AWS kebijakan terkelola untuk AWS IoT - AWS IoT Core

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk AWS IoT

Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk membuat kebijakan yang dikelola pelanggan IAM yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di Akun AWS Anda. Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan Pengguna IAM.

AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan yang dikelola AWS untuk mendukung fitur-fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan yang dikelola AWS saat ada fitur baru yang diluncurkan atau saat ada operasi baru yang tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.

Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS menambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat kebijakan yang dikelola AWS untuk fungsi tugas di Panduan Pengguna IAM.

catatan

AWS IoT bekerja dengan kebijakan keduanya AWS IoT dan IAM. Topik ini hanya membahas kebijakan IAM, yang mendefinisikan tindakan kebijakan untuk operasi API bidang kontrol dan bidang data. Lihat juga AWS IoT Core kebijakan.

AWS kebijakan terkelola: AWSIo TConfig Akses

Anda dapat melampirkan kebijakan AWSIoTConfigAccess ke identitas IAM Anda.

Kebijakan ini memberikan izin identitas terkait yang memungkinkan akses ke semua operasi AWS IoT konfigurasi. Kebijakan ini dapat memengaruhi pemrosesan dan penyimpanan data. Untuk melihat kebijakan ini di bagian AWS Management Console, lihat AWSIoTConfigAkses.

Detail izin

Kebijakan ini mencakup izin berikut.

  • iot— Mengambil AWS IoT data dan melakukan tindakan konfigurasi IoT.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:AcceptCertificateTransfer", "iot:AddThingToThingGroup", "iot:AssociateTargetsWithJob", "iot:AttachPolicy", "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CancelCertificateTransfer", "iot:CancelJob", "iot:CancelJobExecution", "iot:ClearDefaultAuthorizer", "iot:CreateAuthorizer", "iot:CreateCertificateFromCsr", "iot:CreateJob", "iot:CreateKeysAndCertificate", "iot:CreateOTAUpdate", "iot:CreatePolicy", "iot:CreatePolicyVersion", "iot:CreateRoleAlias", "iot:CreateStream", "iot:CreateThing", "iot:CreateThingGroup", "iot:CreateThingType", "iot:CreateTopicRule", "iot:DeleteAuthorizer", "iot:DeleteCACertificate", "iot:DeleteCertificate", "iot:DeleteJob", "iot:DeleteJobExecution", "iot:DeleteOTAUpdate", "iot:DeletePolicy", "iot:DeletePolicyVersion", "iot:DeleteRegistrationCode", "iot:DeleteRoleAlias", "iot:DeleteStream", "iot:DeleteThing", "iot:DeleteThingGroup", "iot:DeleteThingType", "iot:DeleteTopicRule", "iot:DeleteV2LoggingLevel", "iot:DeprecateThingType", "iot:DescribeAuthorizer", "iot:DescribeCACertificate", "iot:DescribeCertificate", "iot:DescribeDefaultAuthorizer", "iot:DescribeEndpoint", "iot:DescribeEventConfigurations", "iot:DescribeIndex", "iot:DescribeJob", "iot:DescribeJobExecution", "iot:DescribeRoleAlias", "iot:DescribeStream", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingRegistrationTask", "iot:DescribeThingType", "iot:DetachPolicy", "iot:DetachPrincipalPolicy", "iot:DetachThingPrincipal", "iot:DisableTopicRule", "iot:EnableTopicRule", "iot:GetEffectivePolicies", "iot:GetIndexingConfiguration", "iot:GetJobDocument", "iot:GetLoggingOptions", "iot:GetOTAUpdate", "iot:GetPolicy", "iot:GetPolicyVersion", "iot:GetRegistrationCode", "iot:GetTopicRule", "iot:GetV2LoggingOptions", "iot:ListAttachedPolicies", "iot:ListAuthorizers", "iot:ListCACertificates", "iot:ListCertificates", "iot:ListCertificatesByCA", "iot:ListIndices", "iot:ListJobExecutionsForJob", "iot:ListJobExecutionsForThing", "iot:ListJobs", "iot:ListOTAUpdates", "iot:ListOutgoingCertificates", "iot:ListPolicies", "iot:ListPolicyPrincipals", "iot:ListPolicyVersions", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListRoleAliases", "iot:ListStreams", "iot:ListTargetsForPolicy", "iot:ListThingGroups", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:ListThingRegistrationTaskReports", "iot:ListThingRegistrationTasks", "iot:ListThings", "iot:ListThingsInThingGroup", "iot:ListThingTypes", "iot:ListTopicRules", "iot:ListV2LoggingLevels", "iot:RegisterCACertificate", "iot:RegisterCertificate", "iot:RegisterThing", "iot:RejectCertificateTransfer", "iot:RemoveThingFromThingGroup", "iot:ReplaceTopicRule", "iot:SearchIndex", "iot:SetDefaultAuthorizer", "iot:SetDefaultPolicyVersion", "iot:SetLoggingOptions", "iot:SetV2LoggingLevel", "iot:SetV2LoggingOptions", "iot:StartThingRegistrationTask", "iot:StopThingRegistrationTask", "iot:TestAuthorization", "iot:TestInvokeAuthorizer", "iot:TransferCertificate", "iot:UpdateAuthorizer", "iot:UpdateCACertificate", "iot:UpdateCertificate", "iot:UpdateEventConfigurations", "iot:UpdateIndexingConfiguration", "iot:UpdateRoleAlias", "iot:UpdateStream", "iot:UpdateThing", "iot:UpdateThingGroup", "iot:UpdateThingGroupsForThing", "iot:UpdateAccountAuditConfiguration", "iot:DescribeAccountAuditConfiguration", "iot:DeleteAccountAuditConfiguration", "iot:StartOnDemandAuditTask", "iot:CancelAuditTask", "iot:DescribeAuditTask", "iot:ListAuditTasks", "iot:CreateScheduledAudit", "iot:UpdateScheduledAudit", "iot:DeleteScheduledAudit", "iot:DescribeScheduledAudit", "iot:ListScheduledAudits", "iot:ListAuditFindings", "iot:CreateSecurityProfile", "iot:DescribeSecurityProfile", "iot:UpdateSecurityProfile", "iot:DeleteSecurityProfile", "iot:AttachSecurityProfile", "iot:DetachSecurityProfile", "iot:ListSecurityProfiles", "iot:ListSecurityProfilesForTarget", "iot:ListTargetsForSecurityProfile", "iot:ListActiveViolations", "iot:ListViolationEvents", "iot:ValidateSecurityProfileBehaviors" ], "Resource": "*" } ] }

AWS kebijakan terkelola: AWSIo TConfig ReadOnlyAccess

Anda dapat melampirkan kebijakan AWSIoTConfigReadOnlyAccess ke identitas IAM Anda.

Kebijakan ini memberikan izin identitas terkait yang memungkinkan akses hanya-baca ke semua operasi konfigurasi. AWS IoT Untuk melihat kebijakan ini di AWS Management Console, lihat AWSIoTConfigReadOnlyAccess.

Detail izin

Kebijakan ini mencakup izin berikut.

  • iot— Lakukan operasi read-only dari tindakan konfigurasi IoT.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:DescribeAuthorizer", "iot:DescribeCACertificate", "iot:DescribeCertificate", "iot:DescribeDefaultAuthorizer", "iot:DescribeEndpoint", "iot:DescribeEventConfigurations", "iot:DescribeIndex", "iot:DescribeJob", "iot:DescribeJobExecution", "iot:DescribeRoleAlias", "iot:DescribeStream", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingRegistrationTask", "iot:DescribeThingType", "iot:GetEffectivePolicies", "iot:GetIndexingConfiguration", "iot:GetJobDocument", "iot:GetLoggingOptions", "iot:GetOTAUpdate", "iot:GetPolicy", "iot:GetPolicyVersion", "iot:GetRegistrationCode", "iot:GetTopicRule", "iot:GetV2LoggingOptions", "iot:ListAttachedPolicies", "iot:ListAuthorizers", "iot:ListCACertificates", "iot:ListCertificates", "iot:ListCertificatesByCA", "iot:ListIndices", "iot:ListJobExecutionsForJob", "iot:ListJobExecutionsForThing", "iot:ListJobs", "iot:ListOTAUpdates", "iot:ListOutgoingCertificates", "iot:ListPolicies", "iot:ListPolicyPrincipals", "iot:ListPolicyVersions", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListRoleAliases", "iot:ListStreams", "iot:ListTargetsForPolicy", "iot:ListThingGroups", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:ListThingRegistrationTaskReports", "iot:ListThingRegistrationTasks", "iot:ListThings", "iot:ListThingsInThingGroup", "iot:ListThingTypes", "iot:ListTopicRules", "iot:ListV2LoggingLevels", "iot:SearchIndex", "iot:TestAuthorization", "iot:TestInvokeAuthorizer", "iot:DescribeAccountAuditConfiguration", "iot:DescribeAuditTask", "iot:ListAuditTasks", "iot:DescribeScheduledAudit", "iot:ListScheduledAudits", "iot:ListAuditFindings", "iot:DescribeSecurityProfile", "iot:ListSecurityProfiles", "iot:ListSecurityProfilesForTarget", "iot:ListTargetsForSecurityProfile", "iot:ListActiveViolations", "iot:ListViolationEvents", "iot:ValidateSecurityProfileBehaviors" ], "Resource": "*" } ] }

AWS kebijakan terkelola: AWSIo TData Akses

Anda dapat melampirkan kebijakan AWSIoTDataAccess ke identitas IAM Anda.

Kebijakan ini memberikan izin identitas terkait yang memungkinkan akses ke semua operasi AWS IoT data. Operasi data mengirim data melalui protokol MQTT atau HTTP. Untuk melihat kebijakan ini di AWS Management Console, lihat AWSIoTDataAccess.

Detail izin

Kebijakan ini mencakup izin berikut.

  • iot— Ambil AWS IoT data dan izinkan akses penuh ke tindakan AWS IoT pengiriman pesan.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:Connect", "iot:Publish", "iot:Subscribe", "iot:Receive", "iot:GetThingShadow", "iot:UpdateThingShadow", "iot:DeleteThingShadow", "iot:ListNamedShadowsForThing" ], "Resource": "*" } ] }

AWS kebijakan terkelola: AWSIo TFull Akses

Anda dapat melampirkan kebijakan AWSIoTFullAccess ke identitas IAM Anda.

Kebijakan ini memberikan izin identitas terkait yang memungkinkan akses ke semua operasi AWS IoT konfigurasi dan pesan. Untuk melihat kebijakan ini di AWS Management Console, lihat AWSIoTFullAccess.

Detail izin

Kebijakan ini mencakup izin berikut.

  • iot— Ambil AWS IoT data dan izinkan akses penuh ke AWS IoT konfigurasi dan tindakan pengiriman pesan.

  • iotjobsdata— Ambil data AWS IoT Jobs dan izinkan akses penuh ke operasi API pesawat data AWS IoT Jobs.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:*", "iotjobsdata:*" ], "Resource": "*" } ] }

AWS kebijakan terkelola: AWSIo TLogging

Anda dapat melampirkan kebijakan AWSIoTLogging ke identitas IAM Anda.

Kebijakan ini memberikan izin identitas terkait yang memungkinkan akses untuk membuat grup Amazon CloudWatch Logs dan mengalirkan log ke grup. Kebijakan ini dilampirkan pada peran CloudWatch pencatatan Anda. Untuk melihat kebijakan ini di AWS Management Console, lihat AWSIoTLogging.

Detail izin

Kebijakan ini mencakup izin berikut.

  • logs— Ambil CloudWatch log. Juga memungkinkan pembuatan grup CloudWatch Log dan streaming log ke grup.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:PutMetricFilter", "logs:PutRetentionPolicy", "logs:GetLogEvents", "logs:DeleteLogStream" ], "Resource": [ "*" ] } ] }

AWS kebijakan terkelola: AWSIo TOTAUpdate

Anda dapat melampirkan kebijakan AWSIoTOTAUpdate ke identitas IAM Anda.

Kebijakan ini memberikan izin identitas terkait yang memungkinkan akses untuk membuat AWS IoT lowongan, pekerjaan penandatanganan AWS IoT kode, dan menjelaskan pekerjaan penandatangan AWS kode. Untuk melihat kebijakan ini di AWS Management Console, lihat AWSIoTOTAUpdate.

Detail izin

Kebijakan ini mencakup izin berikut.

  • iot— Buat AWS IoT pekerjaan dan pekerjaan penandatanganan kode.

  • signer— Lakukan pembuatan pekerjaan penandatangan AWS kode.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iot:CreateJob", "signer:DescribeSigningJob" ], "Resource": "*" } }

AWS kebijakan terkelola: AWSIo TRule Tindakan

Anda dapat melampirkan kebijakan AWSIoTRuleActions ke identitas IAM Anda.

Kebijakan ini memberikan izin identitas terkait yang memungkinkan akses ke semua Layanan AWS s yang didukung dalam tindakan AWS IoT aturan. Untuk melihat kebijakan ini di AWS Management Console, lihat AWSIoTRuleActions.

Detail izin

Kebijakan ini mencakup izin berikut.

  • iot- Lakukan tindakan untuk menerbitkan pesan tindakan aturan.

  • dynamodb- Masukkan pesan ke dalam tabel DynamoDB atau membagi pesan menjadi beberapa kolom tabel DynamoDB.

  • s3- Simpan objek di ember Amazon S3.

  • kinesis- Kirim pesan ke objek aliran Amazon Kinesis.

  • firehose- Masukkan catatan dalam objek aliran Firehose.

  • cloudwatch- Ubah status CloudWatch alarm atau kirim data pesan ke CloudWatch metrik.

  • sns- Lakukan operasi untuk mempublikasikan pemberitahuan menggunakan Amazon SNS. Operasi ini mencakup topik AWS IoT SNS.

  • sqs- Masukkan pesan untuk ditambahkan ke antrian SQS.

  • es- Kirim pesan ke OpenSearch layanan Layanan.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "dynamodb:PutItem", "kinesis:PutRecord", "iot:Publish", "s3:PutObject", "sns:Publish", "sqs:SendMessage*", "cloudwatch:SetAlarmState", "cloudwatch:PutMetricData", "es:ESHttpPut", "firehose:PutRecord" ], "Resource": "*" } }

AWS kebijakan terkelola: AWSIo TThings Pendaftaran

Anda dapat melampirkan kebijakan AWSIoTThingsRegistration ke identitas IAM Anda.

Kebijakan ini memberikan izin identitas terkait yang memungkinkan akses untuk mendaftarkan sesuatu secara massal menggunakan API. StartThingRegistrationTask Kebijakan ini dapat memengaruhi pemrosesan dan penyimpanan data. Untuk melihat kebijakan ini di AWS Management Console, lihat AWSIoTThingsRegistration.

Detail izin

Kebijakan ini mencakup izin berikut.

  • iot- Lakukan tindakan untuk membuat sesuatu dan melampirkan kebijakan dan sertifikat saat mendaftar secara massal.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:AddThingToThingGroup", "iot:AttachPolicy", "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateCertificateFromCsr", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeCertificate", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:DetachPolicy", "iot:DetachThingPrincipal", "iot:GetPolicy", "iot:ListAttachedPolicies", "iot:ListPolicyPrincipals", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListTargetsForPolicy", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:RegisterCertificate", "iot:RegisterThing", "iot:RemoveThingFromThingGroup", "iot:UpdateCertificate", "iot:UpdateThing", "iot:UpdateThingGroupsForThing", "iot:AddThingToBillingGroup", "iot:DescribeBillingGroup", "iot:RemoveThingFromBillingGroup" ], "Resource": [ "*" ] } ] }

AWS IoT pembaruan kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola AWS IoT sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat AWS IoT dokumen.

Perubahan Deskripsi Tanggal

AWSIoTFullAkses — Perbarui ke kebijakan yang ada

AWS IoT menambahkan izin baru untuk memungkinkan pengguna mengakses operasi API bidang data AWS IoT Jobs menggunakan protokol HTTP.

Awalan kebijakan IAM baru,iotjobsdata:, memberi Anda kontrol akses berbutir lebih halus untuk mengakses titik akhir bidang data AWS IoT Jobs. Untuk operasi API bidang kontrol, Anda masih menggunakan iot: awalan. Untuk informasi selengkapnya, lihat AWS IoT Core kebijakan untuk HTTPS protokol.

Mei 11, 2022

AWS IoT mulai melacak perubahan

AWS IoT mulai melacak perubahan untuk kebijakan yang AWS dikelola.

Mei 11, 2022