Accès intercompte avec IAM

Mode de mise au point

Accès intercompte avec IAM - AWS IoT Core

AWS IoT Core vous permet d'autoriser un directeur à publier ou à s'abonner à un sujet défini dans un sujet qui Compte AWS n'appartient pas au principal. Vous configurez l'accès entre comptes en créant une politique IAM et un rôle IAM, puis en attachant la stratégie au rôle.

Tout d'abord, créez une politique IAM gérée par le client (voir Création de stratégies IAM, comme vous le feriez pour d'autres utilisateurs et certificats de votre Compte AWS.

Pour les appareils enregistrés dans le AWS IoT Core registre, la politique suivante autorise les appareils à se connecter à AWS IoT Core l'aide d'un identifiant client correspondant au nom de l'objet de l'appareil et à publier sur le site my/topic/thing-name où se thing-name trouve le nom de l'objet de l'appareil :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": ["arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": ["arn:aws:iot:us-east-1:123456789012:topic/my/topic/${iot:Connection.Thing.ThingName}"],
        }
    ]
}

Pour les appareils non enregistrés dans le AWS IoT Core registre, la politique suivante autorise un appareil à utiliser le nom d'objet client1 enregistré dans le AWS IoT Core registre de votre compte (123456789012) pour se connecter AWS IoT Core et publier sur une rubrique spécifique à l'identifiant client dont le nom est préfixé par : my/topic/


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/client1"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/my/topic/${iot:ClientId}"
            ]
        }
    ]
}

Suivez ensuite les étapes décrites dans Création d'un rôle pour déléguer des autorisations à un utilisateur IAM. Saisissez l'ID du compte Compte AWS avec lequel vous souhaitez partager l'accès. Puis, dans la dernière étape, attachez la stratégie que vous venez de créer au rôle. Si, ultérieurement, vous avez besoin de modifier l'ID de compte AWS auquel vous accordez l'accès, vous pouvez utiliser le format de stratégie d'approbation suivant à cet effet :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": { 
                "AWS": "arn:aws:iam:us-east-1:567890123456:user/MyUser"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Autoriser les appels directs vers des AWS services à l'aide d'un fournisseur AWS IoT Core d'informations d'identification

Protection des données

Sélectionner vos préférences de cookies

Personnaliser les préférences de cookies

Essentiels

Performances

Fonctionnels

Publicitaires

Impossible d'enregistrer les préférences concernant les cookies

Accès intercompte avec IAM

Cette page vous a-t-elle été utile ?

Rubrique suivante :

Rubrique précédente :

Avez-vous besoin d’aide ?