本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在域配置中配置 TLS 设置
**注意**
此特征在中国不可用。
Amazon IoT Core 提供了[预定义的安全策略](transport-security.md#tls-policy-table),供您在域配置中自定义 TLS [1.2 和 TLS 1.](https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_1.2) [3 的传输层安全 (TLS](https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_1.3)) 设置。安全策略是 TLS 协议及其密码的组合,此协议及其密码用于确定在客户端和服务器之间的 TLS 协商期间所支持的协议和密码。借助支持的安全策略,您可以更灵活地管理设备的 TLS 设置,在连接新设备时采用最严格的 up-to-date安全措施,并为现有设备保持一致的 TLS 配置。
下表描述了安全策略、其 TLS 版本和支持的区域:
****
| 安全策略名称 | 支持 Amazon Web Services 区域 |
| --- | --- |
| Io TSecurity Policy\$1 \$11\$13\$12022\$110 TLS13 | 全部 Amazon Web Services 区域 |
| Io TSecurity Policy\$1 \$11\$12\$12022\$110 TLS13 | 全部 Amazon Web Services 区域 |
| Io TSecurity Policy\$1 \$11\$12\$12022\$110 TLS12 | 全部 Amazon Web Services 区域 |
| Io TSecurity Policy\$1 \$11\$10\$12016\$101 TLS12 | ap-east-1、ap-northeast-2、ap-south-1、ap-southeast-2、ca-central-1、cn-north-1、cn-northwest-1、eu-north-1、eu-west-2、eu-west-3、me-south-1、sa-east-1、us-east-2、us-west-1 |
| Io TSecurity Policy\$1 \$11\$10\$12015\$101 TLS12 | ap-northeast-1、ap-southeast-1、eu-central-1、eu-west-1、us-east-1、us-west-2 |
中的安全策略名称 Amazon IoT Core 包括基于发布年份和月份的版本信息。如果您创建新的域配置,则安全策略将默认为 `IoTSecurityPolicy_TLS13_1_2_2022_10`。有关包含协议、TCP 端口和密码详细信息的安全策略的完整表,请参阅[安全](transport-security.md#tls-policy-table)策略。 Amazon IoT Core 不支持自定义安全策略。有关更多信息,请参阅 [运输安全 Amazon IoT Core](transport-security.md)。
要在域配置中配置 TLS 设置,您可以使用 Amazon IoT 控制台或 Amazon CLI。
**Topics**
+ [在域配置中配置 TLS 设置(控制台)](#custom-tls-console)
+ [在域配置中配置 TLS 设置(CLI)](#custom-tls-cli)
## 在域配置中配置 TLS 设置(控制台)
**使用 Amazon IoT 控制台配置 TLS 设置**
1. 登录 Amazon Web Services 管理控制台 并打开[Amazon IoT 控制台](https://console.amazonaws.cn/iot/home)。
1. 要在创建新的域配置时配置 TLS 设置,请按照以下步骤操作。
1. 在左侧导航窗格中,选择**域配置**,然后选择**创建域配置**。
1. 在**创建域配置**页面的**自定义域设置 - *可选***部分,从**选择安全策略**中选择安全策略。
1. 按照小部件操作并完成其余步骤。选择**创建域配置**。
1. 要更新现有域配置中的 TLS 设置,请按照以下步骤操作。
1. 在左侧导航窗格中,选择**域配置**,然后选择域配置。
1. 在**域配置详细信息**页面中,选择**编辑**。然后,在**自定义域设置 - *可选***部分的**选择安全策略**下,选择安全策略。
1. 选择**更新域配置**。
有关更多信息,请参阅[创建域配置](https://docs.amazonaws.cn//iot/latest/developerguide/iot-custom-endpoints-configurable-custom.html#iot-custom-endpoints-configurable-custom-domain-config)和[管理域配置](iot-custom-endpoints-managing.md)。
## 在域配置中配置 TLS 设置(CLI)
您可以使用 [https://docs.amazonaws.cn//cli/latest/reference/iot/create-domain-configuration.html](https://docs.amazonaws.cn//cli/latest/reference/iot/create-domain-configuration.html) 和 [https://docs.amazonaws.cn//cli/latest/reference/iot/update-domain-configuration.html](https://docs.amazonaws.cn//cli/latest/reference/iot/update-domain-configuration.html) CLI 命令在域配置中配置 TLS 设置。
1. 要使用 [https://docs.amazonaws.cn//cli/latest/reference/iot/create-domain-configuration.html](https://docs.amazonaws.cn//cli/latest/reference/iot/create-domain-configuration.html) CLI 命令指定 TLS 设置,请执行以下操作:
```
aws iot create-domain-configuration \
--domain-configuration-name domainConfigurationName \
--tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10
```
此命令的输出可能如下所示:
```
{
"domainConfigurationName": "test",
"domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
}
```
如果您在未指定安全策略的情况下创建新的域配置,则该值将默认为:`IoTSecurityPolicy_TLS13_1_2_2022_10`。
1. 要使用 [https://docs.amazonaws.cn//cli/latest/reference/iot/describe-domain-configuration.html](https://docs.amazonaws.cn//cli/latest/reference/iot/describe-domain-configuration.html) CLI 命令描述 TLS 设置,请执行以下操作:
```
aws iot describe-domain-configuration \
--domain-configuration-name domainConfigurationName
```
此命令可以返回包含 TLS 设置的域配置详细信息,如下所示:
```
{
"tlsConfig": {
"securityPolicy": "IoTSecurityPolicy_TLS13_1_2_2022_10"
},
"domainConfigurationStatus": "ENABLED",
"serviceType": "DATA",
"domainType": "AWS_MANAGED",
"domainName": "d1234567890abcdefghij-ats.iot.us-west-2.amazonaws.com",
"serverCertificates": [],
"lastStatusChangeDate": 1678750928.997,
"domainConfigurationName": "test",
"domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
}
```
1. 要使用 [https://docs.amazonaws.cn//cli/latest/reference/iot/update-domain-configuration.html](https://docs.amazonaws.cn//cli/latest/reference/iot/update-domain-configuration.html) CLI 命令更新 TLS 设置,请执行以下操作:
```
aws iot update-domain-configuration \
--domain-configuration-name domainConfigurationName \
--tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10
```
此命令的输出可能如下所示:
```
{
"domainConfigurationName": "test",
"domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/test/34ga9"
}
```
1. 要更新 ATS 端点的 TLS 设置,请运行 [https://docs.amazonaws.cn//cli/latest/reference/iot/update-domain-configuration.html](https://docs.amazonaws.cn//cli/latest/reference/iot/update-domain-configuration.html) CLI 命令。您的 ATS 端点的域配置名称为 `iot:Data-ATS`。
```
aws iot update-domain-configuration \
--domain-configuration-name "iot:Data-ATS" \
--tls-config securityPolicy=IoTSecurityPolicy_TLS13_1_2_2022_10
```
此命令的输出可能如下所示:
```
{
"domainConfigurationName": "iot:Data-ATS",
"domainConfigurationArn": "arn:aws:iot:us-west-2:123456789012:domainconfiguration/iot:Data-ATS"
}
```
有关更多信息,请参阅《*Amazon API 参考*》中的[CreateDomainConfiguration](https://docs.amazonaws.cn//iot/latest/apireference/API_CreateDomainConfiguration.html)和[UpdateDomainConfiguration](https://docs.amazonaws.cn//iot/latest/apireference/API_UpdateDomainConfiguration.html)。