AWS IoT
开发人员指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

AWS IoT 的安全和身份

所连接的每台设备必须拥有凭证才能访问消息代理或 Thing Shadows 服务。对于往返 AWS IoT 的所有流量,都必须通过传输层安全性 (TLS) 进行加密。必须保证设备凭证的安全,以便安全地将数据发送到消息代理。数据在 AWS IoT 和其他设备或 AWS 服务之间移动时,AWS 云安全机制可为数据提供保护。

 安全和身份概述
  • 您负责管理设备上的设备凭证(X.509 凭证、AWS 凭证)及 AWS IoT 中的策略。您负责将唯一身份分配给每台设备并管理设备或设备组的权限。

  • 设备将根据 AWS IoT 连接模式,使用您选择的身份 (X.509 证书、IAM 用户和组、Amazon Cognito 身份或自定义身份验证令牌) 通过安全连接来建立连接。

  • 在使用 AWS IoT 身份验证时,消息代理针对账户内的所有操作执行身份验证和授权。消息代理负责对设备执行身份验证、安全地接收设备数据,以及支持您通过策略授予设备的访问权限。

  • 在使用自定义身份验证时,自定义授权方负责对您的设备执行身份验证,并提供 AWS IoT/IAM 策略以对您账户中的操作进行授权。

  • AWS IoT 规则引擎根据您定义的规则将设备数据转发到其他设备和其他 AWS 服务。它使用 AWS 访问管理系统将数据安全地传输到最终目的地。

传输安全

AWS IoT 消息代理和事物影子服务可以对通过 TLS 版本 1.2 进行的所有通信加密。TLS 用于确保受 AWS IoT 支持的应用程序协议(MQTT、HTTP)的保密性。TLS 适用于许多编程语言和操作系统。

对于 MQTT,TLS 可将设备与代理之间的连接加密。AWS IoT 使用 TLS 客户端身份验证来识别设备。对于 HTTP,TLS 可将设备与代理之间的连接加密。身份验证工作委派给 AWS Signature 版本 4 执行。

TLS 密码包支持

AWS IoT 支持以下密码包:

  • ECDHE-ECDSA-AES128-GCM-SHA256(推荐)

  • ECDHE-RSA-AES128-GCM-SHA256(推荐)

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-ECDSA-AES256- GCM-SHA384

  • ECDHE-RSA-AES256- GCM-SHA384

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA

  • ECDHE-ECDSA-AES256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA256

  • AES128-SHA

  • AES256-GCM-SHA384

  • AES256-SHA256

  • AES256-SHA​

安全连接

AWS IoT 消息代理和事物影子服务依赖于使用加密和 TLS 1.2 进行通信。AWS IoT 支持以下 TLS 密码包:

  • ECDHE-ECDSA-AES128-GCM-SHA256(推荐)

  • ECDHE-RSA-AES128-GCM-SHA256(推荐)

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-ECDSA-AES256- GCM-SHA384

  • ECDHE-RSA-AES256- GCM-SHA384

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA

  • ECDHE-ECDSA-AES256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA256

  • AES128-SHA

  • AES256-GCM-SHA384

  • AES256-SHA256

  • AES256-SHA​

本页内容: