发布于: May 4, 2022
AWS IoT 安全隧道使客户能够访问部署在远程站点的受限防火墙后面的设备。创建隧道时,将会生成一对客户端访问令牌 (CAT),源目标和目标设备将使用该客户端访问令牌来连接到安全隧道服务。在此之前,可以存储并重复使用令牌,这就使得令牌容易被恶意使用。现在,在成功连接之后,将会调用单一用途令牌。连接中断时,客户可以调用 RotateTunnelAccessToken API 来将新的 CAT 对交付到源设备和目标设备,以便在预定义的隧道时长内恢复与原始设备的连接,而不会将 CAT 存储到本地设备并建立令牌重新交付方法。重新连接后,客户可以使用安全隧道安全地进行访问并继续排查远程设备问题。
IoT 开发人员和机群管理员可以使用 AWS Command Line Interface 调用 RotateTunnelAccessToken API 以重新获取访问权限。使用此功能无需进行任何设备端操作。令牌轮换支持在源模式、目标模式或者这两种模式下轮换 CAT,具体取决于客户遇到连接问题的位置。此外,新的 CAT 将通过订阅的 MQTT 主题发布至目标设备,以进一步减少摩擦。此功能使得客户能够在隧道持续时间耗尽之前多次访问相同的目标设备。
单一用途令牌和令牌轮换现已在提供 AWS IoT Device Management 的所有 AWS 区域中推出。RotateTunnelAccessToken API 可供免费使用,但您需要为开放隧道付费,费率如我们的定价页面所指定。要开始创建隧道,请访问 AWS IoT 控制台或使用 AWS CLI。要了解与单一用途令牌和令牌轮换相关的更多信息,请阅读 RotateTunnelAccessToken API 文档和 AWS IoT Device Management 安全隧道文档。