借助 AWS IoT Core，您可以使用接口 VPC 终端节点在您的虚拟私有云 (VPC) 中创建物联网数据终端节点。接口 VPC 终端节点由 AWS PrivateLink一种 AWS

技术提供支持，您可以使用该技术 AWS 通过私有 IP 地址访问在其上运行的服务。有关更多信息，请参阅 Amazon Virtual Private Cloud。

要将远程网络（例如公司网络）上的现场设备连接到您的 Amazon VPC，请参阅网络到 Amazon VPC 连接表中列出的选项。

您可以为 AWS IoT Core 数据平面 API 创建 VPC 终端节点，将您的设备连接到 AWS IoT 服务和其他 AWS 服务。要开始使用 VPC 终端节点，请创建一个接口 VPC 终端节点并选择 AWS IoT Core 作为 AWS 服务。如果您使用的是 CLI，describe-vpc-endpoint-services请先致电确保您选择 AWS IoT Core 的是您的特定可用区 AWS 区域。例如，在 us-east-1 中，此命令将类似于：

要将 MQTT 客户端连接到 VPC 端点接口，请执行以下操作：

有关创建 Amazon VPC 接口终端节点和为 AWS IoT Core 数据平面配置私有托管区域，请参阅以下详细说明。

您可以为 AWS IoT Core 凭证提供者创建 VPC 终端节点，以便使用基于客户端证书的身份验证连接设备并获取AWS 签名版本 4 AWS 格式的临时证书。要开始使用 AWS IoT Core 证书提供者的 VPC 终端节点，请运行 create-vpc-endpointCLI 命令创建接口 VPC 终端节点，然后选择 AWS IoT Core 凭证提供者作为服务。 AWS 为确保您选择的可用区与您的特定区域相同 AWS 区域，请先运行该describe-vpc-endpoint-services命令。 AWS IoT Core 例如，在 us-east-1 中，此命令将类似于：

要将 HTTP 客户端连接到 VPC 端点接口，请执行以下操作：

有关创建 Amazon VPC 接口终端节点和为 AWS IoT Core 凭证提供者配置私有托管区域的信息，请参阅以下详细说明。

您可以创建接口 VPC 终端节点以连接到由提供支持的 AWS 服务 AWS PrivateLink。使用以下步骤创建连接到 AWS IoT Core 数据平面或 AWS IoT Core 凭据提供程序的接口 VPC 终端节点。有关更多信息，请参阅使用接口 VPC 终端节点访问 AWS 服务。

使用 VPC 端点控制台创建接口 VPC 端点

创建 AWS PrivateLink 终端节点后，在终端节点的详细信息选项卡中，您将看到 DNS 名称列表。您可以使用在本部分中创建的这些 DNS 名称中的一个来配置私有托管区域。

您可以使用在上一部分中创建的这些 DNS 名称中的一个来配置私有托管区域。

对于 AWS IoT Core 数据平面

DNS 名称必须是您的域配置名称或 端点。DNS 名称的示例，可以是：-ats.data.iot..amazonaws.com。

对于 AWS IoT Core 凭证提供商

DNS 名称必须是您的 端点。DNS 名称的示例，可以是：.credentials.iot..amazonaws.com。

使用 Route 53 控制台创建私有托管区域

有关更多信息，请参阅创建私有托管区域。

创建私有托管区域后，您可以创建一个记录，告诉 DNS 如何将流量路由到该域。

创建记录

您可以使用 VPC 条件上下文密钥 AWS IoT Core将设备访问限制为仅允许通过 VPC 终端节点。 AWS IoT Core 支持以下与 VPC 相关的上下文密钥：

例如，以下策略授予 AWS IoT Core 使用与事物名称匹配的客户端 ID 进行连接的权限，以及向以事物名称为前缀的任何主题发布内容的权限，条件是设备连接到具有特定 VPC 终端节点 ID 的 VPC 终端节点。此策略将拒绝连接到您的公有 IoT 数据终端节点的尝试。

目前，仅 AWS IoT Core 数据端点和 AWS IoT Core 凭证提供商端点支持 VPC 端点。

本部分介绍 IoT 数据 VPC 端点的限制。

本部分介绍凭证提供商 VPC 端点的限制。

AWS IoT Core 接口 VPC 终端节点限制为通过单个接口终端节点连接的 100,000 台设备。如果您的使用案例需要更多到代理的并发连接，那么我们建议您使用多个 VPC 终端节点并在接口终端节点之间手动路由您的设备。创建私有 DNS 记录将流量路由到 VPC 终端节点时，确保创建与 VPC 终端节点 数量相同的加权记录，以便在多个终端节点之间 分配流量。

如果要将自定义域与 VPC 端点结合使用，必须在私有托管区域中创建自定义域名记录，并在 Route53 中创建路由记录。有关更多信息，请参阅创建私有托管区域。

AWS IoT Core 所有AWS IoT Core

支持的区域均提供接口 VPC 终端节点。 AWS IoT Core 中国地区不支持 AWS IoT Core

凭证提供商的接口 VPC 终端节点，以及。 AWS GovCloud (US) Regions