作。 VPC用于 Amazon IoT Core Device Advisor 将您的 Amazon IoT 设备连接到设备顾问测试端点的端点。此VPC端点不使用@@ 控制平面API动作
。要创建或运行测试套件或其他控制平面APIs,请使用公共互联网上的控制台 Amazon SDK、或 Amazon 命令行界面。 -
以下 Amazon Web Services 区域 支持VPC终端节点 Amazon IoT Core Device Advisor:
-
美国东部(弗吉尼亚州北部)
-
美国西部(俄勒冈)
-
亚太地区(东京)
-
欧洲地区(爱尔兰)
-
-
设备顾问支持 MQTT X.509 客户端证书和RSA服务器证书。
-
VPC目前不支持@@ 端点策略。
-
有关如何创建连接VPC终端节点的资源的说明,请查看VPC终端节点先决条件。您必须创建私有VPC子网才能使用 Amazon IoT Core Device Advisor VPC终端节点。
-
您的 Amazon PrivateLink 资源有配额。有关更多信息,请参阅 Amazon PrivateLink 配额。
-
VPC端点仅支持IPv4流量。
为创建接口VPC终端节点 Amazon IoT Core Device Advisor
要开始使用VPC终端节点,请创建一个接口VPC终端节点。接下来,选择 Amazon IoT Core Device Advisor 作为 Amazon Web Services 服务。如果您使用 Amazon IoT Core Device Advisor 的是 Amazon CLI,请describe-vpc-endpoint-services致电确认您的可用区中是否存在 Amazon Web Services 区域。确认连接到端点的安全组允许TCP协议通信MQTT和TLS流量。例如,在美国东部(弗吉尼亚州北部)区域中,使用以下命令:
aws ec2 describe-vpc-endpoint-services
--service-name
com.amazonaws.us-east-1.deviceadvisor.iot
您可以使用以下服务名称 Amazon IoT Core 创建VPC终端节点:
-
com.amazonaws.region.deviceadvisor.iot
默认情况下,终端节点的私DNS有处于开启状态。这确保默认测试端点的使用保持在您的私有子网内。要获取您的账户或设备级别终端节点,请使用控制台 Amazon CLI 或 Amazon SDK。例如,如果您在公有子网或公共互联网上运行 get-endpoint
为了将MQTT客户端连接到VPC终端节点接口,该 Amazon PrivateLink 服务会在连接到您的私有托管区域中创建DNS记录VPC。这些DNS记录将 Amazon IoT 设备的请求定向到VPC端点。
控制对VPC终端节点 Amazon IoT Core Device Advisor 的访问
您可以使用VPC条件上下文密钥限制设备访问端点, Amazon IoT Core Device Advisor 并仅允许通过VPC端点进行访问。 Amazon IoT Core 支持以下VPC相关的上下文密钥:
注意
Amazon IoT Core Device Advisor 目前不支持VPC端点策略。
以下策略授予 Amazon IoT Core Device Advisor 使用与事物名称匹配的客户端 ID 进行连接的权限。它还会发布到任何以事物名称为前缀的主题。该政策以设备连接到具有特定端点 ID 的VPC端VPC点为条件。此策略拒绝连接到您的公有 Amazon IoT Core Device Advisor 测试端点的尝试。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:Connect" ], "Resource": [ "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}" ], "Condition": { "StringEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } }, { "Effect": "Allow", "Action": [ "iot:Publish" ], "Resource": [ "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*" ] } ] }