在域配置中配置 TLS 设置 - Amazon IoT Core
在域配置中配置 TLS 设置(控制台)在域配置中配置 TLS 设置(CLI)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在域配置中配置 TLS 设置

注意

此特征在中国不可用。

Amazon IoT Core 提供了预定义的安全策略,供您在域配置中自定义 TLS 1.2 和 TLS 1. 3 的传输层安全 (TLS) 设置。安全策略是 TLS 协议及其密码的组合,此协议及其密码用于确定在客户端和服务器之间的 TLS 协商期间所支持的协议和密码。借助支持的安全策略,您可以更灵活地管理设备的 TLS 设置,在连接新设备时采用最严格的 up-to-date 安全措施,并为现有设备保持一致的 TLS 配置。

下表描述了安全策略、其 TLS 版本和支持的区域:

安全策略名称 支持 Amazon Web Services 区域
物联网 SecurityPolicy _TLS13_1_1_3_2022_10 全部 Amazon Web Services 区域
物联网 SecurityPolicy _TLS13_1_1_2_2022_10 全部 Amazon Web Services 区域
物联网 SecurityPolicy _TLS12_1_1_2_2022_10 全部 Amazon Web Services 区域
物联网 SecurityPolicy _TLS12_1_1_0_2016_01 ap-east-1、ap-northeast-2、ap-southeast-1、ap-southeast-2、ca-central-1、cn-northeast-1、eu-west-2、eu-west-3、me-southeast-1、sa-east-1、us-east-1、us-east-2、-1、-2、us-west-1 us-gov-west us-gov-west
物联网 SecurityPolicy _TLS12_1_1_0_2015_01 ap-northeast-1、ap-southeast-1、eu-central-1、eu-west-1、us-east-1、us-west-2

中的安全策略名称 Amazon IoT Core 包括基于发布年份和月份的版本信息。如果您创建新的域配置,则安全策略将默认为 IoTSecurityPolicy_TLS13_1_2_2022_10。有关包含协议、TCP 端口和密码详细信息的安全策略的完整表,请参阅安全策略。 Amazon IoT Core 不支持自定义安全策略。有关更多信息,请参阅 运输安全 Amazon IoT Core

要在域配置中配置 TLS 设置,您可以使用 Amazon IoT 控制台或 Amazon CLI。

在域配置中配置 TLS 设置(控制台)

使用 Amazon IoT 控制台配置 TLS 设置

  1. 登录 Amazon Web Services Management Console 并打开Amazon IoT 控制台

  2. 要在创建新的域配置时配置 TLS 设置,请按照以下步骤操作。

    1. 在左侧导航窗格中,选择设置,然后从域配置部分选择创建域配置

    2. 创建域配置页面的自定义域设置 - 可选部分,从选择安全策略中选择安全策略。

    3. 按照小部件操作并完成其余步骤。选择创建域配置

  3. 要更新现有域配置中的 TLS 设置,请按照以下步骤操作。

    1. 在左侧导航窗格中,选择设置,然后在域配置下选择域配置。

    2. 域配置详细信息页面中,选择编辑。然后,在自定义域设置 - 可选部分的选择安全策略下,选择安全策略。

    3. 选择更新域配置

有关更多信息,请参阅创建域配置管理域配置

在域配置中配置 TLS 设置(CLI)

您可以使用 create-domain-configurationupdate-domain-configuration CLI 命令在域配置中配置 TLS 设置。

  1. 要使用 create-domain-configuration CLI 命令指定 TLS 设置,请执行以下操作:

    aws iot create-domain-configuration \
    --domain-configuration-name domainConfigurationName \
    --tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10

    此命令的输出可能如下所示:

    {
"domainConfigurationName": "test",
"domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
}

    如果您在未指定安全策略的情况下创建新的域配置,则该值将默认为:IoTSecurityPolicy_TLS13_1_2_2022_10

  2. 要使用 describe-domain-configuration CLI 命令描述 TLS 设置,请执行以下操作:

    aws iot describe-domain-configuration \
    --domain-configuration-name domainConfigurationName

    此命令可以返回包含 TLS 设置的域配置详细信息,如下所示:

    {
 "tlsConfig": {
 "securityPolicy": "IoTSecurityPolicy_TLS13_1_2_2022_10"
 }, 
 "domainConfigurationStatus": "ENABLED", 
 "serviceType": "DATA", 
 "domainType": "AWS_MANAGED", 
 "domainName": "d1234567890abcdefghij-ats.iot.us-west-2.amazonaws.com",
 "serverCertificates": [], 
 "lastStatusChangeDate": 1678750928.997, 
 "domainConfigurationName": "test", 
 "domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
}

  3. 要使用 update-domain-configuration CLI 命令更新 TLS 设置,请执行以下操作:

    aws iot update-domain-configuration \
    --domain-configuration-name domainConfigurationName \
    --tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10

    此命令的输出可能如下所示:

    {
"domainConfigurationName": "test",
"domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
}

  4. 要更新 ATS 端点的 TLS 设置,请运行 update-domain-configuration CLI 命令。您的 ATS 端点的域配置名称为 iot:Data-ATS

    aws iot update-domain-configuration \
    --domain-configuration-name "iot:Data-ATS" \
    --tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10

    此命令的输出可能如下所示:

    {
"domainConfigurationName": "iot:Data-ATS",
"domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/iot:Data-ATS"
}

有关更多信息,请参阅 Amazon API 参考UpdateDomainConfiguration中的CreateDomainConfiguration和。