Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Contrôle de l'accès aux tunnels

PDF
Mode de mise au point
Contrôle de l'accès aux tunnels - AWS IoT Core
Conditions préalables à l'accès au tunnelPolitiques d'accès aux tunnels

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Le tunneling sécurisé fournit des actions, des ressources et des clés de contexte de condition spécifiques au service, à utiliser dans les politiques de permissions IAM.

Conditions préalables à l'accès au tunnel

Politiques d'accès aux tunnels

Vous devez utiliser les politiques suivantes pour autoriser les autorisations d'utilisation de l'API de tunneling sécurisé. Pour plus d'informations sur AWS IoT la sécurité, voirGestion des identités et des accès pour AWS IoT.

L'action de stratégie iot:OpenTunnel accorde à un mandataire l'autorisation d'appeler OpenTunnel.

Dans l'Resourceélément de la déclaration de politique IAM :

  • Spécifiez l'ARN du tunnel générique :

    arn:aws:iot:aws-region:aws-account-id:tunnel/*

  • Spécifiez un objet ARN pour gérer les OpenTunnel autorisations pour des objets IoT spécifiques :

    arn:aws:iot:aws-region:aws-account-id:thing/thing-name

Par exemple, la déclaration de stratégie suivante vous permet d'ouvrir un tunnel vers l'objet IoT nommé TestDevice.

{
    "Effect": "Allow",
    "Action": "iot:OpenTunnel",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*",
        "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice"
    ]
}

L'action de stratégie iot:OpenTunnel prend en charge les clés de condition suivantes :

  • iot:ThingGroupArn

  • iot:TunnelDestinationService

  • aws:RequestTag/tag-key

  • aws:SecureTransport

  • aws:TagKeys

La déclaration de politique suivante vous permet d'ouvrir un tunnel vers l'objet si l'objet appartient à un groupe d'objets dont le nom commence par et TestGroup si le service de destination configuré sur le tunnel est SSH.

{
    "Effect": "Allow",
    "Action": "iot:OpenTunnel",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*"
    ],
    "Condition": {
        "ForAnyValue:StringLike": {
            "iot:ThingGroupArn": [
                "arn:aws:iot:aws-region:aws-account-id:thinggroup/TestGroup*"
            ]
        },
        "ForAllValues:StringEquals": {
            "iot:TunnelDestinationService": [
                "SSH"
            ]
        }
    }
}

Vous pouvez également utiliser des balises de ressources pour contrôler l'autorisation d'ouvrir des tunnels. Par exemple, la déclaration de stratégie suivante permet d'ouvrir un tunnel si la clé de balise Owner est présente et que sa valeur est Admin et qu'aucune autre balise n'est spécifiée. Pour obtenir des informations sur comment utiliser les , consultez Marquer vos ressources AWS IoT.

{
    "Effect": "Allow",
    "Action": "iot:OpenTunnel",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*"
    ],
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Owner": "Admin"
        },
        "ForAllValues:StringEquals": {
            "aws:TagKeys": "Owner"
        }
    }
}

L'action de stratégie iot:OpenTunnel accorde à un mandataire l'autorisation d'appeler OpenTunnel.

Dans l'Resourceélément de la déclaration de politique IAM :

  • Spécifiez l'ARN du tunnel générique :

    arn:aws:iot:aws-region:aws-account-id:tunnel/*

  • Spécifiez un objet ARN pour gérer les OpenTunnel autorisations pour des objets IoT spécifiques :

    arn:aws:iot:aws-region:aws-account-id:thing/thing-name

Par exemple, la déclaration de stratégie suivante vous permet d'ouvrir un tunnel vers l'objet IoT nommé TestDevice.

{
    "Effect": "Allow",
    "Action": "iot:OpenTunnel",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*",
        "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice"
    ]
}

L'action de stratégie iot:OpenTunnel prend en charge les clés de condition suivantes :

  • iot:ThingGroupArn

  • iot:TunnelDestinationService

  • aws:RequestTag/tag-key

  • aws:SecureTransport

  • aws:TagKeys

La déclaration de politique suivante vous permet d'ouvrir un tunnel vers l'objet si l'objet appartient à un groupe d'objets dont le nom commence par et TestGroup si le service de destination configuré sur le tunnel est SSH.

{
    "Effect": "Allow",
    "Action": "iot:OpenTunnel",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*"
    ],
    "Condition": {
        "ForAnyValue:StringLike": {
            "iot:ThingGroupArn": [
                "arn:aws:iot:aws-region:aws-account-id:thinggroup/TestGroup*"
            ]
        },
        "ForAllValues:StringEquals": {
            "iot:TunnelDestinationService": [
                "SSH"
            ]
        }
    }
}

Vous pouvez également utiliser des balises de ressources pour contrôler l'autorisation d'ouvrir des tunnels. Par exemple, la déclaration de stratégie suivante permet d'ouvrir un tunnel si la clé de balise Owner est présente et que sa valeur est Admin et qu'aucune autre balise n'est spécifiée. Pour obtenir des informations sur comment utiliser les , consultez Marquer vos ressources AWS IoT.

{
    "Effect": "Allow",
    "Action": "iot:OpenTunnel",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*"
    ],
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Owner": "Admin"
        },
        "ForAllValues:StringEquals": {
            "aws:TagKeys": "Owner"
        }
    }
}

L'action de stratégie iot:RotateTunnelAccessToken accorde à un mandataire l'autorisation d'appeler RotateTunnelAccessToken.

Dans l'Resourceélément de la déclaration de politique IAM :

  • Spécifiez un ARN de tunnel entièrement qualifié :

    arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

    Vous pouvez également utiliser l'ARN du tunnel générique :

    arn:aws:iot:aws-region:aws-account-id:tunnel/*

  • Spécifiez un objet ARN pour gérer les RotateTunnelAccessToken autorisations pour des objets IoT spécifiques :

    arn:aws:iot:aws-region:aws-account-id:thing/thing-name

Par exemple, la déclaration de politique suivante vous permet de faire pivoter le jeton d'accès source d'un tunnel ou le jeton d'accès de destination d'un client pour l'objet IoT nommé TestDevice.

{
    "Effect": "Allow",
    "Action": "iot:RotateTunnelAccessToken",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*",
        "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice"
    ]
}

L'action de stratégie iot:RotateTunnelAccessToken prend en charge les clés de condition suivantes :

  • iot:ThingGroupArn

  • iot:TunnelDestinationService

  • iot:ClientMode

  • aws:SecureTransport

La déclaration de politique générale suivante vous permet de faire pivoter le jeton d'accès de destination vers l'objet si l'objet appartient à un groupe d'objets dont le nom commence par TestGroup, le service de destination configuré sur le tunnel est SSH, et le client est en DESTINATION mode.

{
    "Effect": "Allow",
    "Action": "iot:RotateTunnelAccessToken",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*"
    ],
    "Condition": {
        "ForAnyValue:StringLike": {
            "iot:ThingGroupArn": [
                "arn:aws:iot:aws-region:aws-account-id:thinggroup/TestGroup*"
            ]
        },
        "ForAllValues:StringEquals": {
            "iot:TunnelDestinationService": [
                "SSH"
            ],
            "iot:ClientMode": "DESTINATION"
        }
    }
}

L'action de stratégie iot:RotateTunnelAccessToken accorde à un mandataire l'autorisation d'appeler RotateTunnelAccessToken.

Dans l'Resourceélément de la déclaration de politique IAM :

  • Spécifiez un ARN de tunnel entièrement qualifié :

    arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

    Vous pouvez également utiliser l'ARN du tunnel générique :

    arn:aws:iot:aws-region:aws-account-id:tunnel/*

  • Spécifiez un objet ARN pour gérer les RotateTunnelAccessToken autorisations pour des objets IoT spécifiques :

    arn:aws:iot:aws-region:aws-account-id:thing/thing-name

Par exemple, la déclaration de politique suivante vous permet de faire pivoter le jeton d'accès source d'un tunnel ou le jeton d'accès de destination d'un client pour l'objet IoT nommé TestDevice.

{
    "Effect": "Allow",
    "Action": "iot:RotateTunnelAccessToken",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*",
        "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice"
    ]
}

L'action de stratégie iot:RotateTunnelAccessToken prend en charge les clés de condition suivantes :

  • iot:ThingGroupArn

  • iot:TunnelDestinationService

  • iot:ClientMode

  • aws:SecureTransport

La déclaration de politique générale suivante vous permet de faire pivoter le jeton d'accès de destination vers l'objet si l'objet appartient à un groupe d'objets dont le nom commence par TestGroup, le service de destination configuré sur le tunnel est SSH, et le client est en DESTINATION mode.

{
    "Effect": "Allow",
    "Action": "iot:RotateTunnelAccessToken",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*"
    ],
    "Condition": {
        "ForAnyValue:StringLike": {
            "iot:ThingGroupArn": [
                "arn:aws:iot:aws-region:aws-account-id:thinggroup/TestGroup*"
            ]
        },
        "ForAllValues:StringEquals": {
            "iot:TunnelDestinationService": [
                "SSH"
            ],
            "iot:ClientMode": "DESTINATION"
        }
    }
}

L'action de stratégie iot:DescribeTunnel accorde à un mandataire l'autorisation d'appeler DescribeTunnel.

Dans l'Resourceélément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Vous pouvez également utiliser le caractère générique ARN :

arn:aws:iot:aws-region:aws-account-id:tunnel/*

L'action de stratégie iot:DescribeTunnel prend en charge les clés de condition suivantes :

  • aws:ResourceTag/tag-key

  • aws:SecureTransport

La déclaration de stratégie suivante vous permet d'appeler DescribeTunnel si le tunnel demandé est marqué avec la clé Owner ayant la valeur Admin.

{
    "Effect": "Allow",
    "Action": "iot:DescribeTunnel",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*"
    ],
    "Condition": {
        "StringEquals": {
            "aws:ResourceTag/Owner": "Admin"
        }
    }
}

L'action de stratégie iot:DescribeTunnel accorde à un mandataire l'autorisation d'appeler DescribeTunnel.

Dans l'Resourceélément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Vous pouvez également utiliser le caractère générique ARN :

arn:aws:iot:aws-region:aws-account-id:tunnel/*

L'action de stratégie iot:DescribeTunnel prend en charge les clés de condition suivantes :

  • aws:ResourceTag/tag-key

  • aws:SecureTransport

La déclaration de stratégie suivante vous permet d'appeler DescribeTunnel si le tunnel demandé est marqué avec la clé Owner ayant la valeur Admin.

{
    "Effect": "Allow",
    "Action": "iot:DescribeTunnel",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*"
    ],
    "Condition": {
        "StringEquals": {
            "aws:ResourceTag/Owner": "Admin"
        }
    }
}

L'action de stratégie iot:ListTunnels accorde à un mandataire l'autorisation d'appeler ListTunnels.

Dans l'Resourceélément de la déclaration de politique IAM :

  • Spécifiez l'ARN du tunnel générique :

    arn:aws:iot:aws-region:aws-account-id:tunnel/*

  • Spécifiez un objet ARN pour gérer les ListTunnels autorisations sur les objets IoT sélectionnés :

    arn:aws:iot:aws-region:aws-account-id:thing/thing-name

L'iot:ListTunnelsaction politique soutient la clé de condition aws:SecureTransport.

La déclaration de stratégie suivante vous permet de répertorier les tunnels pour l'objet nommé TestDevice.

{
    "Effect": "Allow",
    "Action": "iot:ListTunnels",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*",
        "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice"
    ]
}

L'action de stratégie iot:ListTunnels accorde à un mandataire l'autorisation d'appeler ListTunnels.

Dans l'Resourceélément de la déclaration de politique IAM :

  • Spécifiez l'ARN du tunnel générique :

    arn:aws:iot:aws-region:aws-account-id:tunnel/*

  • Spécifiez un objet ARN pour gérer les ListTunnels autorisations sur les objets IoT sélectionnés :

    arn:aws:iot:aws-region:aws-account-id:thing/thing-name

L'iot:ListTunnelsaction politique soutient la clé de condition aws:SecureTransport.

La déclaration de stratégie suivante vous permet de répertorier les tunnels pour l'objet nommé TestDevice.

{
    "Effect": "Allow",
    "Action": "iot:ListTunnels",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*",
        "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice"
    ]
}

L'action de stratégie iot:ListTagsForResource accorde à un mandataire l'autorisation d'appeler ListTagsForResource.

Dans l'Resourceélément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Vous pouvez également utiliser l'ARN du tunnel générique :

arn:aws:iot:aws-region:aws-account-id:tunnel/*

L'action iot:ListTagsForResource politique soutient la clé de condition aws:SecureTransport.

L'action de stratégie iot:ListTagsForResource accorde à un mandataire l'autorisation d'appeler ListTagsForResource.

Dans l'Resourceélément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Vous pouvez également utiliser l'ARN du tunnel générique :

arn:aws:iot:aws-region:aws-account-id:tunnel/*

L'action iot:ListTagsForResource politique soutient la clé de condition aws:SecureTransport.

L'action de stratégie iot:CloseTunnel accorde à un mandataire l'autorisation d'appeler CloseTunnel.

Dans l'Resourceélément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Vous pouvez également utiliser l'ARN du tunnel générique :

arn:aws:iot:aws-region:aws-account-id:tunnel/*

L'action de stratégie iot:CloseTunnel prend en charge les clés de condition suivantes :

  • iot:Delete

  • aws:ResourceTag/tag-key

  • aws:SecureTransport

La déclaration de stratégie suivante vous permet d'appeler CloseTunnel si le paramètre Delete de la demande est false et si le tunnel demandé est balisé avec une clé Owner ayant la valeur QATeam.

{
    "Effect": "Allow",
    "Action": "iot:CloseTunnel",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*"
    ],
    "Condition": {
        "Bool": {
            "iot:Delete": "false"
        },
        "StringEquals": {
            "aws:ResourceTag/Owner": "QATeam"
        }
    }
}

L'action de stratégie iot:CloseTunnel accorde à un mandataire l'autorisation d'appeler CloseTunnel.

Dans l'Resourceélément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Vous pouvez également utiliser l'ARN du tunnel générique :

arn:aws:iot:aws-region:aws-account-id:tunnel/*

L'action de stratégie iot:CloseTunnel prend en charge les clés de condition suivantes :

  • iot:Delete

  • aws:ResourceTag/tag-key

  • aws:SecureTransport

La déclaration de stratégie suivante vous permet d'appeler CloseTunnel si le paramètre Delete de la demande est false et si le tunnel demandé est balisé avec une clé Owner ayant la valeur QATeam.

{
    "Effect": "Allow",
    "Action": "iot:CloseTunnel",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*"
    ],
    "Condition": {
        "Bool": {
            "iot:Delete": "false"
        },
        "StringEquals": {
            "aws:ResourceTag/Owner": "QATeam"
        }
    }
}

L'action de stratégie iot:TagResource accorde à un mandataire l'autorisation d'appeler TagResource.

Dans l'Resourceélément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Vous pouvez également utiliser l'ARN du tunnel générique :

arn:aws:iot:aws-region:aws-account-id:tunnel/*

L'action iot:TagResource politique soutient la clé de condition aws:SecureTransport.

L'action de stratégie iot:TagResource accorde à un mandataire l'autorisation d'appeler TagResource.

Dans l'Resourceélément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Vous pouvez également utiliser l'ARN du tunnel générique :

arn:aws:iot:aws-region:aws-account-id:tunnel/*

L'action iot:TagResource politique soutient la clé de condition aws:SecureTransport.

L'action de stratégie iot:UntagResource accorde à un mandataire l'autorisation d'appeler UntagResource.

Dans l'Resourceélément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Vous pouvez également utiliser l'ARN du tunnel générique :

arn:aws:iot:aws-region:aws-account-id:tunnel/*

L'action iot:UntagResource politique soutient la clé de condition aws:SecureTransport.

L'action de stratégie iot:UntagResource accorde à un mandataire l'autorisation d'appeler UntagResource.

Dans l'Resourceélément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Vous pouvez également utiliser l'ARN du tunnel générique :

arn:aws:iot:aws-region:aws-account-id:tunnel/*

L'action iot:UntagResource politique soutient la clé de condition aws:SecureTransport.

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.