イマドキ!ユースケース別に見る AWS IoT への接続パターン

Transcript

1. イマドキ！ユースケース別に見る AWS IoT への接続パターン CX事業本部 新井成一

2. 2 自己紹介 新井 成一（あらい せいいち） • 社歴 (1年半) • 2018年4月にサーバーレス開発部にJoin

   • これまで携わった案件 • APIのバックエンド開発: 2件 • IoTのバックエンド開発: 6件 • 好きなAWSサービス • Amazon API Gateway, AWS IoT など

3. 3 IoT案件開始するとき、 いつも思うことがあります

4. 4 「AWS IoT使いたいんですが、 どうやって接続するんですか？」

5. 5 答えるのが難しい…

6. 6 IoT案件でよく思うこと Q「AWS IoTにどうやって接続 するのか？」 開発者 （クラウド側担当） お客様 接続方法っていろいろな パターンがあるからな…

7. 7 IoT案件でよく思うこと とりあえずつ ないでみたい MQTTで位置情 報収集と遠隔操 作がしたい Q「AWS IoTにどうやって接続 するのか？」

   開発者 （クラウド側担当） お客様 接続方法っていろいろな パターンがあるからな…

8. 8 IoT案件でよく思うこと A「ユースケースがわからない と答えられません！!」 とりあえずつ ないでみたい MQTTで位置情 報収集と遠隔操 作がしたい Q「AWS

   IoTにどうやって接続 するのか？」 開発者 （クラウド側担当） お客様 接続方法っていろいろな パターンがあるからな…

9. 9 IoT案件でよく思うこと A「ユースケースがわからない と答えられません！!」 とりあえずつ ないでみたい MQTTで位置情 報収集と遠隔操 作がしたい Q「AWS

   IoTにどうやって接続 するのか？」 開発者 （クラウド側担当） お客様 接続方法っていろいろな パターンがあるからな…

10. 10 ユースケース別に 接続パターンをまとめてみました

11. 11 今回する/しない話 今回する話 • AWS IoTの仕様の話 • どこにつなげれるのか？ (WHERE) •

    どうやってつなぐのか？ (HOW) • 仕様を踏まえた上での接続パターンの紹介 今回しない話 • エッジサイドの話 • 他のクラウドベンダーの話 • AWS IoT以外のサービスとの接続パターン

12. 12 対象者 IoTやAWSをなんとなく知っている アカウント持ってるけどAWS IoTまだ使ったことない AWS IoT使っているけど接続パターンを整理したい

13. 13 INDEX • AWS IoTへの接続に関する話（仕様） • エンドポイント ← WHERE •

    通信プロトコル ← HOW • 認証・認可 ← HOW • ユースケース別に接続パターンを紹介 • まとめ

14. 14 AWS IoTのサービス全体像

15. 15 AWS IoTのサービス全体像 エッジサイド向 け クラウド側でのデ バイス管理など データ収集後の 分析向け

16. 16 AWS IoTのサービス全体像 接続に関する 機能はココ

17. 17 AWS IoT Core is 何？ AWS IoT Core は、インターネットに接続されたデ

    バイスから、クラウドアプリケーションやその他のデ バイスに簡単かつ安全に通信するためのマネージド型 クラウドサービスです。

18. 18 AWS IoT Coreのいろいろな機能

19. 19 AWS IoT Coreのいろいろな機能 今回お話する 機能はココ

20. 20 INDEX • AWS IoTへの接続に関する話（仕様） • エンドポイント • 通信プロトコル •

    認証・認可 • ユースケース別に接続パターンを紹介 • まとめ

21. 21 エンドポイント アカウント・リージョンごとに1つ 東京リージョンを含むアジア、米国、欧州などの全13 リージョンで利用可能

22. 22 コンソールから簡単に確認できます

23. 23 忘れがちだけど大事なこと グローバルに展開するIoTシステム • 全デバイスが同一リージョンにアクセスする必要はない • 近場のリージョンに接続するパターンを考える 複数環境（本番・開発）を持ちたい場合 • 1アカウント内の同じエンドポイントを共有するとアクセ

    スログの混在する • アカウント毎のエンドポイントに接続するパターンを考 える

24. 24 INDEX • AWS IoTへの接続に関する話（仕様） • エンドポイント • 通信プロトコル •

    認証・認可 • ユースケース別に接続パターンを紹介 • まとめ

25. 25 通信プロトコル MQTT MQTT over WebSocket HTTPS

26. 26 MQTTとは？ Pub/Sub型のメッセージングモデルによる双方向通信 • ネットワークが不安定な場所でも動作しやすいように設計され ているので、軽量かつシンプル Publisher: メッセージの送信者 Subscriber: メッセージの受信者

    Topic: メッセージの送受信先 Broker: メッセージを仕分けする仲介者

27. 27 HTTPSとは？ クライアント・サーバー間のリクエスト/レスポンス型 通信 • クライアントがサーバーに要求（HTTPリクエスト）を送信 • サーバが応答（HTTPレスポンス）を返却

28. 28 MQTT vs HTTPS • サーバーからデバイスへの命令（遠隔操作） • MQTT • 一度コネクションを確立すれば、サーバーが任意のタイミングでデバ

    イスに対してメッセージの通知が可能 • HTTPS • クライアントがサーバーに対し、「定期的なポーリング」もしくは 「ロングポーリング」を行う必要がある • データ通信量や命令の即時性に影響

29. 29 AWS IoTのMQTTでは QoS2と Retain がサポートされていないので注意 ※その他は基本的にMQTTv3.1.1に準拠

30. 30 INDEX • AWS IoTへの接続に関する話（仕様） • エンドポイント • 通信プロトコル •

    認証・認可 • ユースケース別に接続パターンを紹介 • まとめ

31. 31 認証と認可について 認証とは？ • 相手が誰（何）であるかを確認すること 認可とは？ • 相手に特定の権限を与えること

32. 32 認証方法と認証情報 X.509 クライアント 証明書 TLSクライ アント認証 AWSアクセスキー （クレデンシャル） で作成する署名

    (SigV4) SigV4認証 ベアラートークン カスタム認 証

33. 33 TLSクライアント認証の例

34. 34 TLSクライアント認証の例 AWSコンソールからワンクリックで発行できます！

35. 35 TLSクライアント認証の例

36. 36 TLSクライアント認証の例 接続を要求

37. 37 TLSクライアント認証の例 サーバー証明書 ください クライアント証明書 ください ① ②

38. 38 TLSクライアント認証の例 TLSのセッション確立 サーバー証明書 ください ① ② クライアント証明書 ください

39. 39 SigV4認証の例 後ほど紹介します。

40. 40 カスタム認証の例 後ほど紹介します。

41. 41 認可はIoT Policyでおこなう IoT Policyは… • クライアント証明書にアタッチすることで権限を付与 • AWS IoT

    Coreへの細かい接続制限が可能

42. 42 IoT Policyの例 { "Statement": [ { "Effect": "Allow", "Action":

    [ "iot:Connect" ], "Resource": [ "arn:aws:iot:ap-northeast-1:123456789012:client/${iot:Connection.Thing.ThingName}” ] }, { ”Effect”: ”Allow”, ”Action”: [ ”iot:Subscribe” ], ”Resource”: [ ”arn:aws:iot:ap-northeast- 1:123456789012:topicfilter/devio/${iot:Connection.Thing.ThingName}/location" ] …以下省略

43. 43 IoT Policyの例 { "Statement": [ { "Effect": "Allow", "Action":

    [ "iot:Connect" ], "Resource": [ "arn:aws:iot:ap-northeast-1:123456789012:client/${iot:Connection.Thing.ThingName}” ] }, { ”Effect”: ”Allow”, ”Action”: [ ”iot:Subscribe” ], ”Resource”: [ ”arn:aws:iot:ap-northeast- 1:123456789012:topicfilter/devio/${iot:Connection.Thing.ThingName}/location" ] …以下省略

44. 44 ここまでのまとめ エンドポイント シングルリージョン マルチリージョン 通信プロトコル MQTT MQTT over WebSocket

    HTTPS 認証・認可 TLSクライアント認証 SigV4認証 カスタム認証 ※分解したが無理な組み合わせもあるので注意

45. 45 INDEX • AWS IoTへの接続に関する話（仕様） • エンドポイント • 通信プロトコル •

    認証・認可 • ユースケース別に接続パターンを紹介 • まとめ

46. 46 代表的な接続パターン ① デバイス TSLクライアント認証 MQTT/HTTPS シングルリージョン ② ユーザー SigV4認証

    MQTT over WebSocket/HTTPS シングルリージョン ③ ユーザー カスタム認証 MQTT over WebSocket/HTTPS シングルリージョン

47. 47 おしらせ 接続パターンを洗い出してみて わかったこと

48. 48 おしらせ 認証情報を いつ？どうやって？ 払い出すのかが重要だった

49. 49 代表的な接続パターン Before ① デバイス TSLクライアント認証 MQTT/HTTPS シングルリージョン ② ユーザー

    SigV4認証 MQTT over WebSocket/HTTPS シングルリージョン ③ ユーザー カスタム認証 MQTT over WebSocket/HTTPS シングルリージョン

50. 50 代表的な接続パターン After ①-A デバイス ？ TSLクライアント認証 MQTT/HTTPS シングルリージョン ①-B

    デバイス ？ TSLクライアント認証 MQTT/HTTPS シングルリージョン ①-C デバイス ？ TSLクライアント認証 MQTT/HTTPS シングルリージョン ② ユーザー ？ SigV4認証 MQTT over WebSocket/HTTPS シングルリージョン ③ ユーザー ？ カスタム認証 MQTT over WebSocket/HTTPS シングルリージョン

51. 51 注意事項 あくまでパターンで ベストプラクティスではないです 分かりやすさ重視のため 細かな手順は省いています

52. 52 凡例

53. 53 とりあえず デバイスをAWS IoTへ接続したい場合 （※主観ですが一番シンプル）

54. 54 ①-A: キッティング登録 ①-A デバイス AWS IoTからデバイス毎に発行したクライアント証明書 TLSクライアント認証 MQTT/HTTPS シングルリージョン

55. 55 ①-A: キッティング登録 事前準備 初回起動

56. 56 ①-A: キッティング登録 事前準備 初回起動 各デバイス固有のクライアント証明 書・秘密鍵（以下、認証情報）を発行 ①

57. 57 ①-A: キッティング登録 事前準備 初回起動 各デバイス固有のクライアント証明 書・秘密鍵（以下、認証情報）を発行 ① クライアント証明書へIoT Policy（権限）をアタッチ

    ②

58. 58 ①-A: キッティング登録 事前準備 初回起動 デバイス毎に固有の 認証情報を埋め込み ③ クライアント証明書へIoT Policy（権限）をアタッチ

    ② 各デバイス固有のクライアント証明 書・秘密鍵（以下、認証情報）を発行 ①

59. 59 ①-A: キッティング登録 事前準備 初回起動 エンドポイントに対し てTLS接続を開始 ① MQTT/HTTPS

60. 60 ①-A: キッティング登録 事前準備 初回起動 MQTT/HTTPS TLSクライアント認証 ② エンドポイントに対し てTLS接続を開始

    ①

61. 61 ①-A: キッティング登録 事前準備 初回起動 IoT Policyによって アクセス制御 MQTT/HTTPS ③

    エンドポイントに対し てTLS接続を開始 ① TLSクライアント認証 ②

62. 62 Tips クラウド側は楽

63. 63 Tips 生産現場でいろいろやることがある

64. 64 ①-A: キッティング登録 事前準備 初回起動 各デバイス固有のクライアント証明 書・秘密鍵（以下、認証情報）を発行 クライアント証明書へ IoT Policyをアタッチ

    ① ② デバイス毎に固有の 認証情報を埋め込み ③

65. 65 ①-A: キッティング登録 事前準備 初回起動 各デバイス固有のクライアント証明 書・秘密鍵（以下、認証情報）を発行 クライアント証明書へ IoT Policyをアタッチ

    ① ② デバイス毎に固有の 認証情報を埋め込み ③

66. 66 ①-A: キッティング登録 事前準備 初回起動 各デバイス固有のクライアント証明 書・秘密鍵（以下、認証情報）を発行 クライアント証明書へ IoT Policyをアタッチ

    ① ② デバイス毎に固有の 認証情報を埋め込み ③

67. 67 Tips インターネット接続 証明書を個別に発行&埋め込み作業 生産ラインを専用に用意

68. 68 生産現場でデバイス毎の認証情報を 払い出すのが難しい場合

69. 69 ①-B: Bootstrap ①-B デバイス 初回起動時にMQTTで取得したクライアント証明書 TLSクライアント認証 MQTT(must)/HTTPS シングルリージョン

70. 70 ①-B: Bootstrap 事前準備 初回起動 デバイス初期登録用トピックのPub/Sub のみ行える認証情報を事前に発行

71. 71 ①-B: Bootstrap 事前準備 初回起動 共通の認証情報を埋め込む

72. 72 ①-B: Bootstrap 事前準備 初回起動 デバイス初期登録トピックで起動し、新 規認証情報を発行するLambdaを用意

73. 73 ①-B: Bootstrap 事前準備 初回起動 デバイス初期登録用 トピックへのPublish ①

74. 74 ①-B: Bootstrap 事前準備 初回起動 トピックへのメッ セージでLambda起動 ② デバイス初期登録用 トピックへのPublish

    ①

75. 75 ①-B: Bootstrap 事前準備 初回起動 ③ 新規認証情報の発行処理 ポリシーのアタッチ デバイス初期登録用 トピックへのPublish

    ① トピックへのメッ セージでLambda起動 ②

76. 76 ①-B: Bootstrap 事前準備 初回起動 新規認証情報を送信 ④ デバイス初期登録用 トピックへのPublish ①

    トピックへのメッ セージでLambda起動 ② ③ 新規認証情報の発行処理 ポリシーのアタッチ

77. 77 ①-B: Bootstrap 事前準備 初回起動 新規認証情報 で接続開始 ⑤ デバイス初期登録用 トピックへのPublish

    ① トピックへのメッ セージでLambda起動 ② 新規認証情報を送信 ④ ③ 新規認証情報の発行処理 ポリシーのアタッチ

78. 78 Tips 全デバイスに共通の情報なので 生産現場での作業は簡易化

79. 79 Tips 共通の認証情報が漏洩が全デバイスに影響 デバイス・クラウドともに実装が追加 初回起動時の動作確認を入念にやる必要ある

80. 80 生産現場でインターネットにはつなげない 社内ネットワークにはつなげる & 自前の認証局を用意できる場合

81. 81 ①-C: JITR (Just in Time Registration) ①-C デバイス 自前の認証局からデバイス毎に発行したクライアント証明書

    TLSクライアント認証 MQTT/HTTPS シングルリージョン

82. 82 ①-C: JITR (Just in Time Registration) 事前準備 初回起動 自前の認証局のCA証明書

    を事前登録

83. 83 ①-C: JITR (Just in Time Registration) 事前準備 初回起動 各デバイスに固有の認証

    情報の発行と埋め込み

84. 84 ①-C: JITR (Just in Time Registration) 事前準備 初回起動 JITR登録完了通知で起

    動するLambdaを用意

85. 85 ①-C: JITR (Just in Time Registration) 事前準備 初回起動 エンドポイントに対して

    TLS接続を開始 ①

86. 86 ①-C: JITR (Just in Time Registration) 事前準備 初回起動 ②

    登録済みのCAから発行され た証明書かチェックする エンドポイントに対して TLS接続を開始 ①

87. 87 ①-C: JITR (Just in Time Registration) 事前準備 初回起動 検証が通れば、クラウド

    側に証明書が登録される ③ ② 登録済みのCAから発行され た証明書かチェックする エンドポイントに対して TLS接続を開始 ①

88. 88 ①-C: JITR (Just in Time Registration) 事前準備 初回起動 検証が通れば、クラウド

    側に証明書が登録される ③ ② 登録済みのCAから発行され た証明書かチェックする エンドポイントに対して TLS接続を開始 ① IoT Policyをアタッチし て権限を付与 ④

89. 89 ①-C: JITR (Just in Time Registration) 事前準備 初回起動 ⑤

    そのうち接続が 確立できる IoT Policyをアタッチし て権限を付与 ④ 検証が通れば、クラウド 側に証明書が登録される ③ ② 登録済みのCAから発行され た証明書かチェックする エンドポイントに対して TLS接続を開始 ①

90. 90 Tips 生産現場での作業は簡易化

91. 91 Tips 自社管理のCAなら維持費が発生 デバイス・クラウドともに実装が追加 初回起動時の動作確認を入念にやる必要ある

92. 92 ユーザーがモバイルやウェブアプリから AWS IoT Coreにつなぎたい場合

93. 93 ②: Amazon Cognito Identities ② ユーザー Cognito Identity Poolsから取得した一時クレデンシャル

    SigV4認証 MQTT over WebSocket/HTTPS シングルリージョン

94. 94 ②: Amazon Cognito Identities IdPsのクライアントIDを登録 事前準備 初回 MQTT over

    WebSocket / HTTPS

95. 95 ②: Amazon Cognito Identities MQTT over WebSocket / HTTPS

    事前準備 初回 ① ログイン

96. 96 ②: Amazon Cognito Identities MQTT over WebSocket / HTTPS

    事前準備 初回 アクセストークンを送信し、 一時クレデンシャルに変換 ② ① ログイン

97. 97 ②: Amazon Cognito Identities MQTT over WebSocket / HTTPS

    事前準備 初回 署名(SigV4)をリクエスト に追加して接続開始 ③ アクセストークンを送信し、 一時クレデンシャルに変換 ② ① ログイン

98. 98 ②: Amazon Cognito Identities MQTT over WebSocket / HTTPS

    事前準備 初回 ④ アクセス可否 アクセストークンを送信し、 一時クレデンシャルに変換 ② ① ログイン 署名(SigV4)をリクエスト に追加して接続開始 ③

99. 99 Tips ユーザーがメッセージブローカ経由で デバイスにメッセージが送れる 一時クレデンシャルを利用して 他のAWSサービスにも接続できる

100. 100 Tips APIを設けるパターンと比べて メッセージのバリデーションはできない

101. 101 独自の認証・認可戦略を行いたい場合

102. 102 ③: カスタム認証 ③ ユーザー 認証基盤から払い出したJWT(Json Web Token) カスタム認証 MQTT

     over WebSocket/HTTPS シングルリージョン

103. 103 ③: カスタム認証 キーペアの公開鍵 を登録 事前準備 初回 独自の認可 処理を実装 MQTT

     over WebSocket/HTTPS

104. 104 ③: カスタム認証 事前準備 初回 MQTT over WebSocket/HTTPS ログイン ①

105. 105 ③: カスタム認証 事前準備 初回 JWTをリクエスト に追加して送信 ② MQTT over

     WebSocket/HTTPS ログイン ①

106. 106 ③: カスタム認証 事前準備 初回 JWTをリクエスト に追加して送信 ③ 公開鍵で署名検証 ②

     MQTT over WebSocket/HTTPS ログイン ①

107. 107 ③: カスタム認証 事前準備 初回 ④ JWTをリクエスト に追加して送信 ペイロードの内容から 独自の処理を実行

     ③ 公開鍵で署名検証 ② MQTT over WebSocket/HTTPS ログイン ①

108. 108 ③: カスタム認証 事前準備 初回 ④ JWTをリクエスト に追加して送信 ペイロードの内容から 独自の処理を実行

     ③ 公開鍵で署名検証 ② MQTT over WebSocket/HTTPS ログイン ① ポリシーを返却 ⑤

109. 109 ③: カスタム認証 アクセス可否 事前準備 初回 ④ JWTをリクエスト に追加して送信 ペイロードの内容から

     独自の処理を実行 ③ 公開鍵で署名検証 ② MQTT over WebSocket/HTTPS ログイン ① ⑥ ポリシーを返却 ⑤

110. 110 Tips Lambda関数を利用して独自の認可処理を プログラマブルに組める アクセス制御の自由度は高め

111. 111 その他 紹介しきれなかった接続パターンたち

112. 112 紹介しきれなかった接続パターン マルチリージョンでの接続パターン • 自前CAを各リージョンに事前登録しておくことで、１つ のクライアント証明書でマルチリージョン接続が可能 Soracom SIMを利用する際の接続パターン • 証明書の発行を代行するサービス(Krypton)が利用可能

     • 証明書なしでもAWS IoT Coreへメッセージを転送して くれるサービス(Funnel)が利用可能

113. 113 まとめ 今回は下記３つの仕様を考慮した接続パターンをいくつ か紹介しました • エンドポイント • シングルリージョン/マルチリージョン • 通信プロトコル

     • MQTT/MQTT over WebSocket/HTTPS • 認証・認可 • TLSクライアント認証/Sigv4認証/カスタム認証

114. 114 まとめ ユースケース別に 接続パターンを洗い出してみた!

115. 115 まとめ デバイスへ認証情報を 発行するタイミングが重要だった…

116. 116 まとめ AWS IoTを利用する際の 参考になれば幸いです

117. 117 ご清聴ありがとうございました