Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administración de identidad y acceso para AWS IoT Events
AWS Identity and Access Management (IAM) es un AWS servicio que ayuda al administrador a controlar de forma segura el acceso a AWS los recursos. IAMlos administradores controlan quién puede autenticarse (iniciar sesión) y quién está autorizado (tiene permisos) para usar AWS IoT Events los recursos. IAMes un AWS servicio que puede utilizar sin coste adicional.
Temas
- Público
- Autenticación con identidades
- Administración de acceso mediante políticas
- Más información sobre la gestión de identidades y accesos
- ¿Cómo AWS IoT Events funciona con IAM
- AWS IoT Events ejemplos de políticas basadas en la identidad
- Prevención policial confusa entre servicios para AWS IoT Events
- Solucione los problemas de AWS IoT Events identidad y acceso
Público
La forma de usar AWS Identity and Access Management (IAM) varía según el trabajo en el que se realice AWS IoT Events.
Usuario del servicio: si utiliza el AWS IoT Events servicio para realizar su trabajo, el administrador le proporcionará las credenciales y los permisos que necesita. A medida que vaya utilizando más AWS IoT Events funciones para realizar su trabajo, es posible que necesite permisos adicionales. Entender cómo se administra el acceso puede ayudarlo a solicitar los permisos correctos al administrador. Si no puede acceder a una característica en AWS IoT Events, consulte Solucione los problemas de AWS IoT Events identidad y acceso.
Administrador de servicios: si estás a cargo de AWS IoT Events los recursos de tu empresa, probablemente tengas acceso total a ellos AWS IoT Events. Su trabajo consiste en determinar a qué AWS IoT Events funciones y recursos deben acceder los usuarios del servicio. A continuación, debe enviar solicitudes a su IAM administrador para cambiar los permisos de los usuarios del servicio. Revise la información de esta página para comprender los conceptos básicos deIAM. Para obtener más información sobre cómo su empresa puede utilizar IAM con AWS IoT Events, consulte¿Cómo AWS IoT Events funciona con IAM.
IAMadministrador: si es IAM administrador, puede que desee obtener más información sobre cómo puede redactar políticas para administrar el acceso a ellas AWS IoT Events. Para ver ejemplos de políticas AWS IoT Events basadas en la identidad que puede utilizarIAM, consulte. AWS IoT Events ejemplos de políticas basadas en la identidad
Más información sobre la gestión de identidades y accesos
Para obtener más información sobre la administración de identidades y accesos AWS IoT Events, consulte las siguientes páginas:
¿Cómo AWS IoT Events funciona con IAM
Antes de administrar el acceso a AWS IoT Events, debe comprender qué IAM funciones están disponibles para su uso AWS IoT Events. IAM Para obtener una visión general de cómo funcionan AWS los servicios AWS IoT Events y otros serviciosIAM, consulte AWS los servicios con los que funcionan IAM en la Guía del IAM usuario.
Temas
AWS IoT Events políticas basadas en la identidad
Con las políticas IAM basadas en la identidad, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. AWS IoT Events admite acciones, recursos y claves de condición específicos. Para obtener información sobre todos los elementos que se utilizan en una JSON política, consulte la referencia a los elementos de la IAM JSON política en la Guía del IAM usuario.
Acciones
El Action elemento de una política IAM basada en la identidad describe la acción o las acciones específicas que la política permitirá o denegará. Las acciones políticas suelen tener el mismo nombre que la operación asociada AWS API. La acción se utiliza en una política para otorgar permisos para realizar la operación asociada.
Las acciones políticas AWS IoT Events utilizan el siguiente prefijo antes de la acción:iotevents:. Por ejemplo, para conceder permiso a alguien para crear una AWS IoT Events entrada con la AWS IoT Events CreateInput API operación, debes incluir la iotevents:CreateInput acción en su política. Para conceder permiso a alguien para enviar una entrada con la AWS IoT Events BatchPutMessage API operación, debes incluir la iotevents-data:BatchPutMessage acción en su política. Las declaraciones de política deben incluir un NotAction elemento Action o. AWS IoT Events define su propio conjunto de acciones que describen las tareas que puede realizar con este servicio.
Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:
"Action": [ "iotevents:action1", "iotevents:action2"
Puede utilizar caracteres comodín para especificar varias acciones (*). Por ejemplo, para especificar todas las acciones que comiencen con la palabra Describe, incluya la siguiente acción:
"Action": "iotevents:Describe*"
Para ver una lista de AWS IoT Events acciones, consulte las acciones definidas por AWS IoT Events en la Guía del IAM usuario.
Recursos
El elemento Resource especifica el objeto u objetos a los que se aplica la acción. Las instrucciones deben contener un elemento Resource o NotResource. Para especificar un recurso, utilice un ARN o un comodín (*) para indicar que la declaración se aplica a todos los recursos.
El recurso del modelo de AWS IoT Events detector tiene lo siguiente: ARN
arn:${Partition}:iotevents:${Region}:${Account}:detectorModel/${detectorModelName}
Para obtener más información sobre el formato deARNs, consulte Identificar AWS los recursos con los nombres de los recursos de Amazon (ARNs).
Por ejemplo, para especificar el modelo de Foobar detector en su declaración, utilice lo siguienteARN:
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/Foobar"
Para especificar todas las instancias que pertenecen a una cuenta específica, utilice el carácter comodín (*):
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/*"
Algunas AWS IoT Events acciones, como las de creación de recursos, no se pueden realizar en un recurso específico. En dichos casos, debe utilizar el carácter comodín (*).
"Resource": "*"
Algunas AWS IoT Events API acciones implican varios recursos. Por ejemplo, CreateDetectorModel hace referencia a las entradas en sus declaraciones de condición, por lo que un usuario debe tener permisos para utilizar la entrada y el modelo de detector. Para especificar varios recursos en una sola sentencia, sepárelos ARNs con comas.
"Resource": [ "resource1", "resource2"
Para ver una lista de los tipos de AWS IoT Events recursos y sus respectivos tiposARNs, consulte los recursos definidos por AWS IoT Events en la Guía del IAM usuario. Para saber con qué acciones puede especificar cada recurso, consulte Acciones definidas por AWS IoT Events. ARN
Claves de condición
El elemento Condition (o bloque de Condition) permite especificar condiciones en las que entra en vigor una instrucción. El elemento Condition es opcional. Puede crear expresiones condicionales que utilizan operadores de condición, tales como igual o menor que, para que coincida la condición de la política con valores de la solicitud.
Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento de Condition, AWS las evalúa mediante una operación AND lógica. Si especifica varios valores para una sola clave de condición, AWS evalúa la condición mediante una OR operación lógica. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.
También puede utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puede conceder a un usuario permiso para acceder a un recurso solo si está etiquetado con su nombre de usuario. Para obtener más información, consulte los elementos IAM de política: variables y etiquetas en la Guía del IAM usuario.
AWS IoT Events no proporciona ninguna clave de condición específica del servicio, pero admite el uso de algunas claves de condición globales. Para ver todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Guía del IAM usuario».
Ejemplos
Para ver ejemplos de políticas AWS IoT Events basadas en la identidad, consulte. AWS IoT Events ejemplos de políticas basadas en la identidad
Políticas de AWS IoT Events basadas en recursos
AWS IoT Events no es compatible con las políticas basadas en los recursos». Para ver un ejemplo de una página detallada de política basada en recursos, consulte https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html.
Autorización basada en etiquetas de AWS IoT Events
Puedes adjuntar etiquetas a AWS IoT Events los recursos o pasarles etiquetas en una solicitud. AWS IoT Events Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política utilizando las claves de condición iotevents:ResourceTag/, key-nameaws:RequestTag/ o key-nameaws:TagKeys. Para obtener más información acerca del etiquetado de recursos de AWS IoT Events
, consulte Etiquetar sus recursos AWS IoT Events.
Para consultar un ejemplo de política basada en la identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte Vea AWS IoT Events las entradas en función de las etiquetas.
AWS IoT Events IAMroles
Un IAMrol es una entidad dentro de ti Cuenta de AWS que tiene permisos específicos.
Utilizar credenciales temporales con AWS IoT Events
Puede usar credenciales temporales para iniciar sesión con la federación, asumir un IAM rol o asumir un rol multicuenta. Las credenciales de seguridad temporales se obtienen llamando a AWS Security Token Service (AWS STS) API operaciones como AssumeRoleo GetFederationToken.
AWS IoT Events no admite el uso de credenciales temporales.
Roles vinculados al servicio
Los roles vinculados a un servicio permiten a AWS los servicios acceder a los recursos de otros servicios para completar una acción en tu nombre. Los roles vinculados al servicio aparecen en tu IAM cuenta y son propiedad del servicio. Un IAM administrador puede ver los permisos de los roles vinculados al servicio, pero no editarlos.
AWS IoT Events no admite los roles vinculados al servicio.
Roles de servicio
Esta característica permite que un servicio asuma un rol de servicio en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su IAM cuenta y son propiedad de la cuenta. Esto significa que un IAM administrador puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
AWS IoT Events admite funciones de servicio.
