簡介

AWS IoT 解決方案是一個全托管的云平臺，使互聯(lián)設備可以輕松安全地與云應用程序及其他設備交互。AWS IoT 可支持數十億臺設備和數萬億條消息，并且可以對這些消息進行處理并將其安全可靠地路由至 AWS 終端節(jié)點和其他設備。AWS IoT 平臺支持您將設備連接到 AWS 服務和其他設備，保證數據和交互的安全，處理設備數據并對其執(zhí)行操作，以及支持應用程序與即便處于離線狀態(tài)的設備進行交互。由于 AWS IoT 與 AI 服務集成，您也可以使設備更智能。AWS IoT 還提供最全面的安全功能，以便您能夠創(chuàng)建預防性安全策略，并及時對潛在安全問題做出響應。

使用 AWS IoT 的第一步是將設備連接到 AWS IoT Core 服務。AWS IoT 支持多種接入協(xié)議，身份認證方法和授權策略。 這些不同的協(xié)議，認證和授權方式有多種有效的組合方式。您可以使用任意一種有效的組合方式將您的設備接入到 AWS IoT。

本系列文章首先介紹了這些協(xié)議，認證和授權方式的原理和細節(jié)，以及其分別所適應的場景，然后介紹了 AWS IoT 支持的所有有效的連接組合方式。每種支持的組合方式都提供了模擬設備的參考代碼，和運行模擬設備連接到 IoT 的步驟。注：模擬設備連接到 AWS China 的北京 Region。

AWS IoT支持的協(xié)議

設備要接入 AWS IoT，首先要使用 AWS IoT 支持的協(xié)議來跟 IoT 平臺交互。

• HTTP協(xié)議

Http 協(xié)議是互聯(lián)網中最為常見的協(xié)議。Http 協(xié)議下支持后面提到所有的認證和授權的方式。但是在物聯(lián)網的場景中，它也有著協(xié)議開銷比較大等缺點，另外 Http 只有請求響應的模式，不支持物聯(lián)網場景中非常重要的訂閱模式，不能支持下行命令的下發(fā)。

注：AWS IoT 只支持 Https 加密傳輸。

• MQTT 協(xié)議

MQTT 協(xié)議是物聯(lián)網場景中使用最為廣泛的協(xié)議，具有協(xié)議開銷小，支持發(fā)布訂閱等所有模式的優(yōu)點。

• MQTT OVER WEBSOCKET

MQTT over Websocket 是基于 Websocket 上的 MQTT 協(xié)議，也具備 MQTT 協(xié)議的優(yōu)點，另外它使用了 443 的端口，在網絡環(huán)境可達性上比MQTT 更有優(yōu)勢，但是也相對更為復雜一些。

AWS IoT 支持的認證和授權方式

設備接入 AWS IoT 的時候，必須要進行認證，確認設備的合法身份。通過認證后，還需要對設備的請求進行鑒權，只有經過授權的請求才會被 AWS IoT 接受。不同的設備認證方式，其授權方式也可能會有所不同。

AWS IoT 支持的認證方式有四種，分別是 IAM 身份，Amazon Cognito 身份，X.509 證書，和自定義身份驗證。

AWS IoT 支持的授權策略有兩種，分別是 IAM Policy 和 IoT Policy。

準備工作

• 創(chuàng)建操作環(huán)境

登陸 AWS China 管理控制臺，然后在 AWS 服務框輸入和選擇 EC2 服務。

啟動一個 EC2 虛機，選擇 Amazon Linux 2 AMI(HVM), SSD Volume Type。

在實例類型步驟，直接選擇下一步。

在配置實例詳細信息步驟，確保自動分配共有 IP 選擇了啟用，然后點擊創(chuàng)建新的 IAM 角色。

在彈出的窗口中選擇創(chuàng)建角色，然后依次選擇 AWS 服務，EC2，點擊下一步。

在 Attach 權限策略步驟，勾選 AdministratorAccess 策略，點擊點一步。

添加標簽步驟直接選擇下一步。

角色名稱處輸入
AWSIoTDeviceAccessWorkshop，點擊創(chuàng)建角色。

返回啟動虛機的窗口，確保 IAM 角色選擇剛才創(chuàng)建的
AWSIoTDeviceAccessWorkshop。

依次點擊下一步：添加存儲，下一步：添加標簽，下一步：配置安全組。

在配置安全組步驟，確保打開了 22 端口。

依次點擊審核和啟動，啟動。

依次選擇創(chuàng)建新密鑰對，輸入新密鑰對的名稱
AWSIoTDeviceAccessWorkshop，點擊下載密鑰對并保存密鑰文件。最后點擊啟動實例。

在啟動狀態(tài)窗口點擊實例 ID。

選中實例，并點擊連接。根據彈出的窗口的指導，SSH連接到操作環(huán)境中。

• 配置操作環(huán)境

配置 AWS CLI 權限。

AWS Access Key ID 和 AWS Secret Access Key 留空，Default region name 配置為 cn-north-1，Default output format 設置為 json。

準備操作目錄。

下載 AWS IoT 的 Root CA 文件。

設備連接應該優(yōu)先選擇 ATS 端點，使用 ATS 的 CA 文件。但是由于自定義身份驗證暫時不支持 ATS 端點，所以也需要下載 VeriSign 端點的 CA 證書。

安裝倚賴的軟件。

獲取 Account Id。

獲取 Account 的 IoT Endpoint 前綴。

把 Account Id 和 IoT 的 Endpoint 前綴配置到環(huán)境變量中。

• 配置 IoT消息接收監(jiān)控頁面

進入 AWS IoT 服務的控制臺。

在 AWS IoT 控制臺中，依次點擊測試，訂閱主題，在訂閱主題框里輸入 “IoTDemo/#”，然后點擊訂閱主題。

后續(xù)所有的 AWS IoT Core 收到的消息都會在下方的空白處顯示出來。這可以作為設備發(fā)送消息成功的驗證。

設備使用IAM 身份認證接入

您可以使用 IAM 提供的身份來認證設備。設備需要預置或者通過其他方式獲取 Security Credential，再使用 SigV4 的簽名算法對請求進行簽名。AWS IoT 服務則通過簽名來認證設備的身份。通過身份認證后，AWS IoT 再根據身份擁有的 IAM Policy來對請求進行鑒權。IAM 身份認證方式簡單易用，但是安全性較差，適用于測試等非正式場景。

IAM 身份認證方式示意圖如下圖：

• 創(chuàng)建 IAM身份和權限

首先，創(chuàng)建一個 IAM 用戶，IoTDeviceUser

為 IoTDeviceUser 用戶創(chuàng)建 Access Key。

記錄下 AccessKeyId 和 SecretAccessKey。

• 設備使用 HTTP 協(xié)議接入

為設備創(chuàng)建 IAM Policy。

把 IAM Policy 綁定 IAM 用戶。

生成設備模擬程序。

運行設備模擬程序。

然后在第 4.3 章節(jié)打開的控制臺中可以看到 AWS IoT 收到的消息。后面的場景類似，不再贅述。

• 設備使用MQTT OVER WEBSOCKET 接入

為設備創(chuàng)建 IAM Policy。

把 IAM Policy 綁定 IAM 用戶。

生成設備模擬程序。

運行設備模擬程序。

此設備模擬程序會一直運行，接受輸入的數據，發(fā)送到 AWS IoT Core，同時也訂閱自己發(fā)送消息的 topic。

輸入要發(fā)送到 AWS IoT 的消息，如 “data from device IAM websocket.”，設備會接收到自己發(fā)送的這個消息。同時，在4.3章節(jié)中打開的控制臺中也可以看到此消息。

執(zhí)行 Ctrl+C 停止程序。

資源清理（可選）