![42IoT Policyの例
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:Connect"
],
"Resource": [
"arn:aws:iot:ap-northeast-1:123456789012:client/${iot:Connection.Thing.ThingName}”
]
},
{
”Effect”: ”Allow”,
”Action”: [
”iot:Subscribe”
],
”Resource”: [
”arn:aws:iot:ap-northeast-
1:123456789012:topicfilter/devio/${iot:Connection.Thing.ThingName}/location"
]
…以下省略](https://image.slidesharecdn.com/devio2019arai-191101145736/85/AWS-IoT-42-320.jpg)
![43IoT Policyの例
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:Connect"
],
"Resource": [
"arn:aws:iot:ap-northeast-1:123456789012:client/${iot:Connection.Thing.ThingName}”
]
},
{
”Effect”: ”Allow”,
”Action”: [
”iot:Subscribe”
],
”Resource”: [
”arn:aws:iot:ap-northeast-
1:123456789012:topicfilter/devio/${iot:Connection.Thing.ThingName}/location"
]
…以下省略](https://image.slidesharecdn.com/devio2019arai-191101145736/85/AWS-IoT-43-320.jpg)
イマドキ!ユースケース別に見るAWS IoT への接続パターン
- 2. 2自己紹介 新井 成一(あらい せいいち) • 社歴 (1年半) • 2018年4月にサーバーレス開発部にJoin • これまで携わった案件 • APIのバックエンド開発: 2件 • IoTのバックエンド開発: 6件 • 好きなAWSサービス • Amazon API Gateway, AWS IoT など
- 5. 5 答えるのが難しい…
- 11. 11今回する/しない話 今回する話 • AWS IoTの仕様の話 • どこにつなげれるのか? (WHERE) • どうやってつなぐのか? (HOW) • 仕様を踏まえた上での接続パターンの紹介 今回しない話 • エッジサイドの話 • 他のクラウドベンダーの話 • AWS IoT以外のサービスとの接続パターン
- 13. 13INDEX • AWS IoTへの接続に関する話(仕様) • エンドポイント ← WHERE • 通信プロトコル ← HOW • 認証・認可 ← HOW • ユースケース別に接続パターンを紹介 • まとめ
- 17. 17AWS IoT Core is 何? AWS IoT Core は、インターネットに接続されたデ バイスから、クラウドアプリケーションやその他のデ バイスに簡単かつ安全に通信するためのマネージド型 クラウドサービスです。
- 20. 20INDEX • AWS IoTへの接続に関する話(仕様) • エンドポイント • 通信プロトコル • 認証・認可 • ユースケース別に接続パターンを紹介 • まとめ
- 23. 23忘れがちだけど大事なこと グローバルに展開するIoTシステム • 全デバイスが同一リージョンにアクセスする必要はない • 近場のリージョンに接続するパターンを考える 複数環境(本番・開発)を持ちたい場合 • 1アカウント内の同じエンドポイントを共有するとアクセ スログの混在する • アカウント毎のエンドポイントに接続するパターンを考 える
- 24. 24INDEX • AWS IoTへの接続に関する話(仕様) • エンドポイント • 通信プロトコル • 認証・認可 • ユースケース別に接続パターンを紹介 • まとめ
- 26. 26MQTTとは? Pub/Sub型のメッセージングモデルによる双方向通信 • ネットワークが不安定な場所でも動作しやすいように設計され ているので、軽量かつシンプル Publisher: メッセージの送信者 Subscriber: メッセージの受信者 Topic: メッセージの送受信先 Broker: メッセージを仕分けする仲介者
- 28. 28MQTT vs HTTPS • サーバーからデバイスへの命令(遠隔操作) • MQTT • 一度コネクションを確立すれば、サーバーが任意のタイミングでデバ イスに対してメッセージの通知が可能 • HTTPS • クライアントがサーバーに対し、「定期的なポーリング」もしくは 「ロングポーリング」を行う必要がある • データ通信量や命令の即時性に影響
- 30. 30INDEX • AWS IoTへの接続に関する話(仕様) • エンドポイント • 通信プロトコル • 認証・認可 • ユースケース別に接続パターンを紹介 • まとめ
- 33. 33TLSクライアント認証の例
- 35. 35TLSクライアント認証の例
- 41. 41認可はIoT Policyでおこなう IoT Policyは… • クライアント証明書にアタッチすることで権限を付与 • AWS IoT Coreへの細かい接続制限が可能
- 42. 42IoT Policyの例 { "Statement": [ { "Effect": "Allow", "Action": [ "iot:Connect" ], "Resource": [ "arn:aws:iot:ap-northeast-1:123456789012:client/${iot:Connection.Thing.ThingName}” ] }, { ”Effect”: ”Allow”, ”Action”: [ ”iot:Subscribe” ], ”Resource”: [ ”arn:aws:iot:ap-northeast- 1:123456789012:topicfilter/devio/${iot:Connection.Thing.ThingName}/location" ] …以下省略
- 43. 43IoT Policyの例 { "Statement": [ { "Effect": "Allow", "Action": [ "iot:Connect" ], "Resource": [ "arn:aws:iot:ap-northeast-1:123456789012:client/${iot:Connection.Thing.ThingName}” ] }, { ”Effect”: ”Allow”, ”Action”: [ ”iot:Subscribe” ], ”Resource”: [ ”arn:aws:iot:ap-northeast- 1:123456789012:topicfilter/devio/${iot:Connection.Thing.ThingName}/location" ] …以下省略
- 45. 45INDEX • AWS IoTへの接続に関する話(仕様) • エンドポイント • 通信プロトコル • 認証・認可 • ユースケース別に接続パターンを紹介 • まとめ
- 49. 49代表的な接続パターン Before ① デバイス TSLクライアント認証 MQTT/HTTPS シングルリージョン ② ユーザー SigV4認証 MQTT over WebSocket/HTTPS シングルリージョン ③ ユーザー カスタム認証 MQTT over WebSocket/HTTPS シングルリージョン
- 50. 50代表的な接続パターン After ①-A デバイス ? TSLクライアント認証 MQTT/HTTPS シングルリージョン ①-B デバイス ? TSLクライアント認証 MQTT/HTTPS シングルリージョン ①-C デバイス ? TSLクライアント認証 MQTT/HTTPS シングルリージョン ② ユーザー ? SigV4認証 MQTT over WebSocket/HTTPS シングルリージョン ③ ユーザー ? カスタム認証 MQTT over WebSocket/HTTPS シングルリージョン
- 52. 52凡例
- 61. 61①-A: キッティング登録 事前準備 初回起動 IoT Policyによって アクセス制御 MQTT/HTTPS ③ エンドポイントに対し てTLS接続を開始 ① TLSクライアント認証②
- 62. 62Tips クラウド側は楽
- 64. 64①-A: キッティング登録 事前準備 初回起動 各デバイス固有のクライアント証明 書・秘密鍵(以下、認証情報)を発行 クライアント証明書へ IoT Policyをアタッチ ① ②デバイス毎に固有の 認証情報を埋め込み ③
- 65. 65①-A: キッティング登録 事前準備 初回起動 各デバイス固有のクライアント証明 書・秘密鍵(以下、認証情報)を発行 クライアント証明書へ IoT Policyをアタッチ ① ②デバイス毎に固有の 認証情報を埋め込み ③
- 66. 66①-A: キッティング登録 事前準備 初回起動 各デバイス固有のクライアント証明 書・秘密鍵(以下、認証情報)を発行 クライアント証明書へ IoT Policyをアタッチ ① ②デバイス毎に固有の 認証情報を埋め込み ③
- 75. 75①-B: Bootstrap 事前準備 初回起動 ③ 新規認証情報の発行処理 ポリシーのアタッチ デバイス初期登録用 トピックへのPublish ① トピックへのメッ セージでLambda起動②
- 81. 81①-C: JITR (Just in Time Registration) ①-C デバイス 自前の認証局からデバイス毎に発行したクライアント証明書 TLSクライアント認証 MQTT/HTTPS シングルリージョン
- 82. 82①-C: JITR (Just in Time Registration) 事前準備 初回起動 自前の認証局のCA証明書 を事前登録
- 83. 83①-C: JITR (Just in Time Registration) 事前準備 初回起動 各デバイスに固有の認証 情報の発行と埋め込み
- 84. 84①-C: JITR (Just in Time Registration) 事前準備 初回起動 JITR登録完了通知で起 動するLambdaを用意
- 85. 85①-C: JITR (Just in Time Registration) 事前準備 初回起動 エンドポイントに対して TLS接続を開始①
- 86. 86①-C: JITR (Just in Time Registration) 事前準備 初回起動 ② 登録済みのCAから発行され た証明書かチェックする エンドポイントに対して TLS接続を開始①
- 87. 87①-C: JITR (Just in Time Registration) 事前準備 初回起動 検証が通れば、クラウド 側に証明書が登録される③ ② 登録済みのCAから発行され た証明書かチェックする エンドポイントに対して TLS接続を開始①
- 88. 88①-C: JITR (Just in Time Registration) 事前準備 初回起動 検証が通れば、クラウド 側に証明書が登録される③ ② 登録済みのCAから発行され た証明書かチェックする エンドポイントに対して TLS接続を開始① IoT Policyをアタッチし て権限を付与④
- 89. 89①-C: JITR (Just in Time Registration) 事前準備 初回起動 ⑤ そのうち接続が 確立できる IoT Policyをアタッチし て権限を付与④ 検証が通れば、クラウド 側に証明書が登録される③ ② 登録済みのCAから発行され た証明書かチェックする エンドポイントに対して TLS接続を開始①
- 93. 93②: Amazon Cognito Identities ② ユーザー Cognito Identity Poolsから取得した一時クレデンシャル SigV4認証 MQTT over WebSocket/HTTPS シングルリージョン
- 94. 94②: Amazon Cognito Identities IdPsのクライアントIDを登録 事前準備 初回 MQTT over WebSocket / HTTPS
- 95. 95②: Amazon Cognito Identities MQTT over WebSocket / HTTPS 事前準備 初回 ① ログイン
- 96. 96②: Amazon Cognito Identities MQTT over WebSocket / HTTPS 事前準備 初回 アクセストークンを送信し、 一時クレデンシャルに変換② ① ログイン
- 97. 97②: Amazon Cognito Identities MQTT over WebSocket / HTTPS 事前準備 初回 署名(SigV4)をリクエスト に追加して接続開始③ アクセストークンを送信し、 一時クレデンシャルに変換② ① ログイン
- 98. 98②: Amazon Cognito Identities MQTT over WebSocket / HTTPS 事前準備 初回 ④ アクセス可否 アクセストークンを送信し、 一時クレデンシャルに変換② ① ログイン 署名(SigV4)をリクエスト に追加して接続開始③
- 102. 102③: カスタム認証 ③ ユーザー 認証基盤から払い出したJWT(Json Web Token) カスタム認証 MQTT over WebSocket/HTTPS シングルリージョン
- 103. 103③: カスタム認証 キーペアの公開鍵 を登録 事前準備 初回 独自の認可 処理を実装 MQTT over WebSocket/HTTPS
- 104. 104③: カスタム認証 事前準備 初回 MQTT over WebSocket/HTTPS ログイン ①
- 105. 105③: カスタム認証 事前準備 初回 JWTをリクエスト に追加して送信 ② MQTT over WebSocket/HTTPS ログイン ①
- 106. 106③: カスタム認証 事前準備 初回 JWTをリクエスト に追加して送信 ③ 公開鍵で署名検証 ② MQTT over WebSocket/HTTPS ログイン ①
- 107. 107③: カスタム認証 事前準備 初回 ④ JWTをリクエスト に追加して送信 ペイロードの内容から 独自の処理を実行③ 公開鍵で署名検証 ② MQTT over WebSocket/HTTPS ログイン ①
- 108. 108③: カスタム認証 事前準備 初回 ④ JWTをリクエスト に追加して送信 ペイロードの内容から 独自の処理を実行③ 公開鍵で署名検証 ② MQTT over WebSocket/HTTPS ログイン ① ポリシーを返却⑤
- 109. 109③: カスタム認証 アクセス可否 事前準備 初回 ④ JWTをリクエスト に追加して送信 ペイロードの内容から 独自の処理を実行③ 公開鍵で署名検証 ② MQTT over WebSocket/HTTPS ログイン ① ⑥ ポリシーを返却⑤
- 112. 112紹介しきれなかった接続パターン マルチリージョンでの接続パターン • 自前CAを各リージョンに事前登録しておくことで、1つ のクライアント証明書でマルチリージョン接続が可能 Soracom SIMを利用する際の接続パターン • 証明書の発行を代行するサービス(Krypton)が利用可能 • 証明書なしでもAWS IoT Coreへメッセージを転送して くれるサービス(Funnel)が利用可能
- 113. 113まとめ 今回は下記3つの仕様を考慮した接続パターンをいくつ か紹介しました • エンドポイント • シングルリージョン/マルチリージョン • 通信プロトコル • MQTT/MQTT over WebSocket/HTTPS • 認証・認可 • TLSクライアント認証/Sigv4認証/カスタム認証
- 117. 117 ご清聴ありがとうございました