共计 4581 个字符,预计需要花费 12 分钟才能阅读完成。
这篇文章给大家介绍 AWS 物联网中如何将设备安全地接入 AWS IoT,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。
1 简介
AWS IoT 解决方案是一个全托管的云平台,使互联设备可以轻松安全地与云应用程序及其他设备交互。AWS IoT 可以支持数十亿太设备和数万亿条消息,并且可以对这些消息进行处理并将其安全可靠地路由至 AWS 终端节点和其他设备。AWS IoT 平台支持您将设备连接到 AWS 服务和其他设备,保证数据和交互的安全,处理设备数据并对其执行操作,以及支持应用程序与即便处于离线状态的设备进行交互。
使用 AWS IoT 的第一步是将设备连接到 AWS IoT Core 服务。AWS IoT 支持多种接入协议,身份认证方法和授权策略。
2 AWS IoT 支持的协议
设备要接入 AWS IoT,首先要使用 AWS IoT 支持的协议来跟 IoT 平台交互。
2.1 HTTP 协议
http 协议是互联网中最为常见的协议。http 协议支持后面提到的所有认证和授权方式。但是在物联网的场景中,它也有协议开销比较大等确定,另外 http 只有请求响应的模式不支持物联网场景中非常重要的订阅模式,不能支持下行命令的下发。
2.2 MQTT 协议
MQTT 协议是物联网场景中使用最为广泛的协议,具有协议开销小,支持发布订阅等所有模式的有点。
2.3 MQTT over WEBSOCKET
MQTT over websocket 是基于 websocket 上的 MQTT 协议,使用 443 端口,在网络环境可达性上比 MQTT 更有优势,但是也相对复杂一些。
3 AWS IoT 支持的认证和授权方式
设备接入 AWS IoT 的时候,必须要进行认证,确认设备的合法身份。通过认证后,还需要对设备的请求进行鉴权,只有经过授权的请求才会被 AWS IoT 接受。不同的设备认证方式,其授权方式也可能有所不同。
AWS IoT 支持的认证方式有 4 种,分别是 IAM 身份、Cognito 身份、X.509 证书和自定义身份验证。
AWS IoT 支持的售前策略由 2 种,分别是 IAM policy 和 IoT policy。
4 准备工作
4.1 创建操作环境
在 aws 上创建一台 EC2 服务器,创建的过程中,需要创建一个角色来访问该 ec2
点击 创建新的 IAM 角色
点击 创建角色
选择 AWS 产品 – EC2,点击 下一步
选择 AdministratorAccess,点击 下一步,标签部分可以忽略,直接点击 下一步
输入指定角色名称,创建角色,再回到之前创建 EC2 的界面,刷新角色
然后继续 ec2 相关配置,直至创建成功(具体步骤略)。
4.2 配置操作环境
远程登录到创建的 ec2 服务器(具体过程略)
因为操作通过 AWS CLI 进行,而我创建是 ec2 中没有安装好 CLI,所以需要自己安装,安装的步骤参见 https://docs.aws.amazon.com/zh_cn/cli/latest/userguide/install-linux.html#install-linux-awscli,具体安装过程省略,可能会需要经过多次尝试,不同的操作系统版本会有微笑差异,自己体会吧。最终 CLI 安装成功,如下图:
配置 AWS CLI,其中的区域我选择的是美东 - 弗吉尼亚,所以填 us-east-1,输出格式通常为 json。
准备操作目录,现在创建一个新的操作目录 awsiotaccessdemo。
然后下载 aws iot 的 Root CA 证书。设备连接应该优先选择 ATS 端点,使用 ATS 的 CA 文件,因为后面的自定义身份验证暂时不支持 ATS 端点,所以也需要下载 VeriSign 端点的 CA 证书。
执行命令 wgethttps://www.amazontrust.com/repository/AmazonRootCA1.pem
再执行命令 wgethttps://www.symantec.com/content/en/us/enterprise/verisign/roots/VeriSign-Class%203-Public-Primary-Certification-Authority-G5.pem
安装依赖的软件包,执行如下命令
sudo yum install python-pip jq -y
pip install boto3 –user
pip install AWSIoTPythonSDK –user
pip install flask –user
pip install paho-mqtt –user
然后获取 Account Id,执行命令 account_id=`aws sts get-caller-identity | jq .Account|sed s/ //g `
获取 Account 的 IoT Endpoint 前缀,执行命令 endpoint_prefix=`aws iot describe-endpoint \
| jq .endpointAddress | sed s/ //g | awk -F . {print $1} `
再把刚刚获取的 Account Id 和 Endpoint 前缀配置到环境变量中,执行如下命令:
echo export account_id=$account_id
echo export endpoint_prefix=$endpoint_prefix ~/.bashrc
4.3 配置 IoT 消息接收监控页面
登录 AWS IoT 控制台,点击“测试”条目,输入订阅主题“IoTDemo/#”
点击“订阅主题”,后续所有 IoT Core 收到的消息都会在下方显示出来。
5 使用 IAM 身份认证接入
前面已经列出了 aws 支持的设备接入认证方式,本文将尝试以不同的身份验证方式接入。
用户可以使用 IAM 提供身份来认证设备。设备需要预置或者通过其他方式获取 security
credential,在使用 SigV4 的签名算法对请求进行签名。AWS
IoT 服务则通过签名来认证设备的身份,通过身份认证后,IoT 再根据身份拥有的 IAM Policy 来对请求进行鉴权。
IAM 身份认证方式示意图如下:
5.1 创建一个 IAM 用户,IoTDeviceUser
输入命令 aws iam create-user –user-name IoTDeviceUser
为 IoTDeviceUser 用户创建 AccessKey
输入命令 aws iam create-access-key \
–user-name IoTDeviceUser /tmp/IoT_demo_access_key
记录下 AccessKeyId 和 SecretAccessKey,输入以下命令:
AccessKeyId=`cat /tmp/IoT_demo_access_key| jq .AccessKey.AccessKeyId| sed s/ //g `
SecretAccessKey=`cat /tmp/IoT_demo_access_key| jq .AccessKey.SecretAccessKey| sed s/ //g `
登录到 IAM 控制台,查看刚刚创建的 IAM 用户
从上图可见成功创建了 IoTDeviceUser 用户,但是还没有指定策略。其实 IAM 用户的创建及策略操作等都可以在控制台进行,而且更方便,前面采用 CLI 只是为了体验一下操作。
5.2 设备使用 HTTP 协议接入
1)为设备创建 IAM Policy,输入命令:
device_IAM_http_policy_arn=`aws iam create-policy \
–policy-name IoTDeviceIAMHttpPolicy \
–policy-document {
\ Version\ : \ 2012-10-17\ ,
\ Statement\ : [
{
\ Sid\ : \ VisualEditor0\ ,
\ Effect\ : \ Allow\ ,
\ Action\ : \ iot:Publish\ ,
\ Resource\ : [
\ arn:aws:iot:us-east-1:${account_id}:topic/IoTDemo/device_IAM_http\
]
}
]
}
2)将 IAM Policy 绑定到 IAM 用户,执行命令
aws iam attach-user-policy –user-name IoTDeviceUser \
–policy-arn ${device_IAM_http_policy_arn}
把 IAM Policy 绑定到 IAM 用户,执行命令 aws iam attach-user-policy –user-name IoTDeviceUser \
–policy-arn ${device_IAM_http_policy_arn}
3)生成模拟设备程序
执行如下命令:
cat -EOF ~/awsIoTAccessDemo/device_IAM_http.py
#!/usr/bin/env python
# -*- coding: utf-8 -*-
import boto3
import argparse
import json
# 获取参数
parser = argparse.ArgumentParser(description= Send data to IoT Core)
parser.add_argument(–data , default= data from device_IAM_http ,
help= data to IoT core topic )
parser.add_argument(–AccessKeyId , required=True,
help= AccessKeyId )
parser.add_argument(–SecretAccessKey , required=True,
help= SecretAccessKey )
args = parser.parse_args()
data = args.data
access_key_id = args.AccessKeyId
secret_access_key = args.SecretAccessKey
device_name = device_IAM_http
region = us-east-1
topic = IoTDemo/ +device_name
iot_data_client = boto3.client(iot-data ,region_name=region,aws_access_key_id=access_key_id,aws_secret_access_key=secret_access_key)
response = iot_data_client.publish(
topic=topic,
qos=0,
payload=json.dumps({source :device_name, data :data})
)
EOF
注意:代码中的区域要填写正确。
4)运行模拟设备程序
python device_IAM_http.py –data data from device IAM http. \
–AccessKeyId ${AccessKeyId} –SecretAccessKey ${SecretAccessKey}
5)再去 IoT 控制台查看收到的消息
由上图可见消息来自刚刚创建的.py 文件,消息内容也正是文件中的字段,由此证明设备发送消息成功。
后续我将继续尝试用不同的身份认证和不同的协议接入。
关于 AWS 物联网中如何将设备安全地接入 AWS IoT 就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。
