看起来你在配置Amplify PubSub和AWS IoT的WebSocket连接时遇到了棘手的AMQJS0007E Socket error（错误码7），结合你提供的步骤和日志，我整理了几个关键排查和修复方向：

1. 先搞定IoT端点URL的一致性问题 #

从你的代码和日志对比能发现一个明显的矛盾：

• 你代码里配置的端点是带-ats后缀的：wss://a123456789d-ats.iot.ap-southeast-2.amazonaws.com/mqtt
• 但日志里实际发起请求的端点却没有-ats：wss://a123456789d.iot.ap-southeast-2.amazonaws.com/mqtt

这大概率是Amplify没有正确加载你配置的端点，或者你复制的端点有误。你可以这么做：

• 登录AWS控制台进入IoT服务，在设置页面复制官方提供的MQTT WebSocket 端点（格式必须是wss://<your-endpoint>-ats.iot.<region>.amazonaws.com/mqtt）
• 把代码里AWSIoTProvider的aws_pubsub_endpoint替换成这个完整的端点，确保一字不差

2. 确认根证书真的被信任了 #

你提到安装了AWS根证书，但光安装还不够，必须确保iPhone信任它：

• 要安装的是Amazon Root CA 1（对应ATS类型的端点）
• 安装后，进入iPhone的设置 > 通用 > 关于本机 > 证书信任设置，找到这个根证书并开启「完全信任」

如果证书没被信任，SSL验证会直接失败，导致Socket连接报错。

3. 验证IAM策略的有效性 #

你创建了IoTAppPolicy并关联了主体，但可能策略的权限范围或关联对象有问题：

• 先简化策略测试，用通配符覆盖所有必要动作（后续再缩小范围）：

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Action": ["iot:Connect", "iot:Subscribe", "iot:Receive", "iot:Publish"],
        "Resource": "*"
      }
    ]
  }
  

• 仔细核对你用aws iot attach-principal-policy命令关联的principal，必须和Auth.currentCredentials()返回的identityId完全一致（包括前缀ap-southeast-2:）
• 检查Auth角色的权限：虽然你附加了AWSIoTDataAccess和AWSIoTConfigAccess，但要确认这两个策略确实包含iot:Connect、iot:Subscribe这些连接必需的动作

4. 优化Amplify的配置方式 #

你手动配置Auth部分可能会遗漏一些细节，建议直接复用aws-exports.js的完整配置：

import awsmobile from './aws-exports';

// 直接扩展aws-exports的配置，避免手动输入错误
Amplify.configure({
  ...awsmobile,
  Analytics: { disabled: true },
});

Amplify.addPluggable(
  new AWSIoTProvider({
    aws_pubsub_region: awsmobile.aws_cognito_region, // 直接从配置文件取区域，不用手动写
    aws_pubsub_endpoint: 'wss://<你的正确ATS端点>/mqtt',
  })
);

5. 排除网络环境问题 #

错误码7也可能是网络导致的：

• 打开iPhone的Safari，直接访问你的IoT端点URL，如果返回400错误，说明网络是可达的；如果打不开，那就是网络被拦截了
• 暂时关闭代理或VPN，有些网络环境会阻止WebSocket连接到AWS服务

额外调试小技巧 #

既然已经打开了Amplify的DEBUG日志，你可以再留意这两点：

• 确认Auth.currentCredentials()返回的identityId和你关联策略的principal完全一致
• 检查日志里的X-Amz-Credential等签名参数，确保它们是有效的（没有过期、区域正确）

按照这些步骤逐一排查，应该能解决这个Socket连接错误。

内容的提问来源于stack exchange，提问作者Thomas Dittmar