Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Le policy IAM ti consentono di controllare chi può fare cosa AWS IoT SiteWise. Puoi decidere quali azioni sono consentite o meno e impostare condizioni specifiche per tali azioni. Ad esempio, puoi stabilire delle regole su chi può visualizzare o modificare le informazioni AWS IoT SiteWise. AWS IoT SiteWise supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta Documentazione di riferimento degli elementi delle policy JSON IAM nella Guida per l'utente IAM.
Azioni di policy
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.
L'elemento Actiondi una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso a un criterio. Le azioni politiche in genere hanno lo stesso nome dell'operazione AWS API associata. Ci sono alcune eccezioni, ad esempio le operazioni di sola autorizzazione che non hanno un'operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.
Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.
Le azioni politiche AWS IoT SiteWise utilizzano il seguente prefisso prima dell'azione:iotsitewise:. Ad esempio, per concedere a qualcuno il permesso di caricare i dati delle proprietà degli asset AWS IoT SiteWise con l'operazione BatchPutAssetPropertyValue API, includi l'iotsitewise:BatchPutAssetPropertyValueazione nella sua politica. Le dichiarazioni politiche devono includere un NotAction elemento Action or. AWS IoT SiteWise definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più operazioni in una singola istruzione, separarle con una virgola come mostrato di seguito.
"Action": [ "iotsitewise:action1", "iotsitewise:action2" ]
Puoi specificare più operazioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le operazioni che iniziano con la parola Describe, includi la seguente operazione.
"Action": "iotsitewise:Describe*"
Per visualizzare un elenco di AWS IoT SiteWise azioni, consulta Actions Defined by AWS IoT SiteWise nella IAM User Guide.
BatchPutAssetPropertyValue autorizzazione
AWS IoT SiteWise autorizza l'accesso all'BatchPutAssetPropertyValueazione in un modo insolito. Per la maggior parte delle azioni, quando consenti o neghi l'accesso, tale azione restituisce un errore se le autorizzazioni non vengono concesse. ConBatchPutAssetPropertyValue, puoi inviare più immissioni di dati a diverse risorse e proprietà delle risorse in un'unica richiesta API. AWS IoT SiteWise
autorizza ogni immissione di dati in modo indipendente. Per ogni singola immissione non autorizzata nella richiesta, AWS IoT SiteWise include un errore AccessDeniedException nell'elenco restituito. AWS IoT SiteWise riceve i dati relativi a qualsiasi immissione autorizzata e che ha esito positivo, anche se un'altra immissione nella stessa richiesta ha esito negativo.
Importante
Prima di importare dati in un flusso di dati, procedi come segue:
-
Autorizzate la
time-seriesrisorsa se utilizzate un alias di proprietà per identificare il flusso di dati. -
Autorizzate la
assetrisorsa se utilizzate un ID di risorsa per identificare la risorsa che contiene la proprietà della risorsa associata.
Risorse relative alle policy
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.
L'elemento JSON Resourcedella policy specifica l'oggetto o gli oggetti ai quali si applica l'operazione. Le istruzioni devono includere un elemento Resourceo un elemento NotResource. Come best practice, specifica una risorsa utilizzando il suo nome della risorsa Amazon (ARN). È possibile eseguire questa operazione per operazioni che supportano un tipo di risorsa specifico, note come autorizzazioni a livello di risorsa.
Per le operazioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.
"Resource": "*"Ogni dichiarazione di policy IAM si applica alle risorse specificate utilizzando le loro. ARNs Di seguito è riportata la sintassi generale di un ARN.
arn:${Partition}:${Service}:${Region}:${Account}:${ResourceType}/${ResourcePath}
Per ulteriori informazioni sul formato di ARNs, consulta Identificare AWS le risorse con Amazon Resource Names (ARNs).
Ad esempio, per specificare l'asset con ID a1b2c3d4-5678-90ab-cdef-22222EXAMPLE nell'istruzione, utilizza il seguente ARN.
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE"
Per specificare tutti i flussi di dati che appartengono a un account specifico, usa il carattere jolly (*):
"Resource": "arn:aws:iotsitewise:region:123456789012:time-series/*"
Per specificare tutti gli asset che appartengono a un account specifico, utilizza il carattere jolly (*):
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/*"
Alcune AWS IoT SiteWise azioni, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).
"Resource": "*"Per specificare più risorse in un'unica istruzione, separale ARNs con virgole.
"Resource": [ "resource1", "resource2" ]
Per visualizzare un elenco dei tipi di AWS IoT SiteWise risorse e relativi ARNs, consulta Resources Defined by AWS IoT SiteWise nella IAM User Guide. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta Operazioni definite da AWS IoT SiteWise.
Chiavi di condizione delle policy
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.
L'elemento Condition(o blocco Condition) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento Conditionè facoltativo. È possibile compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.
Se specifichi più elementi Conditionin un'istruzione o più chiavi in un singolo elemento Condition, questi vengono valutati da AWS utilizzando un'operazione ANDlogica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logica. OR Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.
È possibile anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile autorizzare un utente IAM ad accedere a una risorsa solo se è stata taggata con il relativo nome utente IAM. Per ulteriori informazioni, consulta Elementi delle policy IAM: variabili e tag nella Guida per l'utente di IAM.
AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'utente IAM.
Importante
Molte chiavi di condizione sono specifiche di una risorsa e alcune operazioni API utilizzano più risorse. Se scrivi una dichiarazione di policy con una chiave di condizione, utilizza l'elemento Resource della dichiarazione per specificare la risorsa a cui viene applicata la chiave di condizione. In caso contrario, la policy potrebbe impedire agli utenti di eseguire operazioni perché il controllo della condizione ha esito negativo per le risorse alle quali non viene applicata la chiave di condizione. Se non desideri specificare una risorsa oppure se hai scritto l'elemento Action della policy in modo da includere più operazioni API, devi utilizzare il tipo di condizione ...IfExists per assicurarti che la chiave di condizione venga ignorata per le risorse che non la utilizzano. Per ulteriori informazioni, consulta... IfExists condizioni nella Guida per l'utente IAM.
AWS IoT SiteWise definisce il proprio set di chiavi di condizione e supporta anche l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'utente IAM.
| Chiave di condizione | Descrizione | Tipi |
|---|---|---|
iotsitewise:isAssociatedWithAssetProperty |
Se i flussi di dati sono associati a una proprietà dell'asset. Utilizzate questa chiave di condizione per definire le autorizzazioni in base all'esistenza di una proprietà di asset associata per i flussi di dati. Valore di esempio: |
Stringa |
iotsitewise:assetHierarchyPath |
Il percorso gerarchico della risorsa, che è una stringa di risorse separate IDs ciascuna da una barra. Utilizzare questa chiave di condizione per definire le autorizzazioni in base a un sottoinsieme della gerarchia di tutti gli asset nell'account. Valore di esempio: |
Stringa |
iotsitewise:propertyId |
L'ID di una proprietà di asset. Utilizza questa chiave di condizione per definire le autorizzazioni in base a una proprietà specificata di un modello di asset. Questa chiave di condizione si applica a tutti gli asset di tale modello. Valore di esempio: |
Stringa |
iotsitewise:childAssetId |
L'ID di un asset associato come un figlio a un altro asset. Utilizza questa chiave di condizione per definire le autorizzazioni in base agli asset figlio. Per definire le autorizzazioni in base agli asset padre, utilizza la sezione delle risorse di un'istruzione policy. Valore di esempio: |
Stringa |
iotsitewise:iam |
L'ARN di un'identità IAM quando si elencano le politiche di accesso. Utilizza questa chiave di condizione per definire le autorizzazioni delle politiche di accesso per un'identità IAM. Valore di esempio: |
Stringa, Null |
iotsitewise:propertyAlias |
L'alias che identifica una proprietà o un flusso di dati di una risorsa. Utilizzate questa chiave di condizione per definire le autorizzazioni in base all'alias. |
Stringa |
iotsitewise:user |
L'ID di un utente di IAM Identity Center quando elenca le politiche di accesso. Utilizza questa chiave di condizione per definire le autorizzazioni delle policy di accesso per un utente IAM Identity Center. Valore di esempio: |
Stringa, Null |
iotsitewise:group |
L'ID di un gruppo IAM Identity Center quando si elencano le politiche di accesso. Utilizza questa chiave di condizione per definire le autorizzazioni delle policy di accesso per un gruppo IAM Identity Center. Valore di esempio: |
Stringa, Null |
iotsitewise:portal |
ID di un portale in una policy di accesso. Utilizza questa chiave di condizione per definire le autorizzazioni delle policy di accesso in base a un portale. Valore di esempio: |
Stringa, Null |
iotsitewise:project |
L'ID di un progetto in una policy di accesso o l'ID di un progetto per un pannello di controllo. Utilizza questa chiave di condizione per definire il pannello di controllo o le autorizzazioni delle policy di accesso in base a un progetto. Valore di esempio: |
Stringa, Null |
Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta Azioni definite da AWS IoT SiteWise.
Esempi
Per visualizzare esempi di politiche AWS IoT SiteWise basate sull'identità, vedere. AWS IoT SiteWise esempi di politiche basate sull'identità
