Otorisasi - AWS IoT Core

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Otorisasi

Otorisasi adalah proses pemberian izin untuk identitas yang diautentikasi. Anda memberikan izin dalam AWS IoT Core menggunakan AWS IoT Core dan IAM kebijakan. Topik ini mencakup AWS IoT Core kebijakan. Untuk informasi selengkapnya tentang IAM kebijakan, lihat Identitas dan manajemen akses untuk AWS IoT danBagaimana AWS IoT bekerja dengan IAM.

AWS IoT Core kebijakan menentukan apa yang dapat dilakukan identitas yang diautentikasi. Identitas yang diautentikasi digunakan oleh perangkat, aplikasi seluler, aplikasi web, dan aplikasi desktop. Identitas yang diautentikasi bahkan bisa menjadi AWS IoT Core CLI perintah mengetik pengguna. Identitas dapat menjalankan AWS IoT Core operasi hanya jika memiliki kebijakan yang memberinya izin untuk operasi tersebut.

Baik AWS IoT Core kebijakan maupun IAM kebijakan digunakan AWS IoT Core untuk mengontrol operasi yang dapat dilakukan oleh identitas (juga disebut prinsipal). Jenis kebijakan yang Anda gunakan bergantung pada jenis identitas yang Anda gunakan untuk mengautentikasi. AWS IoT Core

AWS IoT Core operasi dibagi menjadi dua kelompok:

  • Control plane API memungkinkan Anda untuk melakukan tugas-tugas administratif seperti membuat atau memperbarui sertifikat, hal-hal, aturan, dan sebagainya.

  • Pesawat data API memungkinkan Anda mengirim data ke dan menerima data dari AWS IoT Core.

Jenis kebijakan yang Anda gunakan tergantung pada apakah Anda menggunakan pesawat kontrol atau bidang dataAPI.

Tabel berikut menunjukkan tipe identitas, protokol yang mereka gunakan, dan jenis kebijakan yang dapat digunakan untuk otorisasi.

AWS IoT Core bidang data API dan jenis kebijakan
Protokol dan mekanisme otentikasi SDK Jenis identitas Jenis kebijakan
MQTToverTLS/TCP, otentikasi TLS timbal balik (port 8883 atau 443) †) AWS IoT Perangkat SDK Sertifikat X.509 AWS IoT Core kebijakan
MQTTlebih dariHTTPS/WebSocket, otentikasi AWS SiGv4 (port 443) AWS Ponsel SDK Identitas Amazon Cognito yang diautentikasi IAMdan AWS IoT Core kebijakan
Identitas Amazon Cognito yang tidak diautentikasi IAMkebijakan
IAM, atau identitas federasi IAMkebijakan
HTTPS, Otentikasi AWS Tanda Tangan Versi 4 (port 443) AWS CLI Amazon Cognito,IAM, atau identitas federasi IAMkebijakan
HTTPS, otentikasi TLS timbal balik (port 8443) Tidak ada SDK dukungan Sertifikat X.509 AWS IoT Core kebijakan
HTTPSmelalui otentikasi kustom (Port 443) AWS IoT Perangkat SDK Authorizer kustom Kebijakan otorisasi khusus
AWS IoT Core bidang kontrol API dan jenis kebijakan
Protokol dan mekanisme otentikasi SDK Jenis identitas Jenis kebijakan
HTTPS AWS Otentikasi Tanda Tangan Versi 4 (port 443) AWS CLI Identitas Amazon Cognito IAMkebijakan
IAM, atau identitas federasi IAMkebijakan

AWS IoT Core kebijakan dilampirkan ke sertifikat X.509, identitas Amazon Cognito, atau grup hal. IAMkebijakan dilampirkan ke IAM pengguna, grup, atau peran. Jika Anda menggunakan AWS IoT konsol atau AWS IoT Core CLI untuk melampirkan kebijakan (ke sertifikat, Identitas Amazon Cognito, atau grup hal), Anda menggunakan kebijakan. AWS IoT Core Jika tidak, Anda menggunakan IAM kebijakan. AWS IoT Core kebijakan yang dilampirkan pada grup sesuatu berlaku untuk apa pun dalam kelompok benda itu. Agar AWS IoT Core kebijakan berlaku, nama clientId dan benda harus cocok.

Otorisasi berbasis kebijakan adalah alat yang ampuh. Ini memberi Anda kontrol penuh atas apa yang dapat dilakukan perangkat, pengguna, atau aplikasi AWS IoT Core. Misalnya, pertimbangkan perangkat yang terhubung AWS IoT Core dengan sertifikat. Anda dapat mengizinkan perangkat mengakses semua MQTT topik, atau Anda dapat membatasi aksesnya ke satu topik. Dalam contoh lain, pertimbangkan pengguna mengetik CLI perintah di baris perintah. Dengan menggunakan kebijakan, Anda dapat mengizinkan atau menolak akses ke perintah atau AWS IoT Core sumber daya apa pun untuk pengguna. Anda juga dapat mengontrol akses aplikasi ke AWS IoT Core sumber daya.

Perubahan yang dilakukan pada kebijakan dapat memakan waktu beberapa menit untuk menjadi efektif karena cara menyimpan dokumen kebijakan dalam AWS IoT cache. Artinya, mungkin perlu beberapa menit untuk mengakses sumber daya yang baru-baru ini diberikan akses, dan sumber daya dapat diakses selama beberapa menit setelah aksesnya dicabut.

AWS pelatihan dan sertifikasi

Untuk informasi tentang otorisasi AWS IoT Core, ikuti kursus Deep Dive into AWS IoT Core Authentication and Authorization di situs web AWS Pelatihan dan Sertifikasi.