乐趣区

AWS操作指南如何将设备安全地接入AWS-IoT

1 简介

AWS IoT 解决方案是一个全托管的云平台,使互联设备可以轻松安全地与云应用程序及其他设备交互。AWS IoT 可以支持数十亿太设备和数万亿条消息,并且可以对这些消息进行处理并将其安全可靠地路由至 AWS 终端节点和其他设备。AWS IoT 平台支持您将设备连接到 AWS 服务和其他设备,保证数据和交互的安全,处理设备数据并对其执行操作,以及支持应用程序与即便处于离线状态的设备进行交互。

使用 AWS IoT 的第一步是将设备连接到 AWS IoT Core 服务。AWS IoT 支持多种接入协议,身份认证方法和授权策略。

2 AWS IoT 支持的协议

设备要接入 AWS IoT,首先要使用 AWS IoT 支持的协议来跟 IoT 平台交互。

2.1 HTTP 协议

http 协议是互联网中最为常见的协议。http 协议支持后面提到的所有认证和授权方式。但是在物联网的场景中,它也有协议开销比较大等确定,另外 http 只有请求响应的模式不支持物联网场景中非常重要的订阅模式,不能支持下行命令的下发。

2.2 MQTT 协议

MQTT 协议是物联网场景中使用最为广泛的协议,具有协议开销小,支持发布订阅等所有模式的有点。

2.3 MQTT over WEBSOCKET

MQTT over websocket 是基于 websocket 上的 MQTT 协议,使用 443 端口,在网络环境可达性上比 MQTT 更有优势,但是也相对复杂一些。

3 AWS IoT 支持的认证和授权方式

设备接入 AWS IoT 的时候,必须要进行认证,确认设备的合法身份。通过认证后,还需要对设备的请求进行鉴权,只有经过授权的请求才会被 AWS IoT 接受。不同的设备认证方式,其授权方式也可能有所不同。

AWS IoT 支持的认证方式有 4 种,分别是 IAM 身份、Cognito 身份、X.509 证书和自定义身份验证。

AWS IoT 支持的售前策略由 2 种,分别是 IAM policy 和 IoT policy。

4 准备工作

4.1 创建操作环境

在 aws 上创建一台 EC2 服务器,创建的过程中,需要创建一个角色来访问该 ec2

点击 ” 创建新的 IAM 角色 ”

点击 ” 创建角色 ”

选择 ”AWS 产品 ”->”EC2″,点击 ” 下一步 ”

选择 ”AdministratorAccess”,点击 ” 下一步 ”,标签部分可以忽略,直接点击 ” 下一步 ”

输入指定角色名称,” 创建角色 ”,再回到之前创建 EC2 的界面,刷新角色

然后继续 ec2 相关配置,直至创建成功(具体步骤略)。

4.2 配置操作环境

远程登录到创建的 ec2 服务器(具体过程略)

因为操作通过 AWS CLI 进行,而我创建是 ec2 中没有安装好 CLI,所以需要自己安装,安装的步骤参见 https://docs.aws.amazon.com/zh_cn/cli/latest/userguide/install-linux.html#install-linux-awscli,具体安装过程省略,可能会需要经过多次尝试,不同的操作系统版本会有微笑差异,自己体会吧。最终 CLI 安装成功,如下图:

配置 AWS CLI,其中的区域我选择的是美东 - 弗吉尼亚,所以填 us-east-1,输出格式通常为 json。

准备操作目录,现在创建一个新的操作目录 awsiotaccessdemo。

然后下载 aws iot 的 Root CA 证书。设备连接应该优先选择 ATS 端点,使用 ATS 的 CA 文件,因为后面的自定义身份验证暂时不支持 ATS 端点,所以也需要下载 VeriSign 端点的 CA 证书。

执行命令 wgethttps://www.amazontrust.com/repository/AmazonRootCA1.pem

再执行命令 wgethttps://www.symantec.com/content/en/us/enterprise/verisign/roots/VeriSign-Class%203-Public-Primary-Certification-Authority-G5.pem

安装依赖的软件包,执行如下命令

sudo yum install python-pip jq -y

pip install boto3 –user

pip install AWSIoTPythonSDK –user

pip install flask –user

pip install paho-mqtt –user

然后获取 Account Id,执行命令 account_id=`aws sts get-caller-identity | jq .Account|sed ‘s/”//g’`

获取 Account 的 IoT Endpoint 前缀,执行命令 endpoint_prefix=`aws iot describe-endpoint \

| jq .endpointAddress | sed ‘s/”//g’| awk -F . ‘{print $1}’`

再把刚刚获取的 Account Id 和 Endpoint 前缀配置到环境变量中,执行如下命令:

echo “export account_id=$account_id” >> ~/.bashrc

echo “export endpoint_prefix=$endpoint_prefix” >> ~/.bashrc

4.3 配置 IoT 消息接收监控页面

登录 AWS IoT 控制台,点击“测试”条目,输入订阅主题“IoTDemo/#”

点击“订阅主题”,后续所有 IoT Core 收到的消息都会在下方显示出来。

5 使用 IAM 身份认证接入

前面已经列出了 aws 支持的设备接入认证方式,本文将尝试以不同的身份验证方式接入。

用户可以使用 IAM 提供身份来认证设备。设备需要预置或者通过其他方式获取 security

credential,在使用 SigV4 的签名算法对请求进行签名。AWS

IoT 服务则通过签名来认证设备的身份,通过身份认证后,IoT 再根据身份拥有的 IAM Policy 来对请求进行鉴权。

IAM 身份认证方式示意图如下:

5.1 创建一个 IAM 用户,IoTDeviceUser

输入命令 aws iam create-user –user-name IoTDeviceUser

为 IoTDeviceUser 用户创建 AccessKey

输入命令 aws iam create-access-key \

    –user-name IoTDeviceUser > /tmp/IoT_demo_access_key

记录下 AccessKeyId 和 SecretAccessKey,输入以下命令:

AccessKeyId=`cat /tmp/IoT_demo_access_key| jq .AccessKey.AccessKeyId| sed ‘s/”//g’`

SecretAccessKey=`cat /tmp/IoT_demo_access_key| jq .AccessKey.SecretAccessKey| sed ‘s/”//g’`

登录到 IAM 控制台,查看刚刚创建的 IAM 用户

从上图可见成功创建了 IoTDeviceUser 用户,但是还没有指定策略。其实 IAM 用户的创建及策略操作等都可以在控制台进行,而且更方便,前面采用 CLI 只是为了体验一下操作。

5.2 设备使用 HTTP 协议接入

1)为设备创建 IAM Policy,输入命令:

device_IAM_http_policy_arn=`aws iam create-policy \

–policy-name IoTDeviceIAMHttpPolicy \

–policy-document “{

    \”Version\”: \”2012-10-17\”,

    \”Statement\”: [

        {

            \”Sid\”: \”VisualEditor0\”,

            \”Effect\”: \”Allow\”,

            \”Action\”: \”iot:Publish\”,

            \”Resource\”: [

                \”arn:aws:iot:us-east-1:${account_id}:topic/IoTDemo/device_IAM_http\”

            ]

        }

    ]

}” | jq .Policy.Arn | sed ‘s/”//g’`

2)将 IAM Policy 绑定到 IAM 用户,执行命令

aws iam attach-user-policy –user-name IoTDeviceUser \

–policy-arn ${device_IAM_http_policy_arn}

把 IAM Policy 绑定到 IAM 用户,执行命令 aws iam attach-user-policy –user-name IoTDeviceUser \

–policy-arn ${device_IAM_http_policy_arn}

3)生成模拟设备程序

执行如下命令:

cat <<-EOF > ~/awsIoTAccessDemo/device_IAM_http.py

!/usr/bin/env python

# -*- coding: utf-8 -*-

import boto3

import argparse

import json

获取参数

parser = argparse.ArgumentParser(description=’Send data to IoT Core’)

parser.add_argument(‘–data’, default=”data from device_IAM_http”,

            help=’data to IoT core topic’)

parser.add_argument(‘–AccessKeyId’, required=True,

            help=’AccessKeyId’)

parser.add_argument(‘–SecretAccessKey’, required=True,

            help=’SecretAccessKey’)

args = parser.parse_args()

data = args.data

access_key_id = args.AccessKeyId

secret_access_key = args.SecretAccessKey

device_name = ‘device_IAM_http’

region = ‘us-east-1’

topic = “IoTDemo/”+device_name

iot_data_client = boto3.client(‘iot-data’,region_name=region,aws_access_key_id=access_key_id,aws_secret_access_key=secret_access_key)

response = iot_data_client.publish(

    topic=topic,

    qos=0,

    payload=json.dumps({“source”:device_name, “data”:data})

)

EOF

    注意:代码中的区域要填写正确。

4)运行模拟设备程序

python device_IAM_http.py –data “data from device IAM http.” \

–AccessKeyId ${AccessKeyId} –SecretAccessKey ${SecretAccessKey}

5)再去 IoT 控制台查看收到的消息

由上图可见消息来自刚刚创建的.py 文件,消息内容也正是文件中的字段,由此证明设备发送消息成功。

后续我将继续尝试用不同的身份认证和不同的协议接入。

参考文档:

https://amazonaws-china.com/cn/blogs/china/connect-your-devices-to-aws-iot-securely-1/?nc1=b_rp

原文链接:https://www.jianshu.com/p/ef3ea84c6711

退出移动版