Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Otorisasi
Otorisasi adalah proses pemberian izin untuk identitas yang diautentikasi. Anda memberikan izin dalam AWS IoT Core menggunakan AWS IoT Core dan IAM kebijakan. Topik ini mencakup AWS IoT Core kebijakan. Untuk informasi selengkapnya tentang IAM kebijakan, lihat Identitas dan manajemen akses untuk AWS IoT danBagaimana AWS IoT bekerja dengan IAM.
AWS IoT Core kebijakan menentukan apa yang dapat dilakukan identitas yang diautentikasi. Identitas yang diautentikasi digunakan oleh perangkat, aplikasi seluler, aplikasi web, dan aplikasi desktop. Identitas yang diautentikasi bahkan bisa menjadi AWS IoT Core CLI perintah mengetik pengguna. Identitas dapat menjalankan AWS IoT Core operasi hanya jika memiliki kebijakan yang memberinya izin untuk operasi tersebut.
Baik AWS IoT Core kebijakan maupun IAM kebijakan digunakan AWS IoT Core untuk mengontrol operasi yang dapat dilakukan oleh identitas (juga disebut prinsipal). Jenis kebijakan yang Anda gunakan bergantung pada jenis identitas yang Anda gunakan untuk mengautentikasi. AWS IoT Core
AWS IoT Core operasi dibagi menjadi dua kelompok:
-
Control plane API memungkinkan Anda untuk melakukan tugas-tugas administratif seperti membuat atau memperbarui sertifikat, hal-hal, aturan, dan sebagainya.
-
Pesawat data API memungkinkan Anda mengirim data ke dan menerima data dari AWS IoT Core.
Jenis kebijakan yang Anda gunakan tergantung pada apakah Anda menggunakan pesawat kontrol atau bidang dataAPI.
Tabel berikut menunjukkan tipe identitas, protokol yang mereka gunakan, dan jenis kebijakan yang dapat digunakan untuk otorisasi.
Protokol dan mekanisme otentikasi | SDK | Jenis identitas | Jenis kebijakan |
---|---|---|---|
MQTToverTLS/TCP, otentikasi TLS timbal balik (port 8883 atau 443) †) | AWS IoT Perangkat SDK | Sertifikat X.509 | AWS IoT Core kebijakan |
MQTTlebih dariHTTPS/WebSocket, otentikasi AWS SiGv4 (port 443) | AWS Ponsel SDK | Identitas Amazon Cognito yang diautentikasi | IAMdan AWS IoT Core kebijakan |
Identitas Amazon Cognito yang tidak diautentikasi | IAMkebijakan | ||
IAM, atau identitas federasi | IAMkebijakan | ||
HTTPS, Otentikasi AWS Tanda Tangan Versi 4 (port 443) | AWS CLI | Amazon Cognito,IAM, atau identitas federasi | IAMkebijakan |
HTTPS, otentikasi TLS timbal balik (port 8443) | Tidak ada SDK dukungan | Sertifikat X.509 | AWS IoT Core kebijakan |
HTTPSmelalui otentikasi kustom (Port 443) | AWS IoT Perangkat SDK | Authorizer kustom | Kebijakan otorisasi khusus |
Protokol dan mekanisme otentikasi | SDK | Jenis identitas | Jenis kebijakan |
---|---|---|---|
HTTPS AWS Otentikasi Tanda Tangan Versi 4 (port 443) | AWS CLI | Identitas Amazon Cognito | IAMkebijakan |
IAM, atau identitas federasi | IAMkebijakan |
AWS IoT Core kebijakan dilampirkan ke sertifikat X.509, identitas Amazon Cognito, atau grup hal. IAMkebijakan dilampirkan ke IAM pengguna, grup, atau peran. Jika Anda menggunakan AWS IoT konsol atau AWS IoT Core CLI untuk melampirkan kebijakan (ke sertifikat, Identitas Amazon Cognito, atau grup hal), Anda menggunakan kebijakan. AWS IoT Core Jika tidak, Anda menggunakan IAM kebijakan. AWS IoT Core kebijakan yang dilampirkan pada grup sesuatu berlaku untuk apa pun dalam kelompok benda itu. Agar AWS IoT Core kebijakan berlaku, nama clientId
dan benda harus cocok.
Otorisasi berbasis kebijakan adalah alat yang ampuh. Ini memberi Anda kontrol penuh atas apa yang dapat dilakukan perangkat, pengguna, atau aplikasi AWS IoT Core. Misalnya, pertimbangkan perangkat yang terhubung AWS IoT Core dengan sertifikat. Anda dapat mengizinkan perangkat mengakses semua MQTT topik, atau Anda dapat membatasi aksesnya ke satu topik. Dalam contoh lain, pertimbangkan pengguna mengetik CLI perintah di baris perintah. Dengan menggunakan kebijakan, Anda dapat mengizinkan atau menolak akses ke perintah atau AWS IoT Core sumber daya apa pun untuk pengguna. Anda juga dapat mengontrol akses aplikasi ke AWS IoT Core sumber daya.
Perubahan yang dilakukan pada kebijakan dapat memakan waktu beberapa menit untuk menjadi efektif karena cara menyimpan dokumen kebijakan dalam AWS IoT cache. Artinya, mungkin perlu beberapa menit untuk mengakses sumber daya yang baru-baru ini diberikan akses, dan sumber daya dapat diakses selama beberapa menit setelah aksesnya dicabut.
AWS pelatihan dan sertifikasi
Untuk informasi tentang otorisasi AWS IoT Core, ikuti kursus Deep Dive into AWS IoT Core
Authentication and Authorization