Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Autorización
Autorización es el proceso de concesión de permisos a una identidad autenticada. Usted concede permisos de AWS IoT Core uso AWS IoT Core y IAM políticas. En este tema se abordan las políticas de AWS IoT Core . Para obtener más información sobre IAM las políticas, consulte Administración de identidades y accesos para AWS IoT y¿Cómo AWS IoT funciona con IAM.
AWS IoT Core las políticas determinan lo que puede hacer una identidad autenticada. Los dispositivos y las aplicaciones móviles, web y de escritorio utilizan identidades autenticadas. Una identidad autenticada puede incluso consistir en que un usuario escriba AWS IoT Core CLI comandos. Una identidad solo puede ejecutar AWS IoT Core operaciones si tiene una política que le conceda permiso para realizar esas operaciones.
Tanto AWS IoT Core las políticas como IAM las políticas se utilizan AWS IoT Core para controlar las operaciones que puede realizar una identidad (también denominada principal). El tipo de política que utilice depende del tipo de identidad con AWS IoT Core la que se autentique.
AWS IoT Core las operaciones se dividen en dos grupos:
-
APIEl plano de control le permite realizar tareas administrativas, como crear o actualizar certificados, cosas, reglas, etc.
-
APIEl plano de datos le permite enviar y recibir datos AWS IoT Core.
El tipo de política que utilice depende de si utiliza el plano de control o el plano de datosAPI.
En la tabla siguiente se muestran los tipos de identidad, los protocolos que utilizan y los tipos de políticas que se pueden utilizar para la autorización.
| Protocolo y mecanismo de autenticación | SDK | Tipo de identidad | Tipo de política |
|---|---|---|---|
| MQTTmedianteTLS/TCP, autenticación TLS mutua (puerto 8883 o 443) †) | AWS IoT Dispositivo SDK | Certificados X.509 | AWS IoT Core política |
| MQTTautenticación medianteHTTPS/WebSocket, AWS SigV4 (puerto 443) | AWS Móvil SDK | Identidad sin autenticar de Amazon Cognito | IAMy AWS IoT Core políticas |
| Entidad autenticada de Amazon Cognito | IAMpolítica | ||
| IAM o identidad federada | IAMpolítica | ||
| HTTPS, autenticación AWS Signature versión 4 (puerto 443) | AWS CLI | Amazon Cognito o identidad IAM federada | IAMpolítica |
| HTTPS, autenticación TLS mutua (puerto 8443) | No hay soporte SDK | Certificados X.509 | AWS IoT Core política |
| HTTPSmediante autenticación personalizada (puerto 443) | AWS IoT Dispositivo SDK | Autorizador personalizado | Política de autorizador personalizada |
| Protocolo y mecanismo de autenticación | SDK | Tipo de identidad | Tipo de política |
|---|---|---|---|
| HTTPS AWS Autenticación de la versión 4 de Signature (puerto 443) | AWS CLI | Identidad de Amazon Cognito | IAMpolítica |
| IAM o identidad federada | IAMpolítica |
AWS IoT Core las políticas se adjuntan a los certificados X.509, a las identidades de Amazon Cognito o a los grupos de cosas. IAMlas políticas están asociadas a un IAM usuario, grupo o rol. Si utiliza la AWS IoT consola o la AWS IoT Core CLI para adjuntar la política (a un certificado, Amazon Cognito Identity o un grupo de cosas), utilizará una AWS IoT Core política. De lo contrario, utiliza una IAM política. AWS IoT Core las políticas asociadas a un grupo de cosas se aplican a cualquier cosa dentro de ese grupo de cosas. Para que la AWS IoT Core política surta efecto, el nombre de la cosa clientId y el de la cosa deben coincidir.
Las autorizaciones basadas en políticas son una herramienta muy eficaz. Le dan un control completo sobre lo que un dispositivo, usuario o aplicación puede hacer en AWS IoT Core. Por ejemplo, pensemos en un dispositivo al que se conecta AWS IoT Core mediante un certificado. Puede permitir que el dispositivo acceda a todos los MQTT temas o puede restringir su acceso a un solo tema. En otro ejemplo, imagine a un usuario que escribe CLI comandos en la línea de comandos. Al usar una política, puede permitir o denegar el acceso al usuario a cualquier comando o AWS IoT Core recurso. También puede controlar el acceso de una aplicación a los recursos de AWS IoT Core .
Los cambios realizados en una política pueden tardar unos minutos en hacerse efectivos debido a la forma en que se almacenan en caché en AWS IoT los documentos de la política. Es decir, es posible que el acceso a un recurso al que se haya concedido acceso recientemente tarde unos minutos y que se pueda acceder a un recurso durante varios minutos después de que se haya revocado su acceso.
AWS formación y certificación
Para obtener información sobre la autorización AWS IoT Core, realice el curso Profundiza en la AWS IoT Core
autenticación y la autorización
