设备顾问VPC端点 (Amazon PrivateLink) - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设备顾问VPC端点 (Amazon PrivateLink)

您可以通过创建接口终端节点在您的VPC和 Amazon IoT Core Device Advisor 测试端点(数据平面 VPC)之间建立私有连接。在将 Amazon IoT 设备部署到生产环境 Amazon IoT Core 之前,您可以使用此端点验证设备的可靠性和安全连接。Device Advisor 的预建测试可帮助您根据使用TLS、、MQTT、Device Shado w 和 Amazon IoT Job s 的最佳实践来验证您的设备软件。

Amazon PrivateLink为物联网设备使用的接口端点提供动力。此服务可帮助您在没有互联网网关、NAT设备、VPN连接或 Amazon Direct Connect 连接的情况下私下访问 Amazon IoT Core Device Advisor 测试端点。您中发送TCP和MQTT数据包VPC的实例不需要公有 IP 地址即可与 Amazon IoT Core Device Advisor 测试终端节点通信。你VPC和之间的流量 Amazon IoT Core Device Advisor 不会离开 Amazon Web Services 云。物联网设备与设备顾问测试用例之间的任何TLSMQTT通信都位于您的资源范围内 Amazon Web Services 账户。

每个接口端点均由子网中的一个或多个弹性网络接口表示。

要了解有关使用接口VPC终端节点的更多信息,请参阅 Amazon VPC 用户指南中的接口VPC终端节点 (Amazon PrivateLink)

Amazon IoT Core Device Advisor VPC端点注意事项

在设置接口终端节点之前,请查看《Amazon VPC 用户指南》中的接口VPC终端节点属性和限制。继续之前,请注意以下各项:

  • Amazon IoT Core Device Advisor 目前支持从您的调用设备顾问测试端点(数据平面)VPC。消息代理使用数据面板通信发送和接收数据。它在 and packets 的帮助下TLS完成MQTT此操作。 VPC用于 Amazon IoT Core Device Advisor 将您的 Amazon IoT 设备连接到设备顾问测试端点的端点。此VPC端点不使用@@ 控制平面API动作。要创建或运行测试套件或其他控制平面APIs,请使用公共互联网上的控制台 Amazon SDK、或 Amazon 命令行界面。

  • 以下 Amazon Web Services 区域 支持VPC终端节点 Amazon IoT Core Device Advisor:

    • 美国东部(弗吉尼亚州北部)

    • 美国西部(俄勒冈)

    • 亚太地区(东京)

    • 欧洲地区(爱尔兰)

  • 设备顾问支持 MQTT X.509 客户端证书和RSA服务器证书。

  • VPC目前不支持@@ 端点策略

  • 有关如何创建连接VPC终端节点的资源的说明,请查看VPC终端节点先决条件。您必须创建私有VPC子网才能使用 Amazon IoT Core Device Advisor VPC终端节点。

  • 您的 Amazon PrivateLink 资源有配额。有关更多信息,请参阅 Amazon PrivateLink 配额

  • VPC端点仅支持IPv4流量。

为创建接口VPC终端节点 Amazon IoT Core Device Advisor

要开始使用VPC终端节点,请创建一个接口VPC终端节点。接下来,选择 Amazon IoT Core Device Advisor 作为 Amazon Web Services 服务。如果您使用 Amazon IoT Core Device Advisor 的是 Amazon CLI,请describe-vpc-endpoint-services致电确认您的可用区中是否存在 Amazon Web Services 区域。确认连接到端点的安全组允许TCP协议通信MQTT和TLS流量。例如,在美国东部(弗吉尼亚州北部)区域中,使用以下命令:

aws ec2 describe-vpc-endpoint-services --service-name com.amazonaws.us-east-1.deviceadvisor.iot

您可以使用以下服务名称 Amazon IoT Core 创建VPC终端节点:

  • com.amazonaws.region.deviceadvisor.iot

默认情况下,终端节点的私DNS有处于开启状态。这确保默认测试端点的使用保持在您的私有子网内。要获取您的账户或设备级别终端节点,请使用控制台 Amazon CLI 或 Amazon SDK。例如,如果您在公有子网或公共互联网上运行 get-endpoint,则可以获取您的端点并使用它来连接到 Device Advisor。有关更多信息,请参阅 Amazon VPC 用户指南中的通过接口终端节点访问服务

为了将MQTT客户端连接到VPC终端节点接口,该 Amazon PrivateLink 服务会在连接到您的私有托管区域中创建DNS记录VPC。这些DNS记录将 Amazon IoT 设备的请求定向到VPC端点。

控制对VPC终端节点 Amazon IoT Core Device Advisor 的访问

您可以使用VPC条件上下文密钥限制设备访问端点, Amazon IoT Core Device Advisor 并仅允许通过VPC端点进行访问。 Amazon IoT Core 支持以下VPC相关的上下文密钥:

注意

Amazon IoT Core Device Advisor 目前不支持VPC端点策略

以下策略授予 Amazon IoT Core Device Advisor 使用与事物名称匹配的客户端 ID 进行连接的权限。它还会发布到任何以事物名称为前缀的主题。该政策以设备连接到具有特定端点 ID 的VPC端VPC点为条件。此策略拒绝连接到您的公有 Amazon IoT Core Device Advisor 测试端点的尝试。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:Connect" ], "Resource": [ "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}" ], "Condition": { "StringEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } }, { "Effect": "Allow", "Action": [ "iot:Publish" ], "Resource": [ "arn:aws:iot:us-east-1:123456789012:topic/${iot:Connection.Thing.ThingName}/*" ] } ] }