发布于: May 5, 2022
借助 Amazon IoT 安全隧道功能,客户可以访问部署在远程站点且位于严格限制的防火墙后的设备。创建隧道后,系统会生成一对客户端访问令牌(CAT),并由源设备和目标设备用于连接到安全隧道服务。在此之前,由于令牌可以存储和重复使用,因此容易被恶意使用。现在,成功连接后,一次性令牌将被撤销。连接断开时,客户可以调用 RotateTunnelAccessToken API 向源设备和目标设备提供一对新的 CAT,以便在预定义的隧道周期内恢复与原始设备的连接,而不是将 CAT 保存到本地设备并提供令牌重新发送方法。重新连接后,客户可以使用安全隧道功能安全地访问远程设备并继续排查问题。
IoT 开发人员和机群管理员可以使用 Amazon Command Line Interface 调用 RotateTunnelAccessToken API,从而重新获取访问权限。使用此功能无需在设备端执行任何操作。根据客户遇到连接问题的位置,令牌轮换支持在源模式、目标模式或源与目标模式下轮换 CAT。此外,新的 CAT 将通过其订阅的 MQTT 主题发布到目标设备,以进一步减少问题。此功能允许客户在隧道持续时间耗尽之前多次访问同一目标设备。
一次性令牌和令牌轮换功能已在由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域推出。使用 RotateTunnelAccessToken API 是免费的,但打开的隧道会根据我们定价页面的规定产生成本。要详细了解一次性令牌和令牌轮换功能,请参阅 RotateTunnelAccessToken API 文档和 Amazon IoT Device Management 安全隧道文档。