Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Autorisierung
Autorisierung ist der Prozess der Erteilung von Berechtigungen an eine authentifizierte Identität. Sie gewähren AWS IoT Core Nutzungsberechtigungen AWS IoT Core und IAM Richtlinien. Dieses Thema behandelt AWS IoT Core -Richtlinien. Weitere Informationen zu IAM Richtlinien finden Sie unter Identitäts- und Zugriffsmanagement für AWS IoT undWie AWS IoT funktioniert mit IAM.
AWS IoT Core Richtlinien bestimmen, was eine authentifizierte Identität bewirken kann. Eine authentifizierte Identität wird von Geräten, mobilen Anwendungen, Webanwendungen und Desktop-Anwendungen verwendet. Eine authentifizierte Identität kann sogar ein Benutzer sein, der Befehle AWS IoT Core CLI eingibt. Eine Identität kann nur dann AWS IoT Core Operationen ausführen, wenn sie über eine Richtlinie verfügt, die ihr die Erlaubnis für diese Operationen erteilt.
Sowohl AWS IoT Core Richtlinien als auch IAM Richtlinien werden verwendet AWS IoT Core , um die Operationen zu steuern, die eine Identität (auch Principal genannt) ausführen kann. Welchen Richtlinientyp Sie verwenden, hängt von der Art der Identität ab, mit der Sie sich authentifizieren. AWS IoT Core
AWS IoT Core Operationen sind in zwei Gruppen unterteilt:
-
APIMit der Steuerungsebene können Sie administrative Aufgaben wie das Erstellen oder Aktualisieren von Zertifikaten, Dingen, Regeln usw. ausführen.
-
Die Datenebene API ermöglicht das Senden von Daten an und das Empfangen von Daten von AWS IoT Core.
Die Art der Richtlinie, die Sie verwenden, hängt davon ab, ob Sie die Steuerungsebene oder die Datenebene verwendenAPI.
In der folgenden Tabelle sind die Identitätstypen, die von ihnen verwendeten Protokolle und die Richtlinientypen für die Autorisierung aufgelistet.
| Protokoll- und Authentifizierungsmechanismus | SDK | Identitätstyp | Richtlinientyp |
|---|---|---|---|
| MQTTüberTLS/TCP, TLS gegenseitige Authentifizierung (Port 8883 oder 443) †) | AWS IoT Gerät SDK | X.509-Zertifikate | AWS IoT Core Richtlinie |
| MQTTüberHTTPS/WebSocket, AWS SigV4-Authentifizierung (Port 443) | AWS Mobil SDK | Eine authentifizierte Amazon-Cognito-Identität | IAMund AWS IoT Core Richtlinien |
| Eine nicht authentifizierte Amazon-Cognito-Identität | IAMPolitik | ||
| IAM- oder Verbundidentität | IAMPolitik | ||
| HTTPS, Authentifizierung mit AWS Signaturversion 4 (Port 443) | AWS CLI | Amazon Cognito oder föderierte Identität IAM | IAMRichtlinie |
| HTTPS, TLS gegenseitige Authentifizierung (Port 8443) | Keine Unterstützung SDK | X.509-Zertifikate | AWS IoT Core Politik |
| HTTPSüber benutzerdefinierte Authentifizierung (Port 443) | AWS IoT Gerät SDK | Genehmiger | Genehmigerrichtlinie |
| Protokoll- und Authentifizierungsmechanismus | SDK | Identitätstyp | Richtlinientyp |
|---|---|---|---|
| HTTPS AWS Authentifizierung mit Signaturversion 4 (Port 443) | AWS CLI | Amazon-Cognito-Identität | IAMRichtlinie |
| IAM- oder Verbundidentität | IAMPolitik |
AWS IoT Core Richtlinien sind an X.509-Zertifikate, Amazon Cognito Cognito-Identitäten oder Dinggruppen angehängt. IAMRichtlinien sind einem IAM Benutzer, einer Gruppe oder einer Rolle zugeordnet. Wenn Sie die AWS IoT Konsole oder die verwenden AWS IoT Core CLI, um die Richtlinie anzuhängen (an ein Zertifikat, Amazon Cognito Identity oder eine Dinggruppe), verwenden Sie eine AWS IoT Core Richtlinie. Andernfalls verwenden Sie eine IAM Richtlinie. AWS IoT Core Richtlinien, die einer Dinggruppe zugeordnet sind, gelten für alle Dinge innerhalb dieser Dinggruppe. Damit die AWS IoT Core Richtlinie wirksam wird, müssen der Name clientId und der Name der Sache übereinstimmen.
Die richtlinienbasierte Autorisierung ist ein leistungsstarkes Werkzeug. Sie gibt Ihnen die komplette Kontrolle darüber, welche Berechtigungen ein Gerät, ein Benutzer oder eine Anwendung in AWS IoT Core hat. Stellen Sie sich zum Beispiel ein Gerät vor, zu dem über ein Zertifikat eine AWS IoT Core Verbindung hergestellt wird. Sie können dem Gerät den Zugriff auf alle MQTT Themen gewähren oder den Zugriff auf ein einzelnes Thema einschränken. Stellen Sie sich ein anderes Beispiel vor, dass ein Benutzer CLI Befehle in der Befehlszeile eingibt. Mithilfe einer Richtlinie können Sie dem Benutzer den Zugriff auf jeden Befehl oder jede AWS IoT Core Ressource gewähren oder verweigern. Sie können auch den Zugriff einer Anwendung auf AWS IoT Core -Ressourcen steuern.
Aufgrund der Art und Weise, in der AWS IoT Richtliniendokumente zwischenspeichert, kann es einige Minuten dauern, bis Änderungen an einer Richtlinie wirksam werden. Das heißt, dass es einige Minuten dauern kann, bis der kürzlich gewährte Zugriff auf eine Ressource tatsächlich hergestellt ist. Außerdem kann nach dem Widerruf des Zugriffs noch mehrere Minuten lang auf eine Ressource zugegriffen werden.
AWS Schulung und Zertifizierung
Weitere Informationen zur Autorisierung finden Sie im AWS IoT Core Kurs Deep Dive into AWS IoT Core
Authentication and Authorization
