AWS políticas gestionadas para AWS IoT - AWS IoT Core

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS políticas gestionadas para AWS IoT

Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas tú mismo. Crear políticas gestionadas por los IAM clientes que proporcionen a tu equipo solo los permisos que necesita requiere tiempo y experiencia. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información sobre las políticas AWS administradas, consulte las políticas AWS administradas en la Guía del IAM usuario.

AWS los servicios mantienen y AWS actualizan las políticas administradas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada por AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada por AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.

Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política ReadOnlyAccess AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva característica, AWS agrega permisos de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista y una descripción de las políticas de funciones laborales, consulte las políticas AWS administradas para las funciones laborales en la Guía del IAMusuario.

nota

AWS IoT funciona con ambas AWS IoT IAM políticas. En este tema se analizan únicamente IAM las políticas, que definen una acción política para las API operaciones del plano de control y del plano de datos. Véase también AWS IoT Core políticas.

AWS política gestionada: AWSIoTConfigAccess

Puede adjuntar la AWSIoTConfigAccess política a sus IAM identidades.

Esta política concede los permisos de identidad asociados que permiten el acceso a todas las operaciones de configuración de AWS IoT . Esta política puede afectar al procesamiento y al almacenamiento de datos. Para ver esta política en AWS Management Console, consulte AWSIoTConfigAccess.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • iot— Recuperar AWS IoT datos y realizar acciones de configuración de IoT.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:AcceptCertificateTransfer", "iot:AddThingToThingGroup", "iot:AssociateTargetsWithJob", "iot:AttachPolicy", "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CancelCertificateTransfer", "iot:CancelJob", "iot:CancelJobExecution", "iot:ClearDefaultAuthorizer", "iot:CreateAuthorizer", "iot:CreateCertificateFromCsr", "iot:CreateJob", "iot:CreateKeysAndCertificate", "iot:CreateOTAUpdate", "iot:CreatePolicy", "iot:CreatePolicyVersion", "iot:CreateRoleAlias", "iot:CreateStream", "iot:CreateThing", "iot:CreateThingGroup", "iot:CreateThingType", "iot:CreateTopicRule", "iot:DeleteAuthorizer", "iot:DeleteCACertificate", "iot:DeleteCertificate", "iot:DeleteJob", "iot:DeleteJobExecution", "iot:DeleteOTAUpdate", "iot:DeletePolicy", "iot:DeletePolicyVersion", "iot:DeleteRegistrationCode", "iot:DeleteRoleAlias", "iot:DeleteStream", "iot:DeleteThing", "iot:DeleteThingGroup", "iot:DeleteThingType", "iot:DeleteTopicRule", "iot:DeleteV2LoggingLevel", "iot:DeprecateThingType", "iot:DescribeAuthorizer", "iot:DescribeCACertificate", "iot:DescribeCertificate", "iot:DescribeDefaultAuthorizer", "iot:DescribeEndpoint", "iot:DescribeEventConfigurations", "iot:DescribeIndex", "iot:DescribeJob", "iot:DescribeJobExecution", "iot:DescribeRoleAlias", "iot:DescribeStream", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingRegistrationTask", "iot:DescribeThingType", "iot:DetachPolicy", "iot:DetachPrincipalPolicy", "iot:DetachThingPrincipal", "iot:DisableTopicRule", "iot:EnableTopicRule", "iot:GetEffectivePolicies", "iot:GetIndexingConfiguration", "iot:GetJobDocument", "iot:GetLoggingOptions", "iot:GetOTAUpdate", "iot:GetPolicy", "iot:GetPolicyVersion", "iot:GetRegistrationCode", "iot:GetTopicRule", "iot:GetV2LoggingOptions", "iot:ListAttachedPolicies", "iot:ListAuthorizers", "iot:ListCACertificates", "iot:ListCertificates", "iot:ListCertificatesByCA", "iot:ListIndices", "iot:ListJobExecutionsForJob", "iot:ListJobExecutionsForThing", "iot:ListJobs", "iot:ListOTAUpdates", "iot:ListOutgoingCertificates", "iot:ListPolicies", "iot:ListPolicyPrincipals", "iot:ListPolicyVersions", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListRoleAliases", "iot:ListStreams", "iot:ListTargetsForPolicy", "iot:ListThingGroups", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:ListThingRegistrationTaskReports", "iot:ListThingRegistrationTasks", "iot:ListThings", "iot:ListThingsInThingGroup", "iot:ListThingTypes", "iot:ListTopicRules", "iot:ListV2LoggingLevels", "iot:RegisterCACertificate", "iot:RegisterCertificate", "iot:RegisterThing", "iot:RejectCertificateTransfer", "iot:RemoveThingFromThingGroup", "iot:ReplaceTopicRule", "iot:SearchIndex", "iot:SetDefaultAuthorizer", "iot:SetDefaultPolicyVersion", "iot:SetLoggingOptions", "iot:SetV2LoggingLevel", "iot:SetV2LoggingOptions", "iot:StartThingRegistrationTask", "iot:StopThingRegistrationTask", "iot:TestAuthorization", "iot:TestInvokeAuthorizer", "iot:TransferCertificate", "iot:UpdateAuthorizer", "iot:UpdateCACertificate", "iot:UpdateCertificate", "iot:UpdateEventConfigurations", "iot:UpdateIndexingConfiguration", "iot:UpdateRoleAlias", "iot:UpdateStream", "iot:UpdateThing", "iot:UpdateThingGroup", "iot:UpdateThingGroupsForThing", "iot:UpdateAccountAuditConfiguration", "iot:DescribeAccountAuditConfiguration", "iot:DeleteAccountAuditConfiguration", "iot:StartOnDemandAuditTask", "iot:CancelAuditTask", "iot:DescribeAuditTask", "iot:ListAuditTasks", "iot:CreateScheduledAudit", "iot:UpdateScheduledAudit", "iot:DeleteScheduledAudit", "iot:DescribeScheduledAudit", "iot:ListScheduledAudits", "iot:ListAuditFindings", "iot:CreateSecurityProfile", "iot:DescribeSecurityProfile", "iot:UpdateSecurityProfile", "iot:DeleteSecurityProfile", "iot:AttachSecurityProfile", "iot:DetachSecurityProfile", "iot:ListSecurityProfiles", "iot:ListSecurityProfilesForTarget", "iot:ListTargetsForSecurityProfile", "iot:ListActiveViolations", "iot:ListViolationEvents", "iot:ValidateSecurityProfileBehaviors" ], "Resource": "*" } ] }

AWS política gestionada: AWSIoTConfigReadOnlyAccess

Puede adjuntar la AWSIoTConfigReadOnlyAccess política a sus IAM identidades.

Esta política concede los permisos de identidad asociados que permiten el acceso de solo lectura a todas las operaciones de configuración de AWS IoT . Para ver esta política en AWS Management Console, consulte AWSIoTConfigReadOnlyAccess.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • iot: realice operaciones de solo lectura de las acciones de configuración de IoT.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:DescribeAuthorizer", "iot:DescribeCACertificate", "iot:DescribeCertificate", "iot:DescribeDefaultAuthorizer", "iot:DescribeEndpoint", "iot:DescribeEventConfigurations", "iot:DescribeIndex", "iot:DescribeJob", "iot:DescribeJobExecution", "iot:DescribeRoleAlias", "iot:DescribeStream", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingRegistrationTask", "iot:DescribeThingType", "iot:GetEffectivePolicies", "iot:GetIndexingConfiguration", "iot:GetJobDocument", "iot:GetLoggingOptions", "iot:GetOTAUpdate", "iot:GetPolicy", "iot:GetPolicyVersion", "iot:GetRegistrationCode", "iot:GetTopicRule", "iot:GetV2LoggingOptions", "iot:ListAttachedPolicies", "iot:ListAuthorizers", "iot:ListCACertificates", "iot:ListCertificates", "iot:ListCertificatesByCA", "iot:ListIndices", "iot:ListJobExecutionsForJob", "iot:ListJobExecutionsForThing", "iot:ListJobs", "iot:ListOTAUpdates", "iot:ListOutgoingCertificates", "iot:ListPolicies", "iot:ListPolicyPrincipals", "iot:ListPolicyVersions", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListRoleAliases", "iot:ListStreams", "iot:ListTargetsForPolicy", "iot:ListThingGroups", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:ListThingRegistrationTaskReports", "iot:ListThingRegistrationTasks", "iot:ListThings", "iot:ListThingsInThingGroup", "iot:ListThingTypes", "iot:ListTopicRules", "iot:ListV2LoggingLevels", "iot:SearchIndex", "iot:TestAuthorization", "iot:TestInvokeAuthorizer", "iot:DescribeAccountAuditConfiguration", "iot:DescribeAuditTask", "iot:ListAuditTasks", "iot:DescribeScheduledAudit", "iot:ListScheduledAudits", "iot:ListAuditFindings", "iot:DescribeSecurityProfile", "iot:ListSecurityProfiles", "iot:ListSecurityProfilesForTarget", "iot:ListTargetsForSecurityProfile", "iot:ListActiveViolations", "iot:ListViolationEvents", "iot:ValidateSecurityProfileBehaviors" ], "Resource": "*" } ] }

AWS política gestionada: AWSIoTDataAccess

Puede adjuntar la AWSIoTDataAccess política a sus IAM identidades.

Esta política concede a los permisos de identidad asociados que permiten el acceso a todas las operaciones de AWS IoT datos. Las operaciones de datos envían datos a través MQTT de HTTP nuestros protocolos. Para ver esta política en la AWS Management Console, consulte AWSIoTDataAccess.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • iot— Recupere AWS IoT datos y permita el acceso total a las acciones AWS IoT de mensajería.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:Connect", "iot:Publish", "iot:Subscribe", "iot:Receive", "iot:GetThingShadow", "iot:UpdateThingShadow", "iot:DeleteThingShadow", "iot:ListNamedShadowsForThing" ], "Resource": "*" } ] }

AWS política gestionada: AWSIoTFullAccess

Puede adjuntar la AWSIoTFullAccess política a sus IAM identidades.

Esta política concede los permisos de identidad asociados que permiten el acceso a todas las operaciones de configuración y mensajería de AWS IoT . Para ver esta política en AWS Management Console, consulte AWSIoTFullAccess.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • iot— Recupere AWS IoT datos y permita el acceso total a las acciones de AWS IoT configuración y mensajería.

  • iotjobsdata— Recupere los datos de AWS IoT Jobs y permita el acceso total a las API operaciones del plano de datos de AWS IoT Jobs.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:*", "iotjobsdata:*" ], "Resource": "*" } ] }

AWS política gestionada: AWSIoTLogging

Puede adjuntar la AWSIoTLogging política a sus IAM identidades.

Esta política concede los permisos de identidad asociados que permiten el acceso para crear grupos de Amazon CloudWatch Logs y transmitir registros a los grupos. Esta política está asociada a su función de CloudWatch registro. Para ver esta política en AWS Management Console, consulte AWSIoTLogging.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • logs— Recuperar CloudWatch registros. También permite la creación de grupos de CloudWatch registros y la transmisión de registros a los grupos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:PutMetricFilter", "logs:PutRetentionPolicy", "logs:GetLogEvents", "logs:DeleteLogStream" ], "Resource": [ "*" ] } ] }

AWS política gestionada: AWSIoTOTAUpdate

Puede adjuntar la AWSIoTOTAUpdate política a sus IAM identidades.

Esta política otorga los permisos de identidad asociados que permiten el acceso para crear AWS IoT trabajos, trabajos de firma de AWS IoT código y describir trabajos de firmante de AWS código. Para ver esta política en AWS Management Console, consulteAWSIoTOTAUpdate.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • iot— Crear AWS IoT trabajos y trabajos de firma de código.

  • signer— Realizar la creación de trabajos de firmante de AWS código.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iot:CreateJob", "signer:DescribeSigningJob" ], "Resource": "*" } }

AWS política gestionada: AWSIoTRuleActions

Puede adjuntar la AWSIoTRuleActions política a sus IAM identidades.

Esta política concede a las identidades asociadas los permisos de identidad que permiten el acceso a todas Servicio de AWS las acciones de las AWS IoT reglas. Para ver esta política en AWS Management Console, consulte AWSIoTRuleActions.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • iot: realice acciones para publicar los mensajes de acción de las reglas.

  • dynamodb: inserte un mensaje en una tabla de DynamoDB o divida un mensaje en varias columnas de una tabla de DynamoDB.

  • s3: almacene un objeto a un bucket de Amazon S3.

  • kinesis: envíe un mensaje a un objeto de flujo de Amazon Kinesis.

  • firehose- Inserta un registro en un objeto de flujo Firehose.

  • cloudwatch- Cambie el estado CloudWatch de la alarma o envíe los datos del mensaje a la CloudWatch métrica.

  • sns- Realice la operación para publicar una notificación mediante AmazonSNS. Esta operación se limita a los AWS IoT SNS temas.

  • sqs- Inserta un mensaje para añadirlo a la SQS lista.

  • es- Enviar un mensaje al OpenSearch servicio de servicio.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "dynamodb:PutItem", "kinesis:PutRecord", "iot:Publish", "s3:PutObject", "sns:Publish", "sqs:SendMessage*", "cloudwatch:SetAlarmState", "cloudwatch:PutMetricData", "es:ESHttpPut", "firehose:PutRecord" ], "Resource": "*" } }

AWS política gestionada: AWSIoTThingsRegistration

Puede adjuntar la AWSIoTThingsRegistration política a sus IAM identidades.

Esta política otorga los permisos de identidad asociados que permiten acceder y registrar cosas de forma masiva mediante StartThingRegistrationTaskAPI. Esta política puede afectar al procesamiento y al almacenamiento de datos. Para ver esta política en AWS Management Console, consulte AWSIoTThingsRegistration.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • iot: realice acciones para crear objetos y asociar políticas y certificados al registrarse de forma masiva.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:AddThingToThingGroup", "iot:AttachPolicy", "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateCertificateFromCsr", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeCertificate", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:DetachPolicy", "iot:DetachThingPrincipal", "iot:GetPolicy", "iot:ListAttachedPolicies", "iot:ListPolicyPrincipals", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListTargetsForPolicy", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:RegisterCertificate", "iot:RegisterThing", "iot:RemoveThingFromThingGroup", "iot:UpdateCertificate", "iot:UpdateThing", "iot:UpdateThingGroupsForThing", "iot:AddThingToBillingGroup", "iot:DescribeBillingGroup", "iot:RemoveThingFromBillingGroup" ], "Resource": [ "*" ] } ] }

AWS IoT actualizaciones de las políticas AWS gestionadas

Consulte los detalles sobre las actualizaciones de las políticas AWS administradas AWS IoT desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase al RSS feed de la página del historial del AWS IoT documento.

Cambio Descripción Fecha

AWSIoTFullAccess: actualización de una política actual

AWS IoT se han añadido nuevos permisos para permitir a los usuarios acceder a API las operaciones del plano de datos de AWS IoT Jobs mediante el HTTP protocolo.

Un nuevo prefijo IAM de políticaiotjobsdata:, le proporciona un control de acceso más detallado para acceder a los puntos finales del plano de datos de AWS IoT Jobs. Para las API operaciones del plano de control, se seguirá utilizando el prefijo. iot: Para obtener más información, consulte AWS IoT Core políticas de HTTPS protocolo.

11 de mayo de 2022

AWS IoT comenzó a rastrear los cambios

AWS IoT comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas.

11 de mayo de 2022