运输安全 Amazon IoT Core - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

运输安全 Amazon IoT Core

TLS(传输层安全)是一种加密协议,旨在通过计算机网络进行安全通信。 Amazon IoT Core 设备网关要求客户使用设备到网关的连接,TLS对传输中的所有通信进行加密。TLS用于实现所支持的应用程序协议(MQTTHTTP、和 WebSocket)的机密性 Amazon IoT Core。TLS支持多种编程语言和操作系统。 Amazon 其中的数据由特定 Amazon 服务加密。有关其他 Amazon 服务上的数据加密的更多信息,请参阅该服务的安全文档。

TLS协议

Amazon IoT Core 支持以下版本的TLS协议:

  • TLS1.3

  • TLS1.2

安全策略

注意

此特征在中国不可用。

安全策略是TLS协议及其密码的组合,用于确定在客户端和服务器之间的TLS协商期间支持哪些协议和密码。您可以根据需要将设备配置为使用预定义的安全策略。请注意, Amazon IoT Core 这不支持自定义安全策略。

在连接设备时,您可以为设备选择一种预定义的安全策略 Amazon IoT Core。中最新的预定义安全策略的名称 Amazon IoT Core 包括基于其发布年份和月份的版本信息。默认的预定义安全策略为 IoTSecurityPolicy_TLS13_1_2_2022_10。要指定安全策略,您可以使用 Amazon IoT 控制台或 Amazon CLI。有关更多信息,请参阅 在域配置中配置TLS设置

下表描述了 Amazon IoT Core 支持的最新预定义安全策略。为了使策略名称能够容纳在标题行中,已将 IotSecurityPolicy_ 从名称中删除。

安全策略 TLS13_1_3_2022_10 TLS13_1_2_2022_10 TLS12_1_2_2022_10 TLS12_1_0_2016_01* TLS12_1_0_2015_01*
TCP端口

443/8443/8883

443/8443/8883

443/8443/8883

443 8443/8883 443 8443/8883
TLS协议
TLS1.2
TLS1.3
TLS密码
TLS_ AES _128 GCM _ SHA256
TLS_ AES _256 GCM _ _ SHA384
TLS_ CHACHA2 0_ 05_ POLY13 SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA
AES256-GCM-SHA384
AES256-SHA256
AES256-SHA
DHE-RSA-AES256-SHA
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-ECDSA-AES256-SHA
注意

TLS12_1_0_2016_01仅在以下版本中可用 Amazon Web Services 区域:ap-east-1、ap-northeast-2、ap-southeast-1、ap-southeast-2、ca-central-1、cn-northeast-1、cn-northeast-1、eu-west-2、eu-west-2,eu-west-3、me-south-1、sa-east-1、us-east-2、-1、-2、us-west-1、us-west-1。 us-gov-west us-gov-west

TLS12_1_0_2015_01仅在以下版本中可用 Amazon Web Services 区域:ap-northeast-1、ap-southeast-1、eu-central-1、eu-west-1、us-east-1、us-east-1、us-west-1、us-west-2。

有关 Amazon IoT Core中的传输安全性的重要注意事项

对于 Amazon IoT Core 使用连接的设备 MQTT,TLS加密设备与代理之间的连接,并 Amazon IoT Core 使用TLS客户端身份验证来识别设备。有关更多信息,请参阅客户端身份验证。对于 Amazon IoT Core 使用连接的设备 HTTP,TLS对设备与代理之间的连接进行加密,并将身份验证委托给 Amazon 签名版本 4。有关更多信息,请参阅《Amazon 一般参考》中的使用签名版本 4 签署请求

将设备连接到时 Amazon IoT Core,发送服务器名称指示 (SNI) 扩展名不是必需的,但强烈建议您这样做。要使用多账户注册自定义域VPC终端节点配置的TLS策略等功能,您必须使用SNI扩展程序并在host_name字段中提供完整的终端节点地址。host_name 字段必须包含您调用的端点。该端点必须是以下端点之一:

使用错误或无效host_name值的设备尝试的连接将失败。 Amazon IoT Core 将为 “自定义身份验证” CloudWatch 的身份验证类型记录失败。

Amazon IoT Core 不支持该SessionTicket TLS扩展

LoRaWAN无线设备的传输安全

LoRaWAN设备遵循金雅拓、Actility和Semtech在 LoRa WAN™SECURITY:为 LoRa 联盟准备的白皮书™ 中描述的安全实践。

有关 LoRaWAN设备传输安全的更多信息,请参阅LoRaWAN数据和传输安全

连接安全性

Amazon IoT Core 消息代理和 Device Shadow 服务依赖使用加密以及 TLS1.2 和 TLS 1. 3 的通信。 Amazon IoT Core 支持以下TLS密码套件:

  • ECDHE-ECDSA-AES128-GCM-SHA256(推荐)

  • ECDHE-RSA-AES128-GCM-SHA256(推荐)

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA

  • ECDHE-ECDSA-AES256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA256

  • AES128-SHA

  • AES256-GCM-SHA384

  • AES256-SHA256

  • AES256-SHA