Amazon Web Services ブログ
新機能 – AWS IoT Greengrassのデプロイがシンプル化、セキュリティ強化、柔軟性も向上しました
AWS IoT Greengrass では、ローカルコンピューティング、メッセージング、データキャッシング、同期、および機械学習の推論機能をエッジデバイスに導入することができます。 最新のリリースでは、Greengrass上で動作する Lambda 関数のデプロイを簡素化し、新しい環境に Greengrass を導入できるように柔軟性を高め、さらに使いやすいセキュリティ機能も追加しています。 サードパーティアプリケーションや AWS サービスへの接続、アイソレーションとアクセス権の設定を行うための AWS IoT Greengrass の設定オプションの追加、信頼の根幹となる秘密鍵のハードウェアストレージなど、AWS IoT Greengrass デバイスの機能を拡張する新機能を今日から使用できます。
シンプルになったデプロイ: AWS IoT Greengrass コネクタ
エッジでAWS IoT Greengrass を使用すると、異なる産業用プロトコルを使用するデバイス間の変換、デバイスからオンプレミスのアプリケーションやサービスへのデータの移動、さらに基本的な AWS やサードパーティのサービスへの拡張など、さまざまな機能を実行できます。 新しい AWS IoT Greengrass コネクタを使用すると、これらのエッジにおけるよくあるケースをコードを書くことなく AWS IoT Greengrass で有効にできます。再利用可能なコネクタ設定を Amazon Simple Notification Service (Amazon SNS) や Amazon CloudWatch などのよく使われるサービスと接続でき,あとは構築を始めるだけです!
AWS IoT Greengrass コネクタを AWS IoT Greengrass グループに接続,デプロイするためには AWS IoT Greengrass コンソール、CLI、または API を使用することができます。 各コネクタは個別に設定可能で、操作を設定するために編集可能なパラメータがあります。たとえば Amazon SNS コネクタでは、通知を送信する SNSトピックの Amazonリソース名 (ARN) の入力を求める画面を表示します。このパラメータを設定すると、そのコネクタを AWS IoT Greengrass コアにデプロイすることができます。すると、定義済みの MQTTトピックを介してコネクタに送信されたメッセージは、自動的に Amazon SNS に通知として送信されます。
優れた柔軟性: AWS IoT Greengrass グループおよび Lambda 単位のアイソレーションと権限設定
お好きなデプロイ方法を使用して、さまざまなデバイスリソースにアクセスすることが可能となりました。新しいアイソレーションの設定では、AWS IoT Greengrass を他の Open Container Initiative (OCI) コンテナ環境にデプロイすることで、PoC と実行の高速化を図ることができ、さらに Bluetooth Low Energy (BLE) デバイスやセンサー、USBデバイス、Wi-Fi、カメラなどのデバイスリソースに直接アクセスすることも可能となります。 また、各機能に付与されている権限をより細かく制御することもできます。
新しい設定オプションを使用すると、Greengrass コンテナ環境なしで AWS IoT Greengrass グループと個々の Lambda 関数を実行できます。
新しいグループ ID とユーザー ID を Lambda 関数に割り当てることもできます。これにより、その ID に紐付けられた権限で関数を実行することができます。
コンテナではなく OS プロセスとして Greengrass Lambda 関数が実行することで、Docker コンテナ内で AWS IoT Greengrass を起動できます。これにより,Windows 10 または maxOS X マシンの Docker コンテナ内でも Greengrass を実行できるようになりました。
強化されたセキュリティ: AWS IoT Greengrass と Secrets Manager
より多くのエッジデバイスが AWS IoT Greengrass のようなサービスを使用して機密情報を収集・分析する場合ではセキュリティはもっとも懸念すべき事項です。 AWS IoT Greengrass と AWS Secrets Manager の新しい統合により、エッジデバイスで秘密情報(認証情報、キー、設定など)を安全に保存、アクセス、ローテーション、管理することが容易になりました。AWS IoT Greengrass コネクタと Lambda 関数は、AWS IoT Greengrass グループからリソースとして秘密情報にアクセスできるようになり、秘密情報を手動管理することや Lambda 関数内にハードコードもしくは環境変数に設定する必要がなくなりました。
まず、AWS Secrets Manager で秘密情報を保存、バージョン管理、ローテーションすることから始めます。AWS Secrets Manager にシークレットを保存すると、AWS IoT Greengrass コンソールのリソースタブからデプロイが可能になり、Lambda 関数と AWS IoT Greengrass コネクタで使用できるようになります。
AWS IoT Greengrass Secrets Manager は AWS IoT Greengrass コネクタと完全に統合されています。AWS IoT Greengrass コネクタがアプリケーションまたはサービスの認証にシークレットが必要な場合は、コネクタ設定の中でシークレットを選択し AWS IoT Greengrass コアにシークレットをデプロイすることができます。
強化されたセキュリティ: AWS IoT Greengrass でのハードウェアセキュリティの統合
AWS IoT Greengrass でのハードウェアセキュリティの統合により、AWS IoT Greengrass セキュリティモデルへのハードウェアによる Root of Trust 秘密鍵ストレージが導入されました。ハードウェアセキュアエレメントを活用し,加えてトランスポート層セキュリティ (TLS) 相互認証や伝送中および保存されたデータの暗号化をするための X.509 証明書を使用することができます。また、ハードウェアセキュリティエレメンツに秘密鍵を格納することで、AWS IoT Greengrass コア上でより安全にシークレットを保存するために AWS IoT Greengrass コネクタを使用することができます。
まず、セキュアエレメントで生成された秘密鍵を使用するよう AWS IoT Greengrass コアを設定します。次に、GreengrassコアはAWS IoT Greengrass SDK を使用したローカルデバイスと AWS IoT Cloud とのメッセージング中に、統合された PKCS#11 暗号化標準インタフェースを介してこの秘密鍵を Greengrass コアの ID を確認する鍵として使用し呼び出します。
Intel、NXP、Microchip、Infineon、Yubico、Soracom、STMicroelectronics、Zymbit などのセキュアエレメントベンダーは、AWS IoT Greengrassとのセキュアエレメントの統合をサポートします。 Logic Supply と Vitro Technology を含むベンダーは、セキュアエレメントが統合されたボードとゲートウェイを提供します。
始め方
コネクタを試してみたり、Lambda のアイソレーション設定を変更したり、IoT アーキテクチャに新しいセキュリティ機能を追加したりするにはどうすればいいですか?
- 使用可能な AWS IoT Greengrass コネクタのリストについては、開発者ガイドを参照してください。
- 新しいアイソレーションやアクセス権の設定を試すには、AWS IoT Greengrass コンソールで AWS IoT Greengrass グループと Lambda の設定を変更します。アイソレーションとアクセス権の設定の詳細については、開発者ガイドを参照してください。
- ここから Greengrass Docker ファイルにアクセスすることができます、または AWS ECR から Greengrass Docker イメージをプルする方法に関してはドキュメントを参照してください。
- Root of Trust 機能を備えたデバイスを購入する場合は、このリンク先から APN デバイスポータルのAWS IoT Greengrass ハードウェアセキュリティ統合を選択することで、互換性のあるハードウェアデバイスを確認できます。すでに適格なベンダーによって認定されたハードウェアをお持ちの場合は、Greengrass v1.7にアップデートしてください。また、この機能を有効にするファームウェアアップデートについては、ベンダーにお問い合わせください。
翻訳はSA 飯塚が担当しました。原文はこちら