AWS politiques gérées pour AWS IoT - AWS IoT Core

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour AWS IoT

Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l'expertise pour créer des politiques gérées par les IAM clients qui fournissent à votre équipe uniquement les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent des cas d’utilisation courants et sont disponibles dans votre Compte AWS. Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS gérées dans le Guide de IAM l'utilisateur.

AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent occasionnellement des autorisations à une politique gérée par AWS pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont très susceptibles de mettre à jour une politique gérée par AWS quand une nouvelle fonctionnalité est lancée ou quand de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.

En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique ReadOnlyAccess AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Quand un service lance une nouvelle fonctionnalité, AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir une liste et une description des politiques relatives aux fonctions de travail, voir les politiques AWS gérées pour les fonctions de travail dans le Guide de IAM l'utilisateur.

Note

AWS IoT fonctionne à la fois avec les IAM politiques AWS IoT et les politiques. Cette rubrique traite uniquement des IAM politiques, qui définissent une action de stratégie pour les API opérations du plan de contrôle et du plan de données. Voir aussi AWS IoT Core politiques.

AWS politique gérée : AWSIoTConfigAccess

Vous pouvez associer la AWSIoTConfigAccess politique à votre IAM identité.

Cette politique accorde les autorisations d'identité associées qui permettent d'accéder à toutes les opérations de configuration AWS IoT . Cette stratégie peut affecter le traitement et le stockage des données. Pour consulter cette politique dans le AWS Management Console, voir AWSIoTConfigAccess.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iot— Récupérez AWS IoT des données et effectuez des actions de configuration IoT.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:AcceptCertificateTransfer", "iot:AddThingToThingGroup", "iot:AssociateTargetsWithJob", "iot:AttachPolicy", "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CancelCertificateTransfer", "iot:CancelJob", "iot:CancelJobExecution", "iot:ClearDefaultAuthorizer", "iot:CreateAuthorizer", "iot:CreateCertificateFromCsr", "iot:CreateJob", "iot:CreateKeysAndCertificate", "iot:CreateOTAUpdate", "iot:CreatePolicy", "iot:CreatePolicyVersion", "iot:CreateRoleAlias", "iot:CreateStream", "iot:CreateThing", "iot:CreateThingGroup", "iot:CreateThingType", "iot:CreateTopicRule", "iot:DeleteAuthorizer", "iot:DeleteCACertificate", "iot:DeleteCertificate", "iot:DeleteJob", "iot:DeleteJobExecution", "iot:DeleteOTAUpdate", "iot:DeletePolicy", "iot:DeletePolicyVersion", "iot:DeleteRegistrationCode", "iot:DeleteRoleAlias", "iot:DeleteStream", "iot:DeleteThing", "iot:DeleteThingGroup", "iot:DeleteThingType", "iot:DeleteTopicRule", "iot:DeleteV2LoggingLevel", "iot:DeprecateThingType", "iot:DescribeAuthorizer", "iot:DescribeCACertificate", "iot:DescribeCertificate", "iot:DescribeDefaultAuthorizer", "iot:DescribeEndpoint", "iot:DescribeEventConfigurations", "iot:DescribeIndex", "iot:DescribeJob", "iot:DescribeJobExecution", "iot:DescribeRoleAlias", "iot:DescribeStream", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingRegistrationTask", "iot:DescribeThingType", "iot:DetachPolicy", "iot:DetachPrincipalPolicy", "iot:DetachThingPrincipal", "iot:DisableTopicRule", "iot:EnableTopicRule", "iot:GetEffectivePolicies", "iot:GetIndexingConfiguration", "iot:GetJobDocument", "iot:GetLoggingOptions", "iot:GetOTAUpdate", "iot:GetPolicy", "iot:GetPolicyVersion", "iot:GetRegistrationCode", "iot:GetTopicRule", "iot:GetV2LoggingOptions", "iot:ListAttachedPolicies", "iot:ListAuthorizers", "iot:ListCACertificates", "iot:ListCertificates", "iot:ListCertificatesByCA", "iot:ListIndices", "iot:ListJobExecutionsForJob", "iot:ListJobExecutionsForThing", "iot:ListJobs", "iot:ListOTAUpdates", "iot:ListOutgoingCertificates", "iot:ListPolicies", "iot:ListPolicyPrincipals", "iot:ListPolicyVersions", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListRoleAliases", "iot:ListStreams", "iot:ListTargetsForPolicy", "iot:ListThingGroups", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:ListThingRegistrationTaskReports", "iot:ListThingRegistrationTasks", "iot:ListThings", "iot:ListThingsInThingGroup", "iot:ListThingTypes", "iot:ListTopicRules", "iot:ListV2LoggingLevels", "iot:RegisterCACertificate", "iot:RegisterCertificate", "iot:RegisterThing", "iot:RejectCertificateTransfer", "iot:RemoveThingFromThingGroup", "iot:ReplaceTopicRule", "iot:SearchIndex", "iot:SetDefaultAuthorizer", "iot:SetDefaultPolicyVersion", "iot:SetLoggingOptions", "iot:SetV2LoggingLevel", "iot:SetV2LoggingOptions", "iot:StartThingRegistrationTask", "iot:StopThingRegistrationTask", "iot:TestAuthorization", "iot:TestInvokeAuthorizer", "iot:TransferCertificate", "iot:UpdateAuthorizer", "iot:UpdateCACertificate", "iot:UpdateCertificate", "iot:UpdateEventConfigurations", "iot:UpdateIndexingConfiguration", "iot:UpdateRoleAlias", "iot:UpdateStream", "iot:UpdateThing", "iot:UpdateThingGroup", "iot:UpdateThingGroupsForThing", "iot:UpdateAccountAuditConfiguration", "iot:DescribeAccountAuditConfiguration", "iot:DeleteAccountAuditConfiguration", "iot:StartOnDemandAuditTask", "iot:CancelAuditTask", "iot:DescribeAuditTask", "iot:ListAuditTasks", "iot:CreateScheduledAudit", "iot:UpdateScheduledAudit", "iot:DeleteScheduledAudit", "iot:DescribeScheduledAudit", "iot:ListScheduledAudits", "iot:ListAuditFindings", "iot:CreateSecurityProfile", "iot:DescribeSecurityProfile", "iot:UpdateSecurityProfile", "iot:DeleteSecurityProfile", "iot:AttachSecurityProfile", "iot:DetachSecurityProfile", "iot:ListSecurityProfiles", "iot:ListSecurityProfilesForTarget", "iot:ListTargetsForSecurityProfile", "iot:ListActiveViolations", "iot:ListViolationEvents", "iot:ValidateSecurityProfileBehaviors" ], "Resource": "*" } ] }

AWS politique gérée : AWSIoTConfigReadOnlyAccess

Vous pouvez associer la AWSIoTConfigReadOnlyAccess politique à votre IAM identité.

Cette politique accorde les autorisations d'identité associées qui permettent d'accéder en lecture seule à toutes les opérations de configuration AWS IoT . Pour consulter cette politique dans le AWS Management Console, voir AWSIoTConfigReadOnlyAccess.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iot – Effectuez des opérations en lecture seule sur les actions de configuration IoT.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:DescribeAuthorizer", "iot:DescribeCACertificate", "iot:DescribeCertificate", "iot:DescribeDefaultAuthorizer", "iot:DescribeEndpoint", "iot:DescribeEventConfigurations", "iot:DescribeIndex", "iot:DescribeJob", "iot:DescribeJobExecution", "iot:DescribeRoleAlias", "iot:DescribeStream", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingRegistrationTask", "iot:DescribeThingType", "iot:GetEffectivePolicies", "iot:GetIndexingConfiguration", "iot:GetJobDocument", "iot:GetLoggingOptions", "iot:GetOTAUpdate", "iot:GetPolicy", "iot:GetPolicyVersion", "iot:GetRegistrationCode", "iot:GetTopicRule", "iot:GetV2LoggingOptions", "iot:ListAttachedPolicies", "iot:ListAuthorizers", "iot:ListCACertificates", "iot:ListCertificates", "iot:ListCertificatesByCA", "iot:ListIndices", "iot:ListJobExecutionsForJob", "iot:ListJobExecutionsForThing", "iot:ListJobs", "iot:ListOTAUpdates", "iot:ListOutgoingCertificates", "iot:ListPolicies", "iot:ListPolicyPrincipals", "iot:ListPolicyVersions", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListRoleAliases", "iot:ListStreams", "iot:ListTargetsForPolicy", "iot:ListThingGroups", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:ListThingRegistrationTaskReports", "iot:ListThingRegistrationTasks", "iot:ListThings", "iot:ListThingsInThingGroup", "iot:ListThingTypes", "iot:ListTopicRules", "iot:ListV2LoggingLevels", "iot:SearchIndex", "iot:TestAuthorization", "iot:TestInvokeAuthorizer", "iot:DescribeAccountAuditConfiguration", "iot:DescribeAuditTask", "iot:ListAuditTasks", "iot:DescribeScheduledAudit", "iot:ListScheduledAudits", "iot:ListAuditFindings", "iot:DescribeSecurityProfile", "iot:ListSecurityProfiles", "iot:ListSecurityProfilesForTarget", "iot:ListTargetsForSecurityProfile", "iot:ListActiveViolations", "iot:ListViolationEvents", "iot:ValidateSecurityProfileBehaviors" ], "Resource": "*" } ] }

AWS politique gérée : AWSIoTDataAccess

Vous pouvez associer la AWSIoTDataAccess politique à votre IAM identité.

Cette politique accorde les autorisations d'identité associées qui permettent d'accéder à toutes les opérations de AWS IoT données. Les opérations de données envoient des données MQTT ou HTTP des protocoles. Pour afficher cette politique dans AWS Management Console, veuillez consulter AWSIoTDataAccess.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iot— Récupérez AWS IoT les données et autorisez un accès complet aux actions AWS IoT de messagerie.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:Connect", "iot:Publish", "iot:Subscribe", "iot:Receive", "iot:GetThingShadow", "iot:UpdateThingShadow", "iot:DeleteThingShadow", "iot:ListNamedShadowsForThing" ], "Resource": "*" } ] }

AWS politique gérée : AWSIoTFullAccess

Vous pouvez associer la AWSIoTFullAccess politique à votre IAM identité.

Cette politique accorde les autorisations d'identité associées qui permettent d'accéder à toutes les opérations de configuration et de messagerie AWS IoT . Pour consulter cette politique dans le AWS Management Console, voir AWSIoTFullAccess.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iot— Récupérez AWS IoT les données et autorisez un accès complet aux actions AWS IoT de configuration et de messagerie.

  • iotjobsdata— Récupérez les données des AWS IoT tâches et autorisez un accès complet aux API opérations du plan de données des AWS IoT tâches.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:*", "iotjobsdata:*" ], "Resource": "*" } ] }

AWS politique gérée : AWSIoTLogging

Vous pouvez associer la AWSIoTLogging politique à votre IAM identité.

Cette politique accorde les autorisations d'identité associées qui permettent d'accéder à la création de groupes Amazon CloudWatch Logs et à la diffusion des journaux vers les groupes. Cette politique est liée à votre rôle de CloudWatch journalisation. Pour consulter cette politique dans le AWS Management Console, voir AWSIoTLogging.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • logs— Récupère CloudWatch les journaux. Permet également de créer des groupes de CloudWatch journaux et de diffuser des journaux vers les groupes.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:PutMetricFilter", "logs:PutRetentionPolicy", "logs:GetLogEvents", "logs:DeleteLogStream" ], "Resource": [ "*" ] } ] }

AWS politique gérée : AWSIoTOTAUpdate

Vous pouvez associer la AWSIoTOTAUpdate politique à votre IAM identité.

Cette politique accorde les autorisations d'identité associées qui permettent d'accéder à la création de AWS IoT tâches, aux tâches de signature de AWS IoT code et à la description des tâches de signature de AWS code. Pour consulter cette politique dans le AWS Management Console, voir AWSIoTOTAUpdate.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iot— Créez des AWS IoT tâches et des tâches de signature de code.

  • signer— Réalise la création de tâches de signature de AWS code.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iot:CreateJob", "signer:DescribeSigningJob" ], "Resource": "*" } }

AWS politique gérée : AWSIoTRuleActions

Vous pouvez associer la AWSIoTRuleActions politique à votre IAM identité.

Cette politique accorde les autorisations d'identité associées qui permettent d'accéder à toutes les informations Service AWS prises en charge dans les actions de AWS IoT règles. Pour consulter cette politique dans le AWS Management Console, voir AWSIoTRuleActions.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iot - Effectuez des actions pour publier des messages d’action de la règle.

  • dynamodb - Insérez un message dans un tableau DynamoDB ou divisez un message en plusieurs colonnes dans un tableau DynamoDB.

  • s3 - Stockez un objet dans un compartiment Amazon S3.

  • kinesis - Envoyez un message à un objet de flux Amazon Kinesis.

  • firehose- Insérez un enregistrement dans un objet de flux Firehose.

  • cloudwatch- Modifiez l'état de l' CloudWatch alarme ou envoyez les données du message au CloudWatch système métrique.

  • sns- Effectuez une opération pour publier une notification à l'aide d'AmazonSNS. Cette opération est limitée aux AWS IoT SNS rubriques.

  • sqs- Insérez un message à ajouter à la SQS file d'attente.

  • es- Envoyez un message au OpenSearch service de service.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "dynamodb:PutItem", "kinesis:PutRecord", "iot:Publish", "s3:PutObject", "sns:Publish", "sqs:SendMessage*", "cloudwatch:SetAlarmState", "cloudwatch:PutMetricData", "es:ESHttpPut", "firehose:PutRecord" ], "Resource": "*" } }

AWS politique gérée : AWSIoTThingsRegistration

Vous pouvez associer la AWSIoTThingsRegistration politique à votre IAM identité.

Cette politique accorde les autorisations d'identité associées qui permettent d'accéder à l'enregistrement groupé d'éléments à l'aide du StartThingRegistrationTaskAPI. Cette stratégie peut affecter le traitement et le stockage des données. Pour consulter cette politique dans le AWS Management Console, voir AWSIoTThingsRegistration.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iot - Effectuez des actions pour créer des éléments et joindre des politiques et des certificats lors d'un enregistrement groupé.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:AddThingToThingGroup", "iot:AttachPolicy", "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateCertificateFromCsr", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeCertificate", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:DetachPolicy", "iot:DetachThingPrincipal", "iot:GetPolicy", "iot:ListAttachedPolicies", "iot:ListPolicyPrincipals", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListTargetsForPolicy", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:RegisterCertificate", "iot:RegisterThing", "iot:RemoveThingFromThingGroup", "iot:UpdateCertificate", "iot:UpdateThing", "iot:UpdateThingGroupsForThing", "iot:AddThingToBillingGroup", "iot:DescribeBillingGroup", "iot:RemoveThingFromBillingGroup" ], "Resource": [ "*" ] } ] }

AWS IoT mises à jour des politiques AWS gérées

Consultez les détails des mises à jour des politiques AWS gérées AWS IoT depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS fil sur la page Historique du AWS IoT document.

Modification Description Date

AWSIoTFullAccess – Mise à jour d’une stratégie existante

AWS IoT a ajouté de nouvelles autorisations pour permettre aux utilisateurs d'accéder aux API opérations du plan de données AWS IoT Jobs à l'aide du HTTP protocole.

Un nouveau préfixe IAM de politique vous fournit un contrôle d'accès plus précis pour accéder aux points de terminaison du plan de données AWS IoT Jobs. iotjobsdata: Pour les API opérations sur le plan de contrôle, vous utilisez toujours le iot: préfixe. Pour de plus amples informations, veuillez consulter AWS IoT Core politiques relatives au HTTPS protocole.

11 mai 2022

AWS IoT a commencé à suivre les modifications

AWS IoT a commencé à suivre les modifications apportées AWS à ses politiques gérées.

11 mai 2022