Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisation
L'autorisation est le processus d'octroi d'autorisations à une identité authentifiée. Vous accordez des autorisations dans AWS IoT Core utilisant AWS IoT Core et IAM politiques. Cette rubrique couvre AWS IoT Core politiques. Pour plus d'informations sur IAM les politiques, consultez Gestion des identités et des accès pour AWS IoT etComment ? AWS IoT fonctionne avec IAM.
AWS IoT Core les politiques déterminent ce que peut faire une identité authentifiée. Une identité authentifiée peut être utilisée par des appareils, des applications mobiles, des applications web et des applications de bureau. Une identité authentifiée peut même être une saisie par un utilisateur AWS IoT Core CLIcommandes. Une identité peut s'exécuter AWS IoT Core opérations uniquement si elle dispose d'une politique qui lui accorde l'autorisation d'effectuer ces opérations.
les deux AWS IoT Core les politiques et IAM les politiques sont utilisées avec AWS IoT Core pour contrôler les opérations qu'une identité (également appelée principal) peut effectuer. Le type de politique que vous utilisez dépend du type d'identité que vous utilisez pour vous authentifier AWS IoT Core.
AWS IoT Core les opérations sont divisées en deux groupes :
-
APILe plan de contrôle vous permet d'effectuer des tâches administratives telles que la création ou la mise à jour de certificats, d'objets, de règles, etc.
-
Le plan de données vous API permet d'envoyer des données vers et de recevoir des données depuis AWS IoT Core.
Le type de politique que vous utilisez varie selon que vous utilisez un plan de contrôle ou un plan de donnéesAPI.
Le tableau suivant présente les différents types d'identité, les protocoles qu'ils utilisent, ainsi que les types de stratégie qui peuvent être utilisés à des fins d'autorisation.
AWS IoT Core types de plans API de données et de politiques | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Protocole et mécanisme d'authentification | SDK | Type d'identité | Type de stratégie | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| MQTTsurTLS/TCP, authentification TLS mutuelle (port 8883 ou 443) †) | AWS IoT Appareil SDK | Certificats X.509 | AWS IoT Core politique | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| MQTTplus deHTTPS/WebSocket, AWS Authentification SigV4 (port 443) | AWS Portable SDK | Identité Amazon Cognito authentifiée | IAMet AWS IoT Core politiques | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Identité Amazon Cognito non authentifiée | IAMpolitique | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| IAM ou identité fédérée | IAMpolitique | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| HTTPS, AWS Authentification par signature version 4 (port 443) | AWS CLI | Amazon CognitoIAM, ou identité fédérée | IAMpolitique | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| HTTPS, authentification TLS mutuelle (port 8443) | Pas de SDK support | Certificats X.509 | AWS IoT Core politique | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| HTTPSvia une authentification personnalisée (Port 443) | AWS IoT Appareil SDK | Mécanisme d’autorisation personnalisé | Stratégie d'autorisation personnalisée | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWS IoT Core plan de contrôle API et types de politiques | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Protocole et mécanisme d'authentification | SDK | Type d'identité | Type de stratégie | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| HTTPS AWS Authentification par signature version 4 (port 443) | AWS CLI | Identité Amazon Cognito | IAMpolitique | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| IAM ou identité fédérée | IAMpolitique | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWS IoT Core les politiques sont associées aux certificats X.509, aux identités Amazon Cognito ou aux groupes d'objets. IAMles politiques sont associées à un IAM utilisateur, à un groupe ou à un rôle. Si vous utilisez le plugin AWS IoT console ou AWS IoT Core CLIpour associer la politique (à un certificat, à Amazon Cognito Identity ou à un groupe d'objets), vous utilisez un AWS IoT Core politique. Sinon, vous utilisez une stratégie IAM. AWS IoT Core les politiques associées à un groupe d'objets s'appliquent à tout élément de ce groupe d'objets. Pour AWS IoT Core pour que la politique entre en vigueur, le nom clientId et le nom de l'objet doivent correspondre.
L'autorisation basée sur la stratégie est un outil puissant. Il vous donne un contrôle total sur ce qu'un appareil, un utilisateur ou une application peut faire dans AWS IoT Core. Imaginons, par exemple, qu'un appareil se connecte à AWS IoT Core avec un certificat. Vous pouvez autoriser l'appareil à accéder à toutes les MQTT rubriques ou vous pouvez restreindre son accès à une seule rubrique. Dans un autre exemple, imaginez un utilisateur qui tape CLI des commandes sur la ligne de commande. En utilisant une politique, vous pouvez autoriser ou refuser l'accès à n'importe quelle commande ou AWS IoT Core ressource pour l'utilisateur. Vous pouvez également contrôler l'accès d'une application à AWS IoT Core ressources.
Les modifications apportées à une politique peuvent prendre quelques minutes pour entrer en vigueur en raison de la manière dont AWS IoT met en cache les documents de politique. Autrement dit, l'accès à une ressource à laquelle l'accès a récemment été accordé peut prendre quelques minutes, et une ressource peut être accessible pendant plusieurs minutes après la révocation de son accès.
AWS formation et certification
Pour plus d'informations sur l'autorisation dans AWS IoT Core, plongez dans AWS IoT Core
