[AWS Black Belt Online Seminar] AWS IoTでのデバイス管理、運用について 資料及びQA公開

こんにちは、ソリューションアーキテクトの江原です。

先日(2018/3/27)開催致しました AWS Black Belt Online Seminar「AWS IoTでのデバイス管理、運用について」の資料を公開いたしました。当日、参加者の皆様から頂いた QA の回答と併せてご紹介致します。

• Slideshare
• PDF
• 録画（オンデマンドセミナー）

Q1. DirectConnect 経由で AWS IoT を閉域で使うことはできますか？

A1. AWS IoT の endpoint URI を解決できる必要があるために Direct Connect/public 接続である必要があります。

Q2. 証明書は自己証明書以外に利用できるものがあれば教えてください。

A2. 証明書の設定時の設定として Common Name に AWS IoT の Registration Code を入れられるのか？がポイントとなりますので、手順を確認の上、発行機関を利用する場合には本設定が可能であるかをご確認ください。手順の詳細はこちら をご参照下さい。

Q3. just in time 登録は、初回接続のみ実行されるのでしょうか？　ポリシーを使用して、デバイスの接続を拒否した場合、再度 just in time 登録は実行されますでしょうか？

A3. AWS IoT の Policy 設定でrejectした場合、有効化された証明書の挙動として policy のチェックの結果、reject されておりますので再度 Just in time registration が実行されることはありません。デバイスへ新規の証明書を発行した場合は、Just in time registration が実行されます。

Q4. AWS IoT が発行する証明書の期限はコントロールできないのでしょうか? 期限の確認方法はありますか？

A4. AWS IoT の発行する証明書の期限はユーザが定義することは出来ません。期限の確認方法は、一般的な openssl コマンドで確認可能です。
openssl x509 -noout -dates -in {対象の証明書}

Q5. Bootstrapping の HTTP パターンで、初回接続時に証明書を要求してくるデバイスが、 自社のシステムに接続してよいデバイスであることを確認するにはどうすれば良いでしょうか？

A5. 独自の認証をご検討ください。例えばユーザログインをすることで個別証明書 API を発行する仕組みなどの検討が必要です。証明書発行 API を non secure な状態で公開することにより証明書が取り放題となることが考えられます。

Q6. デバイスの状態管理を実現するためのベストプラクティスはありますか？

A6. shadow を用いることを推奨致します。shadow を利用する前提において、モバイルアプリから shadow の状態を元に、表示することにより実現可能です。資料上でもご説明していますが、デバイス側アプリケーションが正しく shadow へ通知を行うことが必要となります。

Q7. Bootstrapping の説明図で DymanoDB がありましたが、どのように利用されるのでしょうか？

A7. 発行した証明書の管理がしたい場合などにご利用頂ければと思います。必ずしも必須となるわけではございません。

以上です。

今後の AWS Black Belt Online Seminar のスケジュールは こちら です。皆様のご参加をお待ちしております。