本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 裝置佈建
<a name="iot-provision"></a>

AWS 提供多種不同的方式來佈建裝置，並在其上安裝唯一的用戶端憑證。本節描述每一種方式，以及如何選取最適合您 IoT 解決方案的方式。這些選項會在標題名稱為 [Device Manufacturing and Provisioning with X.509 Certificates in AWS IoT Core](https://docs.aws.amazon.com/whitepapers/latest/device-manufacturing-provisioning/device-manufacturing-provisioning.html) 的白皮書中詳細描述。

**選取最適合您情況的選項**
+ 

**您可以在 IoT 裝置上安裝憑證，然後再交付這些憑證**  
如果您可以在 IoT 裝置上安全地安裝唯一的用戶端憑證，然後再交付這些憑證，以供最終使用者使用，則您想要使用[*即時*佈建 (JITP)](jit-provisioning.md)或[*即時*註冊 (JITR)](auto-register-device-cert.md)。

  使用 JITP 和 JITR，用於簽署裝置憑證的憑證授權單位 (CA) 會向 註冊， AWS IoT 並在裝置第一次連線 AWS IoT 時由 識別。裝置會在其第一個連線 AWS IoT 上使用其佈建範本的詳細資訊在 中佈建。

  如需有關單一物件、JITP、JITR，以及大量佈建具有唯一憑證之裝置的詳細資訊，請參閱[佈建具有裝置憑證的裝置](provision-w-cert.md)。
+ 

**最終使用者或安裝程式可以使用應用程式，在其 IoT 裝置上安裝憑證**  
如果您無法在 IoT 裝置上安全地安裝唯一的用戶端憑證，然後再將這些憑證交付給最終使用者，但最終使用者或安裝程式可以使用應用程式，來註冊裝置並安裝唯一的裝置憑證，則您想要使用[透過信任的使用者佈建](provision-wo-cert.md#trusted-user)程序。

  使用信任的使用者 (例如具有已知帳戶的最終使用者或安裝程式) 可以簡化裝置製造程序。裝置沒有唯一的用戶端憑證，而是具有暫時憑證，讓裝置 AWS IoT 只連線到 5 分鐘。在這 5 分鐘的時間範圍期間，信任的使用者會取得連線時間更長的唯一用戶端憑證，並將其安裝在裝置上。宣告憑證的有限連線時間可將憑證洩露的風險降至最低。

  如需詳細資訊，請參閱 [由信任的使用者佈建](provision-wo-cert.md#trusted-user)。
+ 

**最終使用者無法使用應用程式，在其 IoT 裝置上安裝憑證**  
如果先前的選項都無法在您的 IoT 解決方案中運作，[透過要求佈建](provision-wo-cert.md#claim-based)程序是一個選項。透過此程序，您的 IoT 裝置會擁有由機群中其他裝置共用的宣告憑證。裝置第一次與宣告憑證連線時， 會使用其佈建範本 AWS IoT 註冊裝置，並發出裝置的唯一用戶端憑證，以供後續存取 AWS IoT。

   此選項會在裝置連線時啟用裝置自動佈建 AWS IoT，但在遺失宣告憑證時可能會帶來更大的風險。如果宣告憑證洩露，您可以停用該憑證。停用宣告憑證可防止未來不得註冊具有該宣告憑證的所有裝置。不過，停用宣告憑證並不會封鎖已佈建的裝置。

  如需詳細資訊，請參閱[透過要求佈建](provision-wo-cert.md#claim-based)。

## 在 中佈建裝置 AWS IoT
<a name="provisioning-in-iot"></a>

當您使用 佈建裝置時 AWS IoT，您必須建立 資源，以便您的裝置和 AWS IoT 可以安全地通訊。可以建立其他資源來協助您管理裝置機群。可以在佈建過程中建立下列資源：
+ IoT 物件。

  IoT 物件是 AWS IoT 裝置登錄檔中的項目。每個物件都有一個唯一名稱和一組屬性，並與實體裝置相關聯。物件可以使用物件類型來定義，也可以分組為物件群組。如需詳細資訊，請參閱[使用 管理裝置 AWS IoT](iot-thing-management.md)。

   雖然不一定要建立物件，但建立物件可讓您依物件類型、物件群組和物件屬性搜尋裝置，更有效地管理您的裝置機群。如需詳細資訊，請參閱[機群索引](iot-indexing.md)。
**注意**  
若要為物件的連線狀態資料編製索引，請佈建您的物件並加以設定，讓物件名稱符合 Connect 請求中使用的用戶端 ID。
+ X.509 憑證。

  裝置使用 X.509 憑證來執行交互身分驗證。 AWS IoT您可以註冊現有的憑證，或讓 為您 AWS IoT 產生並註冊新的憑證。您可以將憑證附加至代表裝置的物件，將該憑證與裝置產生關聯。您也必須將憑證和關聯的私有金鑰複製到裝置。裝置在連線至 時出示憑證 AWS IoT。如需詳細資訊，請參閱[身分驗證](authentication.md)。
+ IoT 政策。

  IoT 政策定義了裝置可在 AWS IoT中執行哪些操作。IoT 政符會附加至裝置憑證。當裝置向 出示憑證時 AWS IoT，會授予政策中指定的許可。如需詳細資訊，請參閱[Authorization](iot-authorization.md)。每個裝置都需要憑證才能與 AWS IoT進行通訊。

AWS IoT 支援使用佈建範本的自動機群佈建。佈建範本說明佈建裝置 AWS IoT 所需的資源。範本包含的變數可讓您使用一個範本來佈建多個裝置。佈建裝置時，您可以使用字典或 *map*，為裝置特定的變數指定值。若要佈建另一個裝置，請在字典中指定新值。

無論您的裝置是否具有唯一憑證 (及其關聯的私有金鑰)，您都可以使用自動佈建。

## 機群佈建 API
<a name="provisioning-apis"></a>

機群佈建中使用的 API 有數種類別：
+ 這些控制平面 API 可建立和管理機群佈建範本，以及設定受信任的使用者政策。
  + [CreateProvisioningTemplate](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateProvisioningTemplate.html)
  + [ CreateProvisioningTemplateVersion](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateProvisioningTemplateVersion.html)
  + [DeleteProvisioningTemplate](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteProvisioningTemplate.html)
  + [DeleteProvisioningTemplateVersion](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteProvisioningTemplateVersion.html)
  + [DescribeProvisioningTemplate](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeProvisioningTemplate.html)
  + [DescribeProvisioningTemplateVersion](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeProvisioningTemplateVersion.html)
  + [ListProvisioningTemplates](https://docs.aws.amazon.com/iot/latest/apireference/API_ListProvisioningTemplates.html)
  + [ListProvisioningTemplateVersions](https://docs.aws.amazon.com/iot/latest/apireference/API_ListProvisioningTemplateVersions.html)
  + [UpdateProvisioningTemplate](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateProvisioningTemplate.html)
+ 受信任的使用者可以使用此控制平面功能來產生暫時上線要求。此暫時要求會在 Wi-Fi 組態或類似方法期間傳遞至裝置。
  + [CreateProvisioningClaim](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateProvisioningClaim.html)
+ 裝置在佈建過程中使用的 MQTT API，具有內嵌在裝置中的佈建宣告憑證，或是由受信任使用者傳遞給它的佈建要求。
  + [CreateCertificateFromCsr](fleet-provision-api.md#create-cert-csr)
  + [CreateKeysAndCertificate](fleet-provision-api.md#create-keys-cert)
  + [RegisterThing](fleet-provision-api.md#register-thing)