プロビジョニング方式の選定
- Amazonが管理するCAで証明書を発行する(独自CAを運用しない)
- 事前に秘密鍵、証明書を発行&登録しない
これらを要件とする場合、フリートプロビジョニング(Fleet Provisioning)を選択することになります。
また、今回は(*1)CSRを用いた場合には触れません。
用語
-
プロビジョニングテンプレート
デバイスがAWS IoTと通信するために必要なリソース(モノ/証明書/ポリシー等)情報と、
それらリソースにアクセスするためのパラメータ(証明書ID等)を記述したJSONドキュメント -
クレーム証明書(ブートストラップ証明書)
初回接続時に使用するデバイス共通の証明書
個別証明書発行後は使用しない
フリートプロビジョニングの種類
1. 認証ユーザー
本記事では触れません。
スマホ連携などができる場合に有効な手段
以下、大まかな手順。
- AWS IoTにプロビジョニングテンプレートを登録
- スマホ連携などで認証を行い、クレーム証明書/秘密鍵を発行
- 発行したクレーム証明書/秘密鍵をデバイスに仮置き
- デバイスからクレーム証明書/秘密鍵を使用してAWS IoTに個別証明書/秘密鍵/トークン発行をリクエスト
- デバイスからクレーム証明書/秘密鍵/トークンを使用してAWS IoTにプロビジョニングをリクエスト
- プロビジョニング後は、個別証明書/秘密鍵を使用して接続
2. クレーム証明書
スマホ連携できなくても認証情報を配布する手段
事前に埋め込んだ共通証明書を用いてプロビジョニングする
以下、大まかな手順。
- AWS IoTにプロビジョニングテンプレートを登録
- クレーム証明書/秘密鍵をIoT Coreで発行
- 発行したクレーム証明書/秘密鍵をデバイスに格納
- デバイスからクレーム証明書/秘密鍵を使用してAWS IoTに個別証明書/秘密鍵/トークン発行をリクエスト
- デバイスからクレーム証明書/秘密鍵/トークンを使用してAWS IoTにプロビジョニングをリクエスト
- プロビジョニング後は、個別証明書/秘密鍵を使用して接続
実際の手順
1. AWS側
AWS IoT Coreのフリートプロビジョニングテンプレートを選択
- テンプレート名、説明を任意で入力
- 「プロビジョニングロール」は、個別証明書/秘密鍵、モノの発行を行う権限を持ったロールになります。
ロールの作成から任意の名前で作成します。必要なポリシーが自動でアタッチされます。 - 「プロビジョニング前のフック」は、プロビジョニング時にデバイスから送信したパラメータ内容をもとにプロビジョニング許可/拒否の判定を行うLambda関数の設定になります。
以下、「プロビジョニング前のフック」として設定するLambdaの例(公式から参照)
https://aws.amazon.com/jp/blogs/news/how-to-automate-onboarding-of-iot-devices-to-aws-iot-core-at-scale-with-fleet-provisioning/
import json
provision_response = {'allowProvisioning': False}
def isBlacklisted(serial_number):
#check serial against database of blacklisted serials
...
def lambda_handler(event, context):
# DISPLAY ALL ATTRIBUTES SENT FROM DEVICE
print("Received event: " + json.dumps(event, indent=2))
# Assume Device has sent a device_serial attribute
device_serial = event["parameters"]["SerialNumber"]
# Check serial against an isBlacklisted() function
if not isBlacklisted(device_serial):
provision_response["allowProvisioning"] = True
return provision_response
4.「AWS IoT レジストリを使用してデバイスフリートを管理する」は、モノの名前にプレフィックスを付与したり、モノのタイプを決めたりする場合に使用します。
以降の画面で設定します。
5.「デバイスのキーと値のペアを選択する」は、プロビジョニング時にデバイスに対して{キー:値}を送信する場合に使用します。
以降の画面で設定します。
6.「次へ」をクリック
次にプロビジョニングで登録されるモノのポリシー(アクセス許可)を設定します。
- 「アクション」でiotの全権限をワイルドカードで指定しています。
- 「リソースARN」はワイルドカードで全リソースを指定しています。
モノにアタッチするポリシーに関しては以下参照
https://docs.aws.amazon.com/iot/latest/developerguide/example-iot-policies.html - 「効果」は許可にチェックを入れます。
- 「次へ」をクリック
次にプロビジョニングで登録されるモノの名前やタイプを設定します。
- 「モノの名前プレフィックス」は、プロビジョニングで登録されるモノの名前に付くプレフィックスを設定します。
- 「モノのタイプ」はモノを管理しやすくするために設定します。
- 「グループ」もモノを監視しやすくするために設定します。
- 「次へ」をクリック
次にプロビジョニングしたデバイスに対して送信する情報を設定します。
1.上記設定でキーが'fleet-prov'、値が'test'のデータ({'fleet-prov': 'test'}
)が送信されることになります。
2.「テンプレート作成」をクリック
- 新規で作成する場合は、「証明書を生成します。」のリンクから証明書を発行し、ダウンロードします。ルートCAを取得していない場合は同時にAmazon Root CA 1の内容をファイル名「root.pem」としてダウンロードしておきます。
- クレーム証明書となる証明書を選択し、「ポリシーをアタッチ」します。
- アタッチが完了したら「テンプレートを有効化する」で完了になります。
デバイス側
https://github.com/aws/aws-iot-device-sdk-python-v2/tree/master/samples
AWS IoT Device SDK v2 for Pythonで用意されているサンプル(fleetprovisioning.py)を使用します。
AWS IoT Device SDK v2 for Pythonは以下でインストールできます。
$ python3 -m pip install awsiotsdk
サンプルコードの実行方法は以下になります。
python3 fleetprovisioning.py --endpoint <endpoint> --root-ca <file> --cert <file> --key <file> --templateName <name> --templateParameters <parameters>
以下パラメータ説明
- endpoint :エンドポイント(IoT Coreの設定から確認できます)
- root-ca :ダウンロードしたルートCA(root.pem)のパス
- cert :ダウンロードしたクレーム証明書(xxxxxxxxxx-certificate.pem.crt)のパス
- key :ダウンロードした秘密鍵(xxxxxxxxxx-private.pem.key)のパス
- templateName :作成したフリートプロビジョニングテンプレートの名前(fleet-prov-test-template)
- templateParameters :テンプレートパラメータ(IoT Coreのフリートのプロビジョニングテンプレートから確認できます)
templateParametersには"SerialNumber"と"AWS::IoT::Certificate::Id"を指定する必要があることがわかります。
"SerialNumber"の値は任意ですが、"AWS::IoT::Certificate::Id"の値はクレーム証明書のIDになります。
証明書IDは以下の部分になります。
templateParametersで指定する値は以下のようになります。
--templateParameters "{\"SerialNumber\": \"001\" , \"AWS::IoT::Certificate::Id\": \"b1xxxxxxxxxxxxxxxxxxxxxxxxxxxxx\"}"
実行結果は以下のようになります。
Connecting to None with client ID 'test-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx'...
Connected!
Subscribing to CreateKeysAndCertificate Accepted topic...
Subscribing to CreateKeysAndCertificate Rejected topic...
Subscribing to RegisterThing Accepted topic...
Subscribing to RegisterThing Rejected topic...
Publishing to CreateKeysAndCertificate...
Waiting... CreateKeysAndCertificateResponse: null
Published CreateKeysAndCertificate request..
Received a new message awsiot.iotidentity.CreateKeysAndCertificateResponse(certificate_id='xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx', certificate_ownership_token='xxxxx', certificate_pem='-----BEGIN CERTIFICATE-----xxxxxx-----END RSA PRIVATE KEY-----\n')
Publishing to RegisterThing topic...
Waiting... RegisterThingResponse: null
Published RegisterThing request..
Received a new message awsiot.iotidentity.RegisterThingResponse(device_configuration={'fleet-prov': 'test'}, thing_name='fleet-test-001')
Exiting Sample: success
Disconnecting...
Disconnected.
Received a new message awsiot.iotidentity.CreateKeysAndCertificateResponse(...
で個別証明書/秘密鍵/トークンを受信しています。
Received a new message awsiot.iotidentity.RegisterThingResponse(...
で登録完了応答を受信しています。
device_configuration={'fleet-prov': 'test'}
:プロビジョニングしたデバイスに対して送信する情報として設定した値を受信しています。
thing_name='fleet-test-001'
:モノの名前のプレフィックスとして設定した値にデバイスから送信した"SerialNumber"を付与した値を受信しています。
以下のようにIoT Coreにモノが追加されていれば完了です。
トラブルシューティング
「プロビジョニング前のフック」として設定するLambdaを設定するとプロビジョニングに失敗しました。
CloudWatchでログを確認したところ、Lambdaで参照している'device_serial'がKeyErrorとなっていました。
「プロビジョニング前のフック」として設定するLambdaの例で["parameters"]["device_serial"]
を参照していますが、
プロビジョニングテンプレートのJSONでは、"parameters":{"SerialNumber"...
と定義されており不一致が発生していました。
Lamdaの["parameters"]["device_serial"]
を["parameters"]["SerialNumber"]
に修正して解決。
参考情報
-
AWS IoTにおけるデバイスへの認証情報のプロビジョニング
-
AWS IoT のフリートプロビジョニングを試す
-
フリートプロビジョニングを使用したデバイス証明書がないデバイスのプロビジョニング