使用 AWS IoT 安全隧道连接远程设备 官方博客
2026-01-27 12:55:05
使用 AWS IoT 安全隧道连接远程设备
重点摘要
AWS IoT Device Management 的安全隧道功能现已降价 80,最大隧道持续时间为 12 小时。支持通过安全外壳协议SSH和虚拟网络连接VNC进行多种同时 TCP 连接。引入单次使用的访问令牌,提高了安全性并简化了访问管理。增强了基于浏览器的 SSH 支持,简化了远程工作流程。引言
当设备被部署在远程地点并受到严格防火墙限制时,您需要一种方法来访问这些设备进行故障排查、配置更新和其他操作任务。AWS IoT Device Management 的安全隧道功能正是为了帮助客户执行这些远程任务。
为了进一步提升客户体验,AWS 对该功能进行了重大更新。首先,AWS IoT Device Management 安全隧道功能的定价已降低 80,而最大隧道持续时间保持在 12 小时。通过改善成本效率,客户现在可以扩展安全隧道,以访问在限制防火墙后部署的设备群,满足日益增长的 AWS IoT 工作负载的需求。
其次,AWS 进一步简化了与远程设备的通信,支持使用安全外壳协议SSH、虚拟网络连接VNC或远程桌面协议RDP,并且支持多个同时 TCP 连接。通过多个同时的传输控制协议TCP连接,您可以建立隧道以访问基于 HTTP 的应用程序,这通常需要多个连接。例如,您现在可以远程访问运行在设备上的 Web 应用程序,以获取实时遥测数据或执行基于 Web 的图形用户界面的管理任务。
第三项改进是引入了单次使用的身份验证令牌。之前在建立安全隧道时,令牌可以被存储并重用,这使其易受恶意使用。通过更新的安全性改进,您现在可以在成功连接后撤销客户端访问令牌 (CAT)。当连接中断时,您可以调用 RotateTunnelAccessToken API 向源设备和目标设备传递一对新的 CAT,并在预定义的隧道期间与原有设备恢复连接。根据客户遇到连接问题的位置,令牌轮换支持在源、目标或两种模式下轮换 CAT。一旦重新连接,您可以安全地访问并继续使用安全隧道功能排查远程设备的问题。此外,新的 CAT 还将通过它们订阅的 MQTT 主题传送到目标设备。
最后,我们增加了对基于浏览器的 SSH 的支持。之前,您只能通过命令行接口CLI与源设备操作人员设备通过代理连接目标设备最终目标远程设备。从今天开始,您可以直接通过 AWS 控制台的嵌入式 SSH 终端连接到这些目标设备,而无需在源设备上设置本地代理。此功能显著改善了上手体验,消除了在操作人员设备上编译和安装本地代理的需要。这种简化的体验使您可以轻松扩展安全隧道的使用以进行远程操作,例如进行例行操作维护。
使用 AWS IoT 安全隧道
在本文中,我们将设置 IoT 设备目标设备,并通过 AWS IoT 控制台的浏览器界面连接到该目标设备。您也可以参考这个视频进行实时演示。
步骤 1: 设置目标设备
请设置 IoT 设备目标设备,在本次演示中,您可以使用AWS IoT 设备客户端或AWS IoT Greengrass。一旦您设置了“目标设备”,并且能够在 AWS IoT Core 中看到来自该设备的数据,就可以继续前往在浏览器中为此终端设备目标设备设置安全隧道。
步骤 2: 浏览器基础的隧道
在AWS IoT 控制台中选择:
管理所有设备物品选择您创建的设备,以下图所示,选择之前创建的测试设备。
黑石加速器下载步骤 3: 创建隧道
选择“创建安全隧道”
使用“快速设置”并选择“下一步”
您可以根据需要“编辑”详细信息,暂时我们将使用默认设置并“确认并创建”隧道。
在使用基于浏览器的安全隧道时,源的客户端访问令牌会通过嵌入式 SSH 终端自动传递给您,目标访问令牌则会传递给连接到 AWS IoT 的设备所预留的隧道 MQTT 主题。此过程消除了下载令牌的需求。如果您计划通过自定义方案传递目标令牌或通过本地 CLI 建立隧道,您也可以下载令牌。
一旦创建隧道,选择“通过浏览器 CLI 连接”认证选项。我们将选择“使用私钥”
在弹出窗口中,选择您的“用户名”和“私钥”,然后选择“连接”
一旦身份验证成功,您将看到如下终端窗口,显示“目标设备”终端。
在这个示例中,我使用的是AWS IoT Greengrass 设备,我们可以在这里执行“CAT”命令来查看连接到“目标设备”的状态。
您可以在此目标设备上执行所需的任务。如果连接中断,您可以向源/目标设备“发送新的访问令牌”以重新获得访问权限。完成后,您可以关闭并删除隧道,结束与目标设备的连接。
步骤 4: 结束并删除隧道
确认“删除”并选择“删除隧道”
同时,为避免任何持续费用,请删除您为此测试所创建的任何基础设施,例如 IoT 设备或 EC2 实例。
结论
在本文中,您学习了 AWS IoT 安全隧道如何为您的 IoT 设备目标设备创建安全通道,并通过 SSH 执行远程操作。此用例有很多种,例如调试或修复设备异常等。AWS IoT 安全隧道支持“私钥”SSH 身份验证,使您能够更轻松地监控设备异常、采取补救措施并在需要时恢复设备状态。通过80的价格降低、增加对同时 TCP 连接的支持、单次使用令牌、令牌轮换和基于浏览器的隧道,您可以更有效地扩大 IoT 部署并管理多个用例。
关于作者
Syed Rehan 是亚马逊网络服务AWS的全球 IoT 高级倡导者,常驻伦敦。他负责与大型企业的开发者和决策者合作,推动 AWS IoT 服务的采用。Syed 拥有深厚的 IoT 和云领域知识,与从初创企业到大型企业的全球客户合作,帮助他们构建 AWS 生态系统中的 IoT 解决方案。
Chelsea Pan 是亚马逊网络服务的高级产品经理,驻扎在西雅图。她负责 AWS IoT 设备管理服务的产品战略、路线图规划、业务分析和洞察、客户参与及其他产品管理领域。Chelsea 在她的职业生涯中主导了多个快速增长的安全产品的推出。
标签
aws、AWS IoT 设备管理 安全隧道、指南、动手实践、物联网、安全、安全隧道、SSH、逐步指南
