Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisation
L'autorisation est le processus d'octroi d'autorisations à une identité authentifiée. Vous accordez des autorisations d' AWS IoT Core utilisation AWS IoT Core et des IAM politiques. Cette rubrique couvre les stratégies AWS IoT Core . Pour plus d'informations sur IAM les politiques, reportez-vous Gestion des identités et des accès pour AWS IoT aux sections etComment AWS IoT fonctionne avec IAM.
AWS IoT Core les politiques déterminent ce que peut faire une identité authentifiée. Une identité authentifiée peut être utilisée par des appareils, des applications mobiles, des applications web et des applications de bureau. Une identité authentifiée peut même être une saisie de AWS IoT Core CLI commandes par un utilisateur. Une identité ne peut exécuter AWS IoT Core des opérations que si elle dispose d'une politique qui lui accorde l'autorisation de ces opérations.
Les AWS IoT Core politiques et IAM les politiques sont utilisées AWS IoT Core pour contrôler les opérations qu'une identité (également appelée principal) peut effectuer. Le type de politique que vous utilisez dépend du type d'identité que vous utilisez pour vous authentifier. AWS IoT Core
AWS IoT Core les opérations sont divisées en deux groupes :
-
APILe plan de contrôle vous permet d'effectuer des tâches administratives telles que la création ou la mise à jour de certificats, d'objets, de règles, etc.
-
APILe plan de données vous permet d'envoyer des données vers et de recevoir des données depuis AWS IoT Core.
Le type de politique que vous utilisez varie selon que vous utilisez un plan de contrôle ou un plan de donnéesAPI.
Le tableau suivant présente les différents types d'identité, les protocoles qu'ils utilisent, ainsi que les types de stratégie qui peuvent être utilisés à des fins d'autorisation.
| Protocole et mécanisme d'authentification | SDK | Type d'identité | Type de stratégie |
|---|---|---|---|
| MQTTsurTLS/TCP, authentification TLS mutuelle (port 8883 ou 443) †) | AWS IoT Appareil SDK | Certificats X.509 | AWS IoT Core politique |
| MQTTsurHTTPS/WebSocket, authentification AWS SigV4 (port 443) | AWS Portable SDK | Identité Amazon Cognito authentifiée | IAMet AWS IoT Core politiques |
| Identité Amazon Cognito non authentifiée | IAMpolitique | ||
| IAM ou identité fédérée | IAMpolitique | ||
| HTTPS, authentification par AWS signature version 4 (port 443) | AWS CLI | Amazon CognitoIAM, ou identité fédérée | IAMpolitique |
| HTTPS, authentification TLS mutuelle (port 8443) | Pas de SDK support | Certificats X.509 | AWS IoT Core politique |
| HTTPSvia une authentification personnalisée (Port 443) | AWS IoT Appareil SDK | Mécanisme d’autorisation personnalisé | Stratégie d'autorisation personnalisée |
| Protocole et mécanisme d'authentification | SDK | Type d'identité | Type de stratégie |
|---|---|---|---|
| HTTPS AWS Authentification par signature version 4 (port 443) | AWS CLI | Identité Amazon Cognito | IAMpolitique |
| IAM ou identité fédérée | IAMpolitique |
AWS IoT Core les politiques sont associées aux certificats X.509, aux identités Amazon Cognito ou aux groupes d'objets. IAMles politiques sont associées à un IAM utilisateur, à un groupe ou à un rôle. Si vous utilisez la AWS IoT console ou le AWS IoT Core CLI pour associer la politique (à un certificat, à Amazon Cognito Identity ou à un groupe d'objets), vous utilisez une AWS IoT Core politique. Dans le cas contraire, vous utilisez une IAM politique. AWS IoT Core les politiques associées à un groupe d'objets s'appliquent à tout élément de ce groupe d'objets. Pour que la AWS IoT Core politique entre en vigueur, le nom clientId et le nom de l'objet doivent correspondre.
L'autorisation basée sur la stratégie est un outil puissant. Elle vous permet de contrôler entièrement ce qu'un appareil, un utilisateur ou une application peut faire dans AWS IoT Core. Prenons l'exemple d'un appareil qui se connecte à l' AWS IoT Core aide d'un certificat. Vous pouvez autoriser l'appareil à accéder à toutes les MQTT rubriques ou vous pouvez restreindre son accès à une seule rubrique. Dans un autre exemple, imaginez un utilisateur qui tape CLI des commandes sur la ligne de commande. En utilisant une politique, vous pouvez autoriser ou refuser l'accès à n'importe quelle commande ou AWS IoT Core ressource pour l'utilisateur. Vous pouvez également contrôler l'accès d'une application aux ressources AWS IoT Core .
Les modifications apportées à une stratégie peuvent prendre quelques minutes pour être effectives en raison de la façon dont AWS IoT met en cache les documents de stratégie. Autrement dit, l'accès à une ressource à laquelle l'accès a récemment été accordé peut prendre quelques minutes, et une ressource peut être accessible pendant plusieurs minutes après la révocation de son accès.
AWS formation et certification
Pour plus d'informations sur l'autorisation AWS IoT Core, suivez le cours Deep Dive into AWS IoT Core
Authentication and Authorization
