Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktionen, Ressourcen und Bedingungsschlüssel für AWS IoT Greengrass
AWS IoT Greengrass (Dienstpräfix:greengrass
) stellt die folgenden dienstspezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM Berechtigungsrichtlinien bereit.
Referenzen:
-
Erfahren Sie, wie Sie diesen Service konfigurieren.
-
Sehen Sie sich eine Liste der für diesen API Dienst verfügbaren Operationen an.
-
Erfahren Sie, wie Sie diesen Dienst und seine Ressourcen mithilfe von IAM Berechtigungsrichtlinien schützen können.
Themen
Von AWS IoT Greengrass definierte Aktionen
Sie können die folgenden Aktionen im Action
Element einer IAM Richtlinienerklärung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, gewähren oder verweigern Sie normalerweise den Zugriff auf den API Vorgang oder CLI Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.
Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource
Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie in ARN einer Anweisung mit dieser Aktion einen Ressourcentyp angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Resource
Element in einer IAM Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp ein ARN Oder-Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.
Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition
einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.
Anmerkung
Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.
Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen
Aktionen | Beschreibung | Zugriffsebene | Ressourcentypen (*erforderlich) | Bedingungsschlüssel | Abhängige Aktionen |
---|---|---|---|---|---|
AssociateRoleToGroup | Gewährt die Berechtigung zum Verknüpfen einer Rolle mit einer Gruppe. Die Berechtigungen der Rolle müssen es den Kernfunktionen und Konnektoren von Greengrass von Lambda ermöglichen, Aktionen in anderen Diensten auszuführen. AWS | Schreiben | |||
AssociateServiceRoleToAccount | Erteilt die Erlaubnis, Ihrem Konto eine Rolle zuzuordnen. AWS IoT Greengrass verwendet diese Rolle, um auf Ihre Lambda-Funktionen und AWS IoT-Ressourcen zuzugreifen. | Berechtigungsverwaltung | |||
CreateConnectorDefinition | Gewährt die Berechtigung zum Erstellen einer Konnektordefinition | Write | |||
CreateConnectorDefinitionVersion | Gewährt die Berechtigung zum Erstellen einer Version einer vorhandenen Konnektordefinition. | Write | |||
CreateCoreDefinition | Gewährt die Berechtigung zum Erstellen einer Core-Definition | Write | |||
CreateCoreDefinitionVersion | Gewährt die Berechtigung zum Erstellen einer Version einer vorhandenen Core-Definition. Greengrass-Gruppen müssen jeweils genau einen Greengrass Core enthalten. | Write | |||
CreateDeployment | Gewährt die Berechtigung zum Erstellen einer Bereitstellung | Write | |||
CreateDeviceDefinition | Gewährt die Berechtigung zum Erstellen einer Gerätedefinition | Write | |||
CreateDeviceDefinitionVersion | Gewährt die Berechtigung zum Erstellen einer Version einer vorhandenen Gerätedefinition | Write | |||
CreateFunctionDefinition | Gewährt die Berechtigung zum Erstellen einer Lambda-Funktion, die in einer Gruppe verwendet werden soll, die eine Liste mit Lambda-Funktionen und deren Konfigurationen enthält | Write | |||
CreateFunctionDefinitionVersion | Gewährt die Berechtigung zum Erstellen einer Version einer vorhandenen Lambda-Funktionsdefinition | Schreiben | |||
CreateGroup | Gewährt die Berechtigung zum Erstellen einer Gruppe | Schreiben | |||
CreateGroupCertificateAuthority | Gewährt die Berechtigung zum Erstellen einer CA für die Gruppe oder zum Rotieren der vorhandenen CA | Write | |||
CreateGroupVersion | Gewährt die Berechtigung zum Erstellen einer Version einer Gruppe, die bereits definiert wurde | Write | |||
CreateLoggerDefinition | Gewährt die Berechtigung zum Erstellen einer Logger-Definition | Write | |||
CreateLoggerDefinitionVersion | Gewährt die Berechtigung zum Erstellen einer Version einer vorhandenen Logger-Definition | Write | |||
CreateResourceDefinition | Gewährt die Berechtigung zum Erstellen einer Ressourcendefinition, die eine Liste der in einer Gruppe zu verwendenden Ressourcen enthält | Write | |||
CreateResourceDefinitionVersion | Gewährt die Berechtigung zum Erstellen einer Version einer vorhandenen Ressourcendefinition | Schreiben | |||
CreateSoftwareUpdateJob | Erteilt die Erlaubnis, einen AWS IoT-Job zu erstellen, der Ihre Greengrass-Kerne veranlasst, die auf ihnen ausgeführte Software zu aktualisieren | Schreiben | |||
CreateSubscriptionDefinition | Gewährt die Berechtigung zum Erstellen einer Abonnementdefinition | Write | |||
CreateSubscriptionDefinitionVersion | Gewährt die Berechtigung zum Erstellen einer Version einer vorhandenen Abonnementdefinition | Write | |||
DeleteConnectorDefinition | Gewährt die Berechtigung zum Löschen einer Konnektordefinition. | Write | |||
DeleteCoreDefinition | Gewährt die Berechtigung zum Löschen einer Core-Definition. Das Löschen einer Definition, die in einer Bereitstellung derzeit verwendet wird, wirkt sich auf künftige Bereitstellungen aus. | Write | |||
DeleteDeviceDefinition | Gewährt die Berechtigung zum Löschen einer Gerätedefinition. Das Löschen einer Definition, die in einer Bereitstellung derzeit verwendet wird, wirkt sich auf künftige Bereitstellungen aus. | Write | |||
DeleteFunctionDefinition | Gewährt die Berechtigung zum Löschen einer Lambda-Funktionsdefinition. Das Löschen einer Definition, die in einer Bereitstellung derzeit verwendet wird, wirkt sich auf künftige Bereitstellungen aus. | Write | |||
DeleteGroup | Gewährt die Berechtigung zum Löschen einer Gruppe, die derzeit in einer Bereitstellung nicht verwendet wird. | Write | |||
DeleteLoggerDefinition | Gewährt die Berechtigung zum Löschen einer Logger-Definition. Das Löschen einer Definition, die in einer Bereitstellung derzeit verwendet wird, wirkt sich auf künftige Bereitstellungen aus. | Write | |||
DeleteResourceDefinition | Gewährt die Berechtigung zum Löschen einer Ressourcendefinition. | Write | |||
DeleteSubscriptionDefinition | Gewährt die Berechtigung zum Löschen einer Abonnementdefinition. Das Löschen einer Definition, die in einer Bereitstellung derzeit verwendet wird, wirkt sich auf künftige Bereitstellungen aus. | Write | |||
DisassociateRoleFromGroup | Gewährt die Berechtigung zum Aufheben der Mapping zwischen Rolle und Gruppe. | Write | |||
DisassociateServiceRoleFromAccount | Gewährt die Berechtigung zum Aufheben der Mapping zwischen der Servicerolle und einem Konto. Ohne Servicerolle funktionieren Bereitstellungen nicht. | Write | |||
Discover | Gewährt die Berechtigung zum Abrufen von Informationen, die für die Verbindung mit einem Greengrass-Kern erforderlich sind. | Read | |||
GetAssociatedRole | Gewährt die Berechtigung zum Abrufen der Rolle, die einer Gruppe zugeordnet ist. | Read | |||
GetBulkDeploymentStatus | Gewährt die Berechtigung zum Zurückgeben des Status einer Massenbereitstellung. | Read | |||
GetConnectivityInfo | Gewährt die Berechtigung zum Abrufen der Verbindungsinformationen für einen Core. | Read | |||
GetConnectorDefinition | Gewährt die Berechtigung zum Abrufen von Informationen zu einer Konnektordefinition. | Read | |||
GetConnectorDefinitionVersion | Gewährt die Berechtigung zum Abrufen von Informationen zu einer Konnektordefinitionsversion. | Read | |||
GetCoreDefinition | Gewährt die Berechtigung zum Abrufen von Informationen zu einer Core-Definition. | Read | |||
GetCoreDefinitionVersion | Gewährt die Berechtigung zum Abrufen von Informationen zu einer Core-Definitionsversion. | Read | |||
GetDeploymentStatus | Gewährt die Berechtigung zum Zurückgeben des Status einer Bereitstellung. | Read | |||
GetDeviceDefinition | Gewährt die Berechtigung zum Abrufen von Informationen zu einer Gerätedefinition. | Read | |||
GetDeviceDefinitionVersion | Gewährt die Berechtigung zum Abrufen von Informationen zu einer Gerätedefinitionsversion. | Read | |||
GetFunctionDefinition | Gewährt die Berechtigung zum Abrufen von Informationen zu einer Lambda-Funktionsdefinition, z. B. Erstellungszeit und neueste Version | Read | |||
GetFunctionDefinitionVersion | Gewährt die Berechtigung zum Abrufen von Informationen zu einer Lambda-Funktionsdefinition, z. B. die in der Version enthaltenen Lambda-Funktionen und deren Konfigurationen | Read | |||
GetGroup | Gewährt die Berechtigung zum Abrufen von Informationen zu einer Gruppe. | Read | |||
GetGroupCertificateAuthority | Gewährt die Berechtigung zum Zurückgeben des öffentlichen Schlüssels der CA, die einer Gruppe zugeordnet ist. | Read | |||
GetGroupCertificateConfiguration | Gewährt die Berechtigung zum Abrufen der aktuellen Konfiguration für die CA, die von einer Gruppe verwendet wird. | Read | |||
GetGroupVersion | Gewährt die Berechtigung zum Abrufen von Informationen zu einer Gruppenversion. | Read | |||
GetLoggerDefinition | Gewährt die Berechtigung zum Abrufen von Informationen zu einer Logger-Definition. | Read | |||
GetLoggerDefinitionVersion | Gewährt die Berechtigung zum Abrufen von Informationen zu einer Logger-Definitionsversion. | Read | |||
GetResourceDefinition | Gewährt die Berechtigung zum Abrufen von Informationen zu einer Ressourcendefinition, z. B. Erstellungszeit und neueste Version | Read | |||
GetResourceDefinitionVersion | Gewährt die Berechtigung zum Abrufen von Informationen zu einer Ressourcendefinitionsversion ab, z. B. welche Ressourcen in der Version enthalten sind. | Read | |||
GetServiceRoleForAccount | Gewährt die Berechtigung zum Abrufen der Servicerolle, die einem Konto zugeordnet ist. | Read | |||
GetSubscriptionDefinition | Gewährt die Berechtigung zum Abrufen von Informationen zu einer Abonnementdefinition. | Read | |||
GetSubscriptionDefinitionVersion | Gewährt die Berechtigung zum Abrufen von Informationen zu einer Abonnementdefinitionsversion. | Read | |||
GetThingRuntimeConfiguration | Gewährt die Berechtigung zum Abrufen der Laufzeitkonfiguration einer Sache | Read | |||
ListBulkDeploymentDetailedReports | Gewährt die Berechtigung zum Abrufen eine paginierten Liste der Bereitstellungen, die in einer MassenbereitstellungsProduktion gestartet wurden, sowie ihres aktuellen Bereitstellungsstatus. | Read | |||
ListBulkDeployments | Gewährt die Berechtigung zum Abrufen einer Liste von Massenbereitstellungen. | List | |||
ListConnectorDefinitionVersions | Gewährt die Berechtigung zum Auflisten der Versionen einer Konnektordefinition. | List | |||
ListConnectorDefinitions | Gewährt die Berechtigung zum Abrufen einer Liste der Konnektordefinitionen. | List | |||
ListCoreDefinitionVersions | Gewährt die Berechtigung zum Auflisten der Versionen einer Core-Definition. | List | |||
ListCoreDefinitions | Gewährt die Berechtigung zum Abrufen einer Liste der Core-Definitionen. | List | |||
ListDeployments | Gewährt die Berechtigung zum Abrufen einer Liste aller Bereitstellungen für eine Gruppe. | List | |||
ListDeviceDefinitionVersions | Gewährt die Berechtigung zum Auflisten der Versionen einer Gerätedefinition. | List | |||
ListDeviceDefinitions | Gewährt die Berechtigung zum Abrufen einer Liste von Gerätedefinitionen. | List | |||
ListFunctionDefinitionVersions | Gewährt die Berechtigung zum Auflisten der Versionen einer Lambda-Funktionsdefinition. | List | |||
ListFunctionDefinitions | Gewährt die Berechtigung zum Abrufen einer Liste der Lambda-Funktionsdefinitionen. | Auflisten | |||
ListGroupCertificateAuthorities | Erteilt die Berechtigung, eine aktuelle Liste CAs für eine Gruppe abzurufen | Auflisten | |||
ListGroupVersions | Gewährt die Berechtigung zum Auflisten der Versionen einer Gruppe. | List | |||
ListGroups | Gewährt die Berechtigung zum Abrufen einer Liste der Gruppen. | List | |||
ListLoggerDefinitionVersions | Gewährt die Berechtigung zum Auflisten der Versionen einer Logger-Definition. | List | |||
ListLoggerDefinitions | Gewährt die Berechtigung zum Abrufen einer Liste der Logger-Definitionen. | List | |||
ListResourceDefinitionVersions | Gewährt die Berechtigung zum Auflisten der Versionen einer Ressourcendefinition. | List | |||
ListResourceDefinitions | Gewährt die Berechtigung zum Abrufen einer Liste der Ressourcendefinitionen. | List | |||
ListSubscriptionDefinitionVersions | Gewährt die Berechtigung zum Auflisten der Versionen einer Abonnementdefinition. | List | |||
ListSubscriptionDefinitions | Gewährt die Berechtigung zum Abrufen einer Liste der Abonnementdefinitionen. | List | |||
ListTagsForResource | Gewährt die Berechtigung zum Auflisten der Tags für eine Ressource | Read | |||
ResetDeployments | Gewährt die Berechtigung zum Zurücksetzen der Bereitstellungen einer Gruppe. | Write | |||
StartBulkDeployment | Gewährt die Berechtigung zum Bereitstellen mehrerer Gruppen in einer Produktion. | Write | |||
StopBulkDeployment | Gewährt die Berechtigung zum Anhalten der Ausführung einer Massenbereitstellung. | Write | |||
TagResource | Gewährt die Berechtigung zum Hinzufügen von Tags zu einer Ressource | Markieren | |||
UntagResource | Gewährt die Berechtigung zum Entfernen von Tags aus einer Ressource | Markieren | |||
UpdateConnectivityInfo | Gewährt die Berechtigung zum Aktualisieren der Verbindungsinformationen für einen Greengrass Core. Alle Geräte, die zu der Gruppe gehören, die diesen Core enthält, empfangen diese Informationen, um den Speicherort des Cores ermitteln und eine Verbindung zu diesem herzustellen. | Write | |||
UpdateConnectorDefinition | Gewährt die Berechtigung zum Aktualisieren einer Konnektordefinition. | Write | |||
UpdateCoreDefinition | Gewährt die Berechtigung zum Aktualisieren einer Core-Definition. | Write | |||
UpdateDeviceDefinition | Gewährt die Berechtigung zum Aktualisieren einer Gerätedefinition. | Write | |||
UpdateFunctionDefinition | Gewährt die Berechtigung zum Aktualisieren einer Lambda-Funktionsdefinition. | Write | |||
UpdateGroup | Gewährt die Berechtigung zum Aktualisieren einer Gruppe. | Write | |||
UpdateGroupCertificateConfiguration | Gewährt die Berechtigung zum Aktualisieren der Zertifikatablaufdauer für eine Gruppe. | Write | |||
UpdateLoggerDefinition | Gewährt die Berechtigung zum Aktualisieren einer Logger-Definition. | Write | |||
UpdateResourceDefinition | Gewährt die Berechtigung zum Aktualisieren einer Ressourcendefinition. | Write | |||
UpdateSubscriptionDefinition | Gewährt die Berechtigung zum Aktualisieren einer Abonnementdefinition. | Write | |||
UpdateThingRuntimeConfiguration | Gewährt die Berechtigung zum Aktualisieren der Laufzeitkonfiguration eines Dings | Write |
Von AWS IoT Greengrass definierte Ressourcentypen
Die folgenden Ressourcentypen werden von diesem Dienst definiert und können als Resource
Element von IAM Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle Aktionen identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.
Ressourcentypen | ARN | Bedingungsschlüssel |
---|---|---|
connectivityInfo |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/things/${ThingName}/connectivityInfo
|
|
certificateAuthority |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/groups/${GroupId}/certificateauthorities/${CertificateAuthorityId}
|
|
deployment |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/groups/${GroupId}/deployments/${DeploymentId}
|
|
bulkDeployment |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/bulk/deployments/${BulkDeploymentId}
|
|
group |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/groups/${GroupId}
|
|
groupVersion |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/groups/${GroupId}/versions/${VersionId}
|
|
coreDefinition |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/cores/${CoreDefinitionId}
|
|
coreDefinitionVersion |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/cores/${CoreDefinitionId}/versions/${VersionId}
|
|
deviceDefinition |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/devices/${DeviceDefinitionId}
|
|
deviceDefinitionVersion |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/devices/${DeviceDefinitionId}/versions/${VersionId}
|
|
functionDefinition |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/functions/${FunctionDefinitionId}
|
|
functionDefinitionVersion |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/functions/${FunctionDefinitionId}/versions/${VersionId}
|
|
subscriptionDefinition |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/subscriptions/${SubscriptionDefinitionId}
|
|
subscriptionDefinitionVersion |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/subscriptions/${SubscriptionDefinitionId}/versions/${VersionId}
|
|
loggerDefinition |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/loggers/${LoggerDefinitionId}
|
|
loggerDefinitionVersion |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/loggers/${LoggerDefinitionId}/versions/${VersionId}
|
|
resourceDefinition |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/resources/${ResourceDefinitionId}
|
|
resourceDefinitionVersion |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/resources/${ResourceDefinitionId}/versions/${VersionId}
|
|
connectorDefinition |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/connectors/${ConnectorDefinitionId}
|
|
connectorDefinitionVersion |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/definition/connectors/${ConnectorDefinitionId}/versions/${VersionId}
|
|
thing |
arn:${Partition}:iot:${Region}:${Account}:thing/${ThingName}
|
|
thingRuntimeConfig |
arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/things/${ThingName}/runtimeconfig
|
Bedingungsschlüssel für AWS IoT Greengrass
AWS IoT Greengrass definiert die folgenden Bedingungsschlüssel, die im Condition
Element einer IAM Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Condition keys (Bedingungsschlüssel).
Eine Liste der globalen Bedingungsschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare globale Bedingungsschlüssel.
Bedingungsschlüssel | Beschreibung | Typ |
---|---|---|
aws:RequestTag/${TagKey} | Filtert den Zugriff basierend auf den zulässigen Werten für jedes der obligatorischen Tags | String |
aws:ResourceTag/${TagKey} | Filtert den Zugriff nach dem Tag-Wert, der der Ressource zugeordnet ist | String |
aws:TagKeys | Filtert den Zugriff nach dem Vorhandensein verbindlicher Tags in der Anforderung | ArrayOfString |