AWS IOT -建立设备所有权和防止未经授权访问的最佳方法是什么？

Question

在AWS中，我没有看到任何在线解释，它描述了如何确保设备发布带有敏感数据的主题的最佳方法只能由设备所有者访问。

例如，Bob登录到他的智能手机应用程序，并使用科尼图进行身份验证。已经有一项关于身份池角色的策略，允许访问AWS，并且管理lambda在注册过程中调用了AttachPrincipalPolicy，并允许Bob访问AWS。

鲍勃拥有一个名为“恒温器”的设备，上面安装了一个x509证书，用于对AWS进行身份验证。它正在发布的主题有:/调温器/123/温度/75(系列:123，温度: 75)，鲍勃在他的智能手机上订阅了同一主题(/温控器/123/温度/*)

我们如何防止另一个用户Jill，谁经历了同样的设置，她的恒温器，使她访问AWS IOT，订阅/温控器/123/温度/*和读取鲍勃的私人数据？

我猜这与序列号有关，但在这种情况下，您如何将Bob的身份ID与设备的序列号联系起来呢？当用户和设备使用完全不同的身份验证机制(认知和X509)时，最好的方法是什么？

Answer 1

但在这种情况下，您如何将Bob的身份ID与设备的序列号联系起来？

ThingAttributes可以存储简单的设备所有者关系.将ownerID属性添加到设备中。或者在更复杂的场景中使用外部存储。

AWS在其MQTT主题设计文档中建议“在MQTT主题中包含任何相关的路由信息”。如果您有一个稳定的所有者，像jill/thermostat/123/temperature/*这样的主题模式可能会很有用。事物策略变量 {iot:Connection.Thing.Attributes[ownerID]}在IoT核心策略中可以使这些动态。

我们如何防止另一个用户，吉尔.读鲍勃的私人数据？

当Jill使用Amazon身份验证到IoT核心时，您的客户端代码或lambda可以生成特定于用户的IoT核心策略，以附加到Jill的用户标识作为欧斯流的一部分。该政策将被写成只允许Jill访问她的设备。