将区域 AWS IoT Core 锁定到特定的 CA
Lock regional AWS IoT core to a specific CA
我在 AWS IoT 上与自定义 CA(证书颁发机构)合作。我想知道是否有办法将其锁定到我的 CA?即仅允许来自在连接启动时出示我的自定义 CA 证书(而不是 AWS IoT 内置证书)的设备的连接。
谢谢
如果您生成具有特定属性的证书,则可以使用策略中的条件。这种情况可能会限制连接到那些在证书中具有特定属性的连接。
例如
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"iot:Connect"
],
"Resource":[
"arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
],
"Condition":{
"ForAllValues:StringEquals":{
"iot:Certificate.Subject.Organization.List":[
"Example Corp",
"AnyCompany"
]
}
}
}
]
}
证书策略变量列表位于 https://docs.aws.amazon.com/iot/latest/developerguide/cert-policy-variables.html
我在 AWS IoT 上与自定义 CA(证书颁发机构)合作。我想知道是否有办法将其锁定到我的 CA?即仅允许来自在连接启动时出示我的自定义 CA 证书(而不是 AWS IoT 内置证书)的设备的连接。
谢谢
如果您生成具有特定属性的证书,则可以使用策略中的条件。这种情况可能会限制连接到那些在证书中具有特定属性的连接。
例如
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"iot:Connect"
],
"Resource":[
"arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
],
"Condition":{
"ForAllValues:StringEquals":{
"iot:Certificate.Subject.Organization.List":[
"Example Corp",
"AnyCompany"
]
}
}
}
]
}
证书策略变量列表位于 https://docs.aws.amazon.com/iot/latest/developerguide/cert-policy-variables.html