亚马逊云代金券 AWS 亚马逊云账号 IoT 接入代办

AWS 亚马逊云账号 IoT 接入代办：不是玄学，是清单

别被「IoT Core」「X.509 证书」「Thing Shadow」这些词吓退——它们不是咒语，只是 AWS 给物联网设备发的「电子身份证+门禁卡+留言本」三件套。本文不讲原理，只列动作；不画架构图，只拆步骤；不甩官方文档链接，只告诉你点哪、输啥、等几秒、看哪行报错。全程基于免费层（Free Tier）实操，哪怕你用学生邮箱注册的新账号，也能在 47 分钟内让一台树莓派或 ESP32 成功向云端发一条「Hello from my toaster」。

第一步：账号准备——先活下来，再联网

别急着点「IoT Core」。先确认你的 AWS 账号已激活并完成身份验证（手机+银行卡/信用卡二要素）。如果刚注册完就冲进控制台，大概率卡在「Your account is not active」——这不是系统故障，是 AWS 在礼貌地提醒你：「兄弟，先让银行帮你背书一下」。验证通过后，顺手打开 根用户安全设置：关闭「Root 用户 MFA 临时绕过」选项（默认开启），并为根用户绑定一个硬件或 App MFA（推荐 Google Authenticator）。这步看似和 IoT 无关，但万一你后续误删了管理员角色……没有 MFA 的根账号就像没锁门的保险柜，风一吹就丢钥匙。

第二步：区域选择——别在东京配纽约的电

AWS 服务按区域隔离。IoT Core 不是全球统一入口，它像连锁咖啡店：北京三里屯店的会员卡，在洛杉矶比佛利山庄店刷不了。进入控制台后，右上角务必检查区域（Region）下拉框——选「us-east-1」（北弗吉尼亚）或「cn-north-1」（北京）。国内用户强烈建议选 cn-north-1（由光环新网运营），否则可能遇到「Service not available in this region」的温柔拒载。切记：一旦创建 Thing、证书、策略，它们就永远钉死在这个区域，跨区迁移？不存在的，只能重来。

第三步：创建 Thing——给设备起个正经名字

登录 AWS 控制台 → 搜索栏输入「IoT Core」→ 进入服务 → 左侧菜单点「Manage」→「Things」→「Create things」。这里别手滑点「Create a single thing」——虽然快，但你会错过关键字段。选「Create things with the AWS IoT console」，然后填：
Name：my-toaster-v2（别用中文、空格、特殊符号！下划线和短横线可以）
Thing type：可留空（新手跳过类型分组）
Attributes（可选）：填 {"model":"KT-800","firmware":"v2.1.3"} ——这是给设备贴的电子标签，后面写规则引擎时能当筛选条件。
点「Next」，不用管「Add thing group」，直接「Create thing」。成功后页面顶部会弹出绿色提示：「Successfully created thing my-toaster-v2」。此时，千万别关页！因为下一步要立刻绑定证书，而 Thing ID 只在这一页明晃晃显示一次。

第二步核心：证书与密钥——IoT 的身份证，且必须自取

亚马逊云代金券 回到 IoT Core 控制台 →「Secure」→「Certificates」→「Create certificate」。重点来了：必须勾选「One-click certificate creation」（别选上传已有证书）。点击后，AWS 会瞬间生成一对 X.509 证书：一个公钥（.pem.crt）、一个私钥（.pem.key）、一个根 CA（AmazonRootCA1.pem）。页面会弹出四个下载按钮——立刻、马上、一秒不耽误地全部下载！尤其私钥（.pem.key），它不会再次显示，也不会存进你的 AWS 账户。下载后，把这三个文件扔进一个叫 aws-iot-secrets 的文件夹，加个密码保护的压缩包，存在加密 U 盘里。为什么？因为私钥泄露 = 设备被冒充 = 你的 IoT 云彻底裸奔。

第四步：策略绑定——发张带权限的门禁卡

证书有了，但默认什么权限都没有，就像给你一张空白门禁卡。继续在「Certificates」列表找到刚创建的证书（ID 是一串字母数字），勾选它 → 点「Actions」→「Attach policy」→「Create a new policy」。策略名填 toaster-full-access，策略文档粘贴以下内容（注意替换 YOUR_ACCOUNT_ID 和 REGION）：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iot:Connect",
        "iot:Publish",
        "iot:Subscribe",
        "iot:Receive",
        "iot:UpdateThingShadow",
        "iot:GetThingShadow"
      ],
      "Resource": [
        "arn:aws:iot:cn-north-1:YOUR_ACCOUNT_ID:topic/mytoaster/*",
        "arn:aws:iot:cn-north-1:YOUR_ACCOUNT_ID:topicfilter/mytoaster/#",
        "arn:aws:iot:cn-north-1:YOUR_ACCOUNT_ID:thing/my-toaster-v2"
      ]
    }
  ]
}

其中 YOUR_ACCOUNT_ID 是你账号 12 位数字（控制台右上角用户名旁「My Account」里能看到），cn-north-1 换成你选的区域。点「Create」，再点「Attach policy」完成绑定。此时证书才真正「活」了。

第五步：关联证书与 Thing——人证合一

回到「Certificates」列表，勾选证书 →「Actions」→「Attach thing」→ 输入 my-toaster-v2 →「Attach」。成功后，该证书下方「Things」栏会显示已关联。至此，设备身份（Thing）、凭证（证书+私钥）、权限（Policy）三件套齐活。

第六步：设备端实测——发条消息，验验血型

拿一台已联网的 Linux 设备（树莓派/Ubuntu 虚拟机），安装 AWS CLI v2 和 MQTT 客户端：
curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install
sudo apt install mosquitto-clients

将之前下载的三个文件（xxx-certificate.pem.crt, xxx-private.pem.key, AmazonRootCA1.pem）传到设备，执行测试命令：
mosquitto_pub \
--cafile AmazonRootCA1.pem \
--cert xxx-certificate.pem.crt \
--key xxx-private.pem.key \
-h YOUR_ENDPOINT.iot.cn-north-1.amazonaws.com.cn \
-p 8883 \
-t "mytoaster/status" \
-m "{\"temp\":180,\"state\":\"toasting\"}" \
--tls-version tlsv1.2 -d

其中 YOUR_ENDPOINT 在 IoT Core 控制台「Settings」→「Custom endpoint」里找（长得像 a1b2c3d4e5f6-ats.iot.cn-north-1.amazonaws.com）。如果返回 Sending PUBLISH to localhost (d1, q0, r0, m1, 'mytoaster/status', ...) 且无报错，去控制台「Test」→ 订阅主题 mytoaster/#，就能看到实时消息。恭喜，你的烤面包机已正式入职 AWS 云。

避坑口诀（念三遍）

• 「区域不换，证书不跨」——东西丢了别跨区找，重做更快。
• 「私钥离手，即刻加密」——U 盘放床头柜抽屉，别存微信文件传输助手。
• 「策略 Resource 里，ARN 必须带账号和区域」——少一位数字，权限就变废纸。
• 「测试用 mosquitto_pub，别信某些 SDK 示例里的旧版端口 443」——8883 才是 TLS 正宫。
• 「报错 No response from server？先 ping 你的 endpoint 域名」——八成是 DNS 解析失败或防火墙拦了 8883。

最后送一句大实话：AWS IoT 的门槛不在技术，而在耐心。它像整理一间堆满零件的车库——你得先分清哪个扳手配哪颗螺丝，再拧紧。而本文，就是那张贴在墙上的彩色分类贴纸。现在，去你的控制台，点那个「Create thing」按钮吧。记住，第一台设备连上的那一刻，你不是在配置云服务，是在给现实世界装上第一个数字心跳。