将区域 AWS IoT Core 锁定到特定的 CA

Lock regional AWS IoT core to a specific CA

我在 AWS IoT 上与自定义 CA(证书颁发机构)合作。我想知道是否有办法将其锁定到我的 CA?即仅允许来自在连接启动时出示我的自定义 CA 证书(而不是 AWS IoT 内置证书)的设备的连接。

谢谢

如果您生成具有特定属性的证书,则可以使用策略中的条件。这种情况可能会限制连接到那些在证书中具有特定属性的连接。

例如

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "iot:Connect"
      ],
      "Resource":[
        "arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"
      ],
      "Condition":{
        "ForAllValues:StringEquals":{
          "iot:Certificate.Subject.Organization.List":[
            "Example Corp",
            "AnyCompany"
          ]
        }
      }
    }
  ]
}

证书策略变量列表位于 https://docs.aws.amazon.com/iot/latest/developerguide/cert-policy-variables.html