投稿日: May 4, 2022
AWS IoT Secure Tunneling を使用すると、リモートサイトで制限されたファイアウォールの背後にデプロイされているデバイスにアクセスできます。トンネルが作成されると、クライアントアクセストークン (CAT) のペアが生成され、接続元デバイスと接続先デバイスが Secure Tunneling サービスに接続するために使用します。これまでは、トークンを保存して再利用できたため、悪意のある使用の影響を受けやすくなっていました。今後は、接続が成功すると、ワンタイムトークンが取り消されます。接続が切断されると、CAT をローカルデバイスに保存してトークンの再配信メソッドを確立する代わりに、RotateTunnelAccessToken API を呼び出して、新しい CAT のペアを接続元デバイスと接続先デバイスに配信し、事前定義されたトンネル期間中に元のデバイスとの接続を再開できます。再接続すると、Secure Tunneling を使用してリモートデバイスに安全にアクセスし、トラブルシューティングを続行できます。
IoT デベロッパーとフリート管理者は、AWS Command Line Interface を使用して RotateTunnelAccessToken API を呼び出し、アクセスを回復できます。この機能を使用するためにデバイス側で必要なアクションはありません。接続の問題の発生場所に応じて、トークンローテーションは、接続元、接続先、または両方のモードで CAT のローテーションをサポートします。さらに、新しい CAT は、サブスクライブされた MQTT トピックを介して接続先デバイスに発行され、摩擦をさらに軽減します。この機能により、お客様は、トンネル期間が終了する前に同じ接続先デバイスに複数回アクセスできます。
ワンタイムトークンとトークンローテーションは、AWS IoT Device Management が利用可能なすべての AWS リージョンでご利用いただけます。RotateTunnelAccessToken API の使用は無料ですが、料金ページに記載されているとおり、トンネルを開くための費用は引き続き発生します。トンネルの作成を開始するには、AWS IoT コンソールにアクセスするか、AWS CLI を使用します。ワンタイムトークンとトークンローテーションの詳細については、RotateTunnelAccessToken API のドキュメントと AWS IoT Device Management Secure Tunneling のドキュメントをお読みください。