AWS IoT politiche basate sull'identità AWS IoT politiche basate sulle risorse Autorizzazione basata su AWS IoT tags AWS IoT IAMruoli

In che modo AWS IoT funziona con IAM

Prima di utilizzare IAM per gestire l'accesso a AWS IoT, è necessario comprendere con quali IAM funzionalità è possibile utilizzare AWS IoT. Per avere una visione di alto livello di come AWS IoT e altro AWS i servizi funzionano conIAM, vedi AWS Servizi compatibili con IAM la Guida per l'IAMutente.

AWS IoT politiche basate sull'identità

Con le politiche IAM basate sull'identità, è possibile specificare azioni e risorse consentite o negate, nonché le condizioni in base alle quali le azioni sono consentite o negate. AWS IoT supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una JSON policy, consulta IAMJSONPolicy Elements Reference nella Guida per l'IAMutente.

Azioni

Gli amministratori possono utilizzare AWS JSONpolitiche per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.

L'Actionelemento di una JSON policy descrive le azioni che è possibile utilizzare per consentire o negare l'accesso a una policy. Le azioni politiche in genere hanno lo stesso nome di quelle associate AWS APIoperazione. Esistono alcune eccezioni, come le azioni di sola autorizzazione che non hanno un'operazione corrispondente. API Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.

Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.

La tabella seguente elenca le azioni IAM IoT, le associate AWS IoT APIe la risorsa manipolata dall'azione.

Operazioni di policy	AWS IoT API	Risorse
IoT: AcceptCertificateTransfer	AcceptCertificateTransfer	`arn:aws:iot:region:account-id:cert/cert-id` Nota Il Account AWS ARNdeve essere specificato l'account a cui viene trasferito il certificato.
IoT: AddThingToThingGroup	AddThingToThingGroup	`arn:aws:iot:region:account-id:thinggroup/thing-group-name` `arn:aws:iot:region:account-id:thing/thing-name`
IoT: AssociateTargetsWithJob	AssociateTargetsWithJob	nessuno
IoT: AttachPolicy	AttachPolicy	`arn:aws:iot:region:account-id:thinggroup/thing-group-name` oppure `arn:aws:iot:region:account-id:cert/cert-id`
IoT: AttachPrincipalPolicy	AttachPrincipalPolicy	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: AttachSecurityProfile	AttachSecurityProfile	`arn:aws:iot:region:account-id:securityprofile/security-profile-name` `arn:aws:iot:region:account-id:dimension/dimension-name`
IoT: AttachThingPrincipal	AttachThingPrincipal	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: CancelCertificateTransfer	CancelCertificateTransfer	`arn:aws:iot:region:account-id:cert/cert-id` Nota Il Account AWS ARNdeve essere specificato l'account a cui viene trasferito il certificato.
IoT: CancelJob	CancelJob	`arn:aws:iot:region:account-id:job/job-id`
IoT: CancelJobExecution	CancelJobExecution	`arn:aws:iot:region:account-id:job/job-id` `arn:aws:iot:region:account-id:thing/thing-name`
IoT: ClearDefaultAuthorizer	ClearDefaultAuthorizer	Nessuno
IoT: CreateAuthorizer	CreateAuthorizer	`arn:aws:iot:region:account-id:authorizer/authorizer-function-name`
IoT: CreateCertificateFromCsr	CreateCertificateFromCsr	*
IoT: CreateDimension	CreateDimension	`arn:aws:iot:region:account-id:dimension/dimension-name`
IoT: CreateJob	CreateJob	`arn:aws:iot:region:account-id:job/job-id` `arn:aws:iot:region:account-id:thinggroup/thing-group-name` `arn:aws:iot:region:account-id:thing/thing-name` `arn:aws:iot:region:account-id:jobtemplate/job-template-id`
IoT: CreateJobTemplate	CreateJobTemplate	`arn:aws:iot:region:account-id:job/job-id` `arn:aws:iot:region:account-id:jobtemplate/job-template-id`
IoT: CreateKeysAndCertificate	CreateKeysAndCertificate	*
IoT: CreatePolicy	CreatePolicy	`arn:aws:iot:region:account-id:policy/policy-name`
IoT: CreatePolicyVersion	CreatePolicyVersion	`arn:aws:iot:region:account-id:policy/policy-name` Nota Questo deve essere un AWS IoT politica, non una IAM politica.
IoT: CreateRoleAlias	CreateRoleAlias	(parametro:roleAlias) `arn:aws:iot:region:account-id:rolealias/role-alias-name`
IoT: CreateSecurityProfile	CreateSecurityProfile	`arn:aws:iot:region:account-id:securityprofile/security-profile-name` `arn:aws:iot:region:account-id:dimension/dimension-name`
IoT: CreateThing	CreateThing	`arn:aws:iot:region:account-id:thing/thing-name`
IoT: CreateThingGroup	CreateThingGroup	`arn:aws:iot:region:account-id:thinggroup/thing-group-name` Per il gruppo in fase di creazione e per il gruppo padre, se usato
IoT: CreateThingType	CreateThingType	`arn:aws:iot:region:account-id:thingtype/thing-type-name`
IoT: CreateTopicRule	CreateTopicRule	`arn:aws:iot:region:account-id:rule/rule-name`
IoT: DeleteAuthorizer	DeleteAuthorizer	`arn:aws:iot:region:account-id:authorizer/authorizer-name`
IoT: D eleteCACertificate	D eleteCACertificate	`arn:aws:iot:region:account-id:cacert/cert-id`
IoT: DeleteCertificate	DeleteCertificate	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: DeleteDimension	DeleteDimension	`arn:aws:iot:region:account-id:dimension/dimension-name`
IoT: DeleteJob	DeleteJob	`arn:aws:iot:region:account-id:job/job-id`
IoT: DeleteJobTemplate	DeleteJobTemplate	`arn:aws:iot:region:account-id:job/job-template-id`
IoT: DeleteJobExecution	DeleteJobExecution	`arn:aws:iot:region:account-id:job/job-id` `arn:aws:iot:region:account-id:thing/thing-name`
IoT: DeletePolicy	DeletePolicy	`arn:aws:iot:region:account-id:policy/policy-name`
IoT: DeletePolicyVersion	DeletePolicyVersion	`arn:aws:iot:region:account-id:policy/policy-name`
IoT: DeleteRegistrationCode	DeleteRegistrationCode	*
IoT: DeleteRoleAlias	DeleteRoleAlias	`arn:aws:iot:region:account-id:rolealias/role-alias-name`
IoT: DeleteSecurityProfile	DeleteSecurityProfile	`arn:aws:iot:region:account-id:securityprofile/security-profile-name` `arn:aws:iot:region:account-id:dimension/dimension-name`
IoT: DeleteThing	DeleteThing	`arn:aws:iot:region:account-id:thing/thing-name`
IoT: DeleteThingGroup	DeleteThingGroup	`arn:aws:iot:region:account-id:thinggroup/thing-group-name`
IoT: DeleteThingType	DeleteThingType	`arn:aws:iot:region:account-id:thingtype/thing-type-name`
IoT: DeleteTopicRule	DeleteTopicRule	`arn:aws:iot:region:account-id:rule/rule-name`
IoT: elimina V2 LoggingLevel	Elimina V2 LoggingLevel	`arn:aws:iot:region:account-id:thinggroup/thing-group-name`
IoT: DeprecateThingType	DeprecateThingType	`arn:aws:iot:region:account-id:thingtype/thing-type-name`
IoT: DescribeAuthorizer	DescribeAuthorizer	`arn:aws:iot:region:account-id:authorizer/authorizer-function-name` (parametro:authorizerName) nessuno
IoT: d escribeCACertificate	D escribeCACertificate	`arn:aws:iot:region:account-id:cacert/cert-id`
IoT: DescribeCertificate	DescribeCertificate	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: DescribeDefaultAuthorizer	DescribeDefaultAuthorizer	Nessuno
IoT: DescribeEndpoint	DescribeEndpoint	*
IoT: DescribeEventConfigurations	DescribeEventConfigurations	nessuno
IoT: DescribeIndex	DescribeIndex	`arn:aws:iot:region:account-id:index/index-name`
IoT: DescribeJob	DescribeJob	`arn:aws:iot:region:account-id:job/job-id`
IoT: DescribeJobExecution	DescribeJobExecution	Nessuno
IoT: DescribeJobTemplate	DescribeJobTemplate	`arn:aws:iot:region:account-id:job/job-template-id`
IoT: DescribeRoleAlias	DescribeRoleAlias	`arn:aws:iot:region:account-id:rolealias/role-alias-name`
IoT: DescribeThing	DescribeThing	`arn:aws:iot:region:account-id:thing/thing-name`
IoT: DescribeThingGroup	DescribeThingGroup	`arn:aws:iot:region:account-id:thinggroup/thing-group-name`
IoT: DescribeThingRegistrationTask	DescribeThingRegistrationTask	Nessuno
IoT: DescribeThingType	DescribeThingType	`arn:aws:iot:region:account-id:thingtype/thing-type-name`
IoT: DetachPolicy	DetachPolicy	`arn:aws:iot:region:account-id:cert/cert-id` oppure `arn:aws:iot:region:account-id:thinggroup/thing-group-name`
IoT: DetachPrincipalPolicy	DetachPrincipalPolicy	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: DetachSecurityProfile	DetachSecurityProfile	`arn:aws:iot:region:account-id:securityprofile/security-profile-name` `arn:aws:iot:region:account-id:dimension/dimension-name`
IoT: DetachThingPrincipal	DetachThingPrincipal	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: DisableTopicRule	DisableTopicRule	`arn:aws:iot:region:account-id:rule/rule-name`
IoT: EnableTopicRule	EnableTopicRule	`arn:aws:iot:region:account-id:rule/rule-name`
IoT: GetEffectivePolicies	GetEffectivePolicies	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: GetIndexingConfiguration	GetIndexingConfiguration	Nessuno
IoT: GetJobDocument	GetJobDocument	`arn:aws:iot:region:account-id:job/job-id`
IoT: GetLoggingOptions	GetLoggingOptions	*
IoT: GetPolicy	GetPolicy	`arn:aws:iot:region:account-id:policy/policy-name`
IoT: GetPolicyVersion	GetPolicyVersion	`arn:aws:iot:region:account-id:policy/policy-name`
IoT: GetRegistrationCode	GetRegistrationCode	*
IoT: GetTopicRule	GetTopicRule	`arn:aws:iot:region:account-id:rule/rule-name`
IoT: ListAttachedPolicies	ListAttachedPolicies	`arn:aws:iot:region:account-id:thinggroup/thing-group-name` oppure `arn:aws:iot:region:account-id:cert/cert-id`
IoT: ListAuthorizers	ListAuthorizers	Nessuno
IoT: istCACertificates	L istCACertificates	*
IoT: ListCertificates	ListCertificates	*
iot: ListCertificatesBy CA	ListCertificatesByCA	*
IoT: ListIndices	ListIndices	Nessuno
IoT: ListJobExecutionsForJob	ListJobExecutionsForJob	Nessuno
IoT: ListJobExecutionsForThing	ListJobExecutionsForThing	Nessuno
IoT: ListJobs	ListJobs	`arn:aws:iot:region:account-id:thinggroup/thing-group-name` se il thingGroupName parametro è usato
iot: ListJobTemplates	ListJobs	Nessuno
IoT: ListOutgoingCertificates	ListOutgoingCertificates	*
IoT: ListPolicies	ListPolicies	*
IoT: ListPolicyPrincipals	ListPolicyPrincipals	*
IoT: ListPolicyVersions	ListPolicyVersions	`arn:aws:iot:region:account-id:policy/policy-name`
IoT: ListPrincipalPolicies	ListPrincipalPolicies	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: ListPrincipalThings	ListPrincipalThings	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: ListRoleAliases	ListRoleAliases	Nessuno
IoT: ListTargetsForPolicy	ListTargetsForPolicy	`arn:aws:iot:region:account-id:policy/policy-name`
IoT: ListThingGroups	ListThingGroups	Nessuno
IoT: ListThingGroupsForThing	ListThingGroupsForThing	`arn:aws:iot:region:account-id:thing/thing-name`
IoT: ListThingPrincipals	ListThingPrincipals	`arn:aws:iot:region:account-id:thing/thing-name`
IoT: ListThingRegistrationTaskReports	ListThingRegistrationTaskReports	Nessuno
IoT: ListThingRegistrationTasks	ListThingRegistrationTasks	Nessuno
IoT: ListThingTypes	ListThingTypes	*
IoT: ListThings	ListThings	*
IoT: ListThingsInThingGroup	ListThingsInThingGroup	`arn:aws:iot:region:account-id:thinggroup/thing-group-name`
IoT: ListTopicRules	ListTopicRules	*
IoT: listv2 LoggingLevels	Elenco V2 LoggingLevels	Nessuno
IoT: R egisterCACertificate	R egisterCACertificate	*
IoT: RegisterCertificate	RegisterCertificate	*
IoT: RegisterThing	RegisterThing	Nessuno
IoT: RejectCertificateTransfer	RejectCertificateTransfer	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: RemoveThingFromThingGroup	RemoveThingFromThingGroup	`arn:aws:iot:region:account-id:thinggroup/thing-group-name` `arn:aws:iot:region:account-id:thing/thing-name`
IoT: ReplaceTopicRule	ReplaceTopicRule	`arn:aws:iot:region:account-id:rule/rule-name`
IoT: SearchIndex	SearchIndex	`arn:aws:iot:region:account-id:index/index-id`
IoT: SetDefaultAuthorizer	SetDefaultAuthorizer	`arn:aws:iot:region:account-id:authorizer/authorizer-function-name`
IoT: SetDefaultPolicyVersion	SetDefaultPolicyVersion	`arn:aws:iot:region:account-id:policy/policy-name`
IoT: SetLoggingOptions	SetLoggingOptions	`arn:aws:iot:region:account-id:role/role-name`
IoT: setV2 LoggingLevel	Impostare V2 LoggingLevel	`arn:aws:iot:region:account-id:thinggroup/thing-group-name`
IoT: setV2 LoggingOptions	Impostare V2 LoggingOptions	`arn:aws:iot:region:account-id:role/role-name`
IoT: StartThingRegistrationTask	StartThingRegistrationTask	Nessuno
IoT: StopThingRegistrationTask	StopThingRegistrationTask	Nessuno
IoT: TestAuthorization	TestAuthorization	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: TestInvokeAuthorizer	TestInvokeAuthorizer	Nessuno
IoT: TransferCertificate	TransferCertificate	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: UpdateAuthorizer	UpdateAuthorizer	`arn:aws:iot:region:account-id:authorizerfunction/authorizer-function-name`
IoT: pdateCACertificate	U pdateCACertificate	`arn:aws:iot:region:account-id:cacert/cert-id`
IoT: UpdateCertificate	UpdateCertificate	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: UpdateDimension	UpdateDimension	`arn:aws:iot:region:account-id:dimension/dimension-name`
IoT: UpdateEventConfigurations	UpdateEventConfigurations	Nessuno
IoT: UpdateIndexingConfiguration	UpdateIndexingConfiguration	Nessuno
IoT: UpdateRoleAlias	UpdateRoleAlias	`arn:aws:iot:region:account-id:rolealias/role-alias-name`
IoT: UpdateSecurityProfile	UpdateSecurityProfile	`arn:aws:iot:region:account-id:securityprofile/security-profile-name` `arn:aws:iot:region:account-id:dimension/dimension-name`
IoT: UpdateThing	UpdateThing	`arn:aws:iot:region:account-id:thing/thing-name`
IoT: UpdateThingGroup	UpdateThingGroup	`arn:aws:iot:region:account-id:thinggroup/thing-group-name`
IoT: UpdateThingGroupsForThing	UpdateThingGroupsForThing	`arn:aws:iot:region:account-id:thing/thing-name` `arn:aws:iot:region:account-id:thinggroup/thing-group-name`

Azioni politiche in AWS IoT usa il seguente prefisso prima dell'azione:iot:. Ad esempio, per concedere a qualcuno l'autorizzazione a elencare tutti gli oggetti IoT registrati nel proprio Account AWS con ListThingsAPI, includi l'iot:ListThingsazione nella loro politica. Le istruzioni della policy devono includere un elemento Action o NotAction. AWS IoT definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.

Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:


"Action": [
      "ec2:action1",
      "ec2:action2"

È possibile specificare più azioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola Describe, includi la seguente azione:


"Action": "iot:Describe*"

Per visualizzare un elenco di AWS IoT azioni, vedi Azioni definite da AWS IoT nella Guida per l'utente di IAM.

Operazioni di Device Advisor

La tabella seguente elenca le azioni di IAM IoT Device Advisor, le associate AWS IoT Device Advisor API e la risorsa manipolata dall'azione.

Operazioni di policy	AWS IoT API	Risorse
iotdeviceadvisor: CreateSuiteDefinition	CreateSuiteDefinition	Nessuno
consulente per dispositivi IoT: DeleteSuiteDefinition	DeleteSuiteDefinition	`arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id`
consulente per dispositivi IoT: GetSuiteDefinition	GetSuiteDefinition	`arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id`
consulente per dispositivi IoT: GetSuiteRun	GetSuiteRun	`arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-run-id`
consulente per dispositivi IoT: GetSuiteRunReport	GetSuiteRunReport	`arn:aws:iotdeviceadvisor:region:account-id:suiterun/suite-definition-id/suite-run-id`
consulente per dispositivi IoT: ListSuiteDefinitions	ListSuiteDefinitions	Nessuno
consulente per dispositivi IoT: ListSuiteRuns	ListSuiteRuns	`arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id`
consulente per dispositivi IoT: ListTagsForResource	ListTagsForResource	`arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id` `arn:aws:iotdeviceadvisor:region:account-id:suiterun/suite-definition-id/suite-run-id`
consulente per dispositivi IoT: StartSuiteRun	StartSuiteRun	`arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id`
consulente per dispositivi IoT: TagResource	TagResource	`arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id` `arn:aws:iotdeviceadvisor:region:account-id:suiterun/suite-definition-id/suite-run-id`
consulente per dispositivi IoT: UntagResource	UntagResource	`arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id` `arn:aws:iotdeviceadvisor:region:account-id:suiterun/suite-definition-id/suite-run-id`
consulente per dispositivi IoT: UpdateSuiteDefinition	UpdateSuiteDefinition	`arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id`
consulente per dispositivi IoT: StopSuiteRun	StopSuiteRun	`arn:aws:iotdeviceadvisor:region:account-id:suiterun/suite-definition-id/suite-run-id`

Azioni politiche in AWS IoT Device Advisor utilizza il seguente prefisso prima dell'azione:iotdeviceadvisor:. Ad esempio, per concedere a qualcuno il permesso di elencare tutte le definizioni di suite registrate nel proprio Account AWS con ListSuiteDefinitions API, includi l'iotdeviceadvisor:ListSuiteDefinitionsazione nella loro politica.

Risorse

L'elemento Resource JSON policy specifica l'oggetto o gli oggetti a cui si applica l'azione. Le istruzioni devono includere un elemento Resourceo un elemento NotResource. Come best practice, specifica una risorsa utilizzando il relativo Amazon Resource Name (ARN). Puoi eseguire questa operazione per azioni che supportano un tipo di risorsa specifico, note come autorizzazioni a livello di risorsa.

Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.


"Resource": "*"

AWS IoT risorse
Operazioni di policy	AWS IoT API	Risorse
IoT: AcceptCertificateTransfer	AcceptCertificateTransfer	`arn:aws:iot:region:account-id:cert/cert-id` Nota Il Account AWS ARNdeve essere specificato l'account a cui viene trasferito il certificato.
IoT: AddThingToThingGroup	AddThingToThingGroup	`arn:aws:iot:region:account-id:thinggroup/thing-group-name` `arn:aws:iot:region:account-id:thing/thing-name`
IoT: AssociateTargetsWithJob	AssociateTargetsWithJob	Nessuno
IoT: AttachPolicy	AttachPolicy	`arn:aws:iot:region:account-id:thinggroup/thing-group-name` oppure `arn:aws:iot:region:account-id:cert/cert-id`
IoT: AttachPrincipalPolicy	AttachPrincipalPolicy	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: AttachThingPrincipal	AttachThingPrincipal	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: CancelCertificateTransfer	CancelCertificateTransfer	`arn:aws:iot:region:account-id:cert/cert-id` Nota Il Account AWS ARNdeve essere specificato l'account a cui viene trasferito il certificato.
IoT: CancelJob	CancelJob	`arn:aws:iot:region:account-id:job/job-id`
IoT: CancelJobExecution	CancelJobExecution	`arn:aws:iot:region:account-id:job/job-id` `arn:aws:iot:region:account-id:thing/thing-name`
IoT: ClearDefaultAuthorizer	ClearDefaultAuthorizer	Nessuno
IoT: CreateAuthorizer	CreateAuthorizer	`arn:aws:iot:region:account-id:authorizer/authorizer-function-name`
IoT: CreateCertificateFromCsr	CreateCertificateFromCsr	*
IoT: CreateJob	CreateJob	`arn:aws:iot:region:account-id:job/job-id` `arn:aws:iot:region:account-id:thinggroup/thing-group-name` `arn:aws:iot:region:account-id:thing/thing-name` `arn:aws:iot:region:account-id:jobtemplate/job-template-id`
IoT: CreateJobTemplate	CreateJobTemplate	`arn:aws:iot:region:account-id:job/job-id` `arn:aws:iot:region:account-id:jobtemplate/job-template-id`
IoT: CreateKeysAndCertificate	CreateKeysAndCertificate	*
IoT: CreatePolicy	CreatePolicy	`arn:aws:iot:region:account-id:policy/policy-name`
CreatePolicyVersion	IoT: CreatePolicyVersion	`arn:aws:iot:region:account-id:policy/policy-name` Nota Questo deve essere un AWS IoT politica, non una IAM politica.
IoT: CreateRoleAlias	CreateRoleAlias	(parametro:roleAlias) `arn:aws:iot:region:account-id:rolealias/role-alias-name`
IoT: CreateThing	CreateThing	`arn:aws:iot:region:account-id:thing/thing-name`
IoT: CreateThingGroup	CreateThingGroup	`arn:aws:iot:region:account-id:thinggroup/thing-group-name` Per il gruppo in fase di creazione e per il gruppo padre, se usato
IoT: CreateThingType	CreateThingType	`arn:aws:iot:region:account-id:thingtype/thing-type-name`
IoT: CreateTopicRule	CreateTopicRule	`arn:aws:iot:region:account-id:rule/rule-name`
IoT: DeleteAuthorizer	DeleteAuthorizer	`arn:aws:iot:region:account-id:authorizer/authorizer-name`
IoT: D eleteCACertificate	D eleteCACertificate	`arn:aws:iot:region:account-id:cacert/cert-id`
IoT: DeleteCertificate	DeleteCertificate	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: DeleteJob	DeleteJob	`arn:aws:iot:region:account-id:job/job-id`
IoT: DeleteJobExecution	DeleteJobExecution	`arn:aws:iot:region:account-id:job/job-id` `arn:aws:iot:region:account-id:thing/thing-name`
IoT: DeleteJobTemplate	DeleteJobTemplate	`arn:aws:iot:region:account-id:jobtemplate/job-template-id`
IoT: DeletePolicy	DeletePolicy	`arn:aws:iot:region:account-id:policy/policy-name`
IoT: DeletePolicyVersion	DeletePolicyVersion	`arn:aws:iot:region:account-id:policy/policy-name`
IoT: DeleteRegistrationCode	DeleteRegistrationCode	*
IoT: DeleteRoleAlias	DeleteRoleAlias	`arn:aws:iot:region:account-id:rolealias/role-alias-name`
IoT: DeleteThing	DeleteThing	`arn:aws:iot:region:account-id:thing/thing-name`
IoT: DeleteThingGroup	DeleteThingGroup	`arn:aws:iot:region:account-id:thinggroup/thing-group-name`
IoT: DeleteThingType	DeleteThingType	`arn:aws:iot:region:account-id:thingtype/thing-type-name`
IoT: DeleteTopicRule	DeleteTopicRule	`arn:aws:iot:region:account-id:rule/rule-name`
IoT: elimina V2 LoggingLevel	Elimina V2 LoggingLevel	`arn:aws:iot:region:account-id:thinggroup/thing-group-name`
IoT: DeprecateThingType	DeprecateThingType	`arn:aws:iot:region:account-id:thingtype/thing-type-name`
IoT: DescribeAuthorizer	DescribeAuthorizer	`arn:aws:iot:region:account-id:authorizer/authorizer-function-name` (parametro:authorizerName) nessuno
IoT: d escribeCACertificate	D escribeCACertificate	`arn:aws:iot:region:account-id:cacert/cert-id`
IoT: DescribeCertificate	DescribeCertificate	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: DescribeDefaultAuthorizer	DescribeDefaultAuthorizer	Nessuno
IoT: DescribeEndpoint	DescribeEndpoint	*
IoT: DescribeEventConfigurations	DescribeEventConfigurations	nessuno
IoT: DescribeIndex	DescribeIndex	`arn:aws:iot:region:account-id:index/index-name`
IoT: DescribeJob	DescribeJob	`arn:aws:iot:region:account-id:job/job-id`
IoT: DescribeJobExecution	DescribeJobExecution	Nessuno
IoT: DescribeJobTemplate	DescribeJobTemplate	`arn:aws:iot:region:account-id:jobtemplate/job-template-id`
IoT: DescribeRoleAlias	DescribeRoleAlias	`arn:aws:iot:region:account-id:rolealias/role-alias-name`
IoT: DescribeThing	DescribeThing	`arn:aws:iot:region:account-id:thing/thing-name`
IoT: DescribeThingGroup	DescribeThingGroup	`arn:aws:iot:region:account-id:thinggroup/thing-group-name`
IoT: DescribeThingRegistrationTask	DescribeThingRegistrationTask	Nessuno
IoT: DescribeThingType	DescribeThingType	`arn:aws:iot:region:account-id:thingtype/thing-type-name`
IoT: DetachPolicy	DetachPolicy	`arn:aws:iot:region:account-id:cert/cert-id` oppure `arn:aws:iot:region:account-id:thinggroup/thing-group-name`
IoT: DetachPrincipalPolicy	DetachPrincipalPolicy	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: DetachThingPrincipal	DetachThingPrincipal	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: DisableTopicRule	DisableTopicRule	`arn:aws:iot:region:account-id:rule/rule-name`
IoT: EnableTopicRule	EnableTopicRule	`arn:aws:iot:region:account-id:rule/rule-name`
IoT: GetEffectivePolicies	GetEffectivePolicies	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: GetIndexingConfiguration	GetIndexingConfiguration	Nessuno
IoT: GetJobDocument	GetJobDocument	`arn:aws:iot:region:account-id:job/job-id`
IoT: GetLoggingOptions	GetLoggingOptions	*
IoT: GetPolicy	GetPolicy	`arn:aws:iot:region:account-id:policy/policy-name`
IoT: GetPolicyVersion	GetPolicyVersion	`arn:aws:iot:region:account-id:policy/policy-name`
IoT: GetRegistrationCode	GetRegistrationCode	*
IoT: GetTopicRule	GetTopicRule	`arn:aws:iot:region:account-id:rule/rule-name`
IoT: ListAttachedPolicies	ListAttachedPolicies	`arn:aws:iot:region:account-id:thinggroup/thing-group-name` oppure `arn:aws:iot:region:account-id:cert/cert-id`
IoT: ListAuthorizers	ListAuthorizers	Nessuno
IoT: istCACertificates	L istCACertificates	*
IoT: ListCertificates	ListCertificates	*
iot: ListCertificatesBy CA	ListCertificatesByCA	*
IoT: ListIndices	ListIndices	Nessuno
IoT: ListJobExecutionsForJob	ListJobExecutionsForJob	Nessuno
IoT: ListJobExecutionsForThing	ListJobExecutionsForThing	Nessuno
IoT: ListJobs	ListJobs	`arn:aws:iot:region:account-id:thinggroup/thing-group-name` se il thingGroupName parametro è usato
iot: ListJobTemplates	ListJobTemplates	Nessuno
IoT: ListOutgoingCertificates	ListOutgoingCertificates	*
IoT: ListPolicies	ListPolicies	*
IoT: ListPolicyPrincipals	ListPolicyPrincipals	`arn:aws:iot:region:account-id:policy/policy-name`
IoT: ListPolicyVersions	ListPolicyVersions	`arn:aws:iot:region:account-id:policy/policy-name`
IoT: ListPrincipalPolicies	ListPrincipalPolicies	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: ListPrincipalThings	ListPrincipalThings	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: ListRoleAliases	ListRoleAliases	Nessuno
IoT: ListTargetsForPolicy	ListTargetsForPolicy	`arn:aws:iot:region:account-id:policy/policy-name`
IoT: ListThingGroups	ListThingGroups	Nessuno
IoT: ListThingGroupsForThing	ListThingGroupsForThing	`arn:aws:iot:region:account-id:thing/thing-name`
IoT: ListThingPrincipals	ListThingPrincipals	`arn:aws:iot:region:account-id:thing/thing-name`
IoT: ListThingRegistrationTaskReports	ListThingRegistrationTaskReports	Nessuno
IoT: ListThingRegistrationTasks	ListThingRegistrationTasks	Nessuno
IoT: ListThingTypes	ListThingTypes	*
IoT: ListThings	ListThings	*
IoT: ListThingsInThingGroup	ListThingsInThingGroup	`arn:aws:iot:region:account-id:thinggroup/thing-group-name`
IoT: ListTopicRules	ListTopicRules	*
IoT: listv2 LoggingLevels	Elenco V2 LoggingLevels	Nessuno
IoT: R egisterCACertificate	R egisterCACertificate	*
IoT: RegisterCertificate	RegisterCertificate	*
IoT: RegisterThing	RegisterThing	Nessuno
IoT: RejectCertificateTransfer	RejectCertificateTransfer	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: RemoveThingFromThingGroup	RemoveThingFromThingGroup	`arn:aws:iot:region:account-id:thinggroup/thing-group-name` `arn:aws:iot:region:account-id:thing/thing-name`
IoT: ReplaceTopicRule	ReplaceTopicRule	`arn:aws:iot:region:account-id:rule/rule-name`
IoT: SearchIndex	SearchIndex	`arn:aws:iot:region:account-id:index/index-id`
IoT: SetDefaultAuthorizer	SetDefaultAuthorizer	`arn:aws:iot:region:account-id:authorizer/authorizer-function-name`
IoT: SetDefaultPolicyVersion	SetDefaultPolicyVersion	`arn:aws:iot:region:account-id:policy/policy-name`
IoT: SetLoggingOptions	SetLoggingOptions	*
IoT: setV2 LoggingLevel	Impostare V2 LoggingLevel	*
IoT: setV2 LoggingOptions	Impostare V2 LoggingOptions	*
IoT: StartThingRegistrationTask	StartThingRegistrationTask	Nessuno
IoT: StopThingRegistrationTask	StopThingRegistrationTask	Nessuno
IoT: TestAuthorization	TestAuthorization	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: TestInvokeAuthorizer	TestInvokeAuthorizer	Nessuno
IoT: TransferCertificate	TransferCertificate	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: UpdateAuthorizer	UpdateAuthorizer	`arn:aws:iot:region:account-id:authorizerfunction/authorizer-function-name`
IoT: pdateCACertificate	U pdateCACertificate	`arn:aws:iot:region:account-id:cacert/cert-id`
IoT: UpdateCertificate	UpdateCertificate	`arn:aws:iot:region:account-id:cert/cert-id`
IoT: UpdateEventConfigurations	UpdateEventConfigurations	Nessuno
IoT: UpdateIndexingConfiguration	UpdateIndexingConfiguration	Nessuno
IoT: UpdateRoleAlias	UpdateRoleAlias	`arn:aws:iot:region:account-id:rolealias/role-alias-name`
IoT: UpdateThing	UpdateThing	`arn:aws:iot:region:account-id:thing/thing-name`
IoT: UpdateThingGroup	UpdateThingGroup	`arn:aws:iot:region:account-id:thinggroup/thing-group-name`
IoT: UpdateThingGroupsForThing	UpdateThingGroupsForThing	`arn:aws:iot:region:account-id:thing/thing-name`

Per ulteriori informazioni sul formato diARNs, consulta Amazon Resource Names (ARNs) e AWS Namespace dei servizi.

Medio AWS IoT le azioni, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).


"Resource": "*"

Per visualizzare un elenco di AWS IoT tipi di risorse e relativiARNs, vedi Risorse definite da AWS IoT nella Guida per l'utente di IAM. Per sapere con quali azioni è possibile specificare le caratteristiche ARN di ciascuna risorsa, vedere Azioni definite da AWS IoT.

Risorse di Device Advisor

Per definire restrizioni a livello di risorsa per AWS IoT IAMLe politiche di Device Advisor, utilizzate i seguenti ARN formati di risorse per le definizioni e le esecuzioni delle suite.

ARNFormato delle risorse per la definizione della suite: arn:aws:iotdeviceadvisor:region:account-id:suitedefinition/suite-definition-id
ARNFormato delle risorse di esecuzione della suite: arn:aws:iotdeviceadvisor:region:account-id:suiterun/suite-definition-id/suite-run-id

Chiavi di condizione

Gli amministratori possono utilizzare AWS JSONpolitiche per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire azioni su quali risorse, e in quali condizioni.

L'elemento Condition(o blocco Condition) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento Conditionè facoltativo. Puoi compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.

Se specificate più Condition elementi in un'istruzione o più chiavi in un singolo Condition elemento, AWS li valuta utilizzando un'ANDoperazione logica. Se specificate più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'ORoperazione logica. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.

Puoi anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, è possibile concedere a un IAM utente l'autorizzazione ad accedere a una risorsa solo se è contrassegnata con il relativo nome IAM utente. Per ulteriori informazioni, consulta gli elementi IAM della politica: variabili e tag nella Guida IAM per l'utente.

AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per vedere tutto AWS chiavi di condizione globali, vedi AWS chiavi di contesto della condizione globale nella Guida IAM per l'utente.

AWS IoT definisce il proprio set di chiavi di condizione e supporta anche l'utilizzo di alcune chiavi di condizione globali. Per vedere tutto AWS chiavi di condizione globali, vedi AWS Tasti contestuali della condizione globale nella Guida IAM per l'utente.

AWS IoT chiavi di condizione
AWS IoT tasti di condizione	Descrizione	Tipo
`aws:RequestTag/${tag-key}`	Una chiave di tag presente nella richiesta che l'utente effettua a AWS IoT.	Stringa
`aws:ResourceTag/${tag-key}`	Il componente chiave del tag di un tag allegato a un AWS IoT risorsa.	Stringa
`aws:TagKeys`	L'elenco di tutti i nomi delle chiavi di tag associati alla risorsa nella richiesta.	Stringa

Per visualizzare un elenco di AWS IoT chiavi di condizione, vedi Condition Keys per AWS IoT nella Guida per l'utente di IAM. Per sapere con quali azioni e risorse puoi usare una chiave di condizione, vedi Azioni definite da AWS IoT.

Esempi

Per visualizzare esempi di AWS IoT politiche basate sull'identità, vedere. AWS IoT esempi di politiche basate sull'identità

AWS IoT politiche basate sulle risorse

Le politiche basate sulle risorse sono documenti JSON politici che specificano le azioni che un determinato committente può eseguire sul AWS IoT risorsa e a quali condizioni.

AWS IoT non supporta politiche basate IAM sulle risorse. Tuttavia, supporta AWS IoT politiche basate sulle risorse. Per ulteriori informazioni, consulta AWS IoT Core policies.

Autorizzazione basata su AWS IoT tags

Puoi allegare tag a AWS IoT risorse o invia tag in una richiesta a AWS IoT. Per controllare l'accesso in base ai tag, fornisci le informazioni sui tag nell'elemento condition di una policy utilizzando i tasti iot:ResourceTag/key-nameaws:RequestTag/key-name, o aws:TagKeys condition. Per ulteriori informazioni, consulta Utilizzo dei tag con policy IAM. Per ulteriori informazioni sull'etichettatura AWS IoT risorse, vediTaggare le tue risorse AWS IoT.

Per visualizzare una policy basata sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta Visualizzazione AWS IoT risorse basate su tag.

AWS IoT IAMruoli

Un IAMruolo è un'entità all'interno del tuo Account AWS che dispone di autorizzazioni specifiche.

Utilizzo di credenziali temporanee con AWS IoT

Puoi utilizzare credenziali temporanee per accedere con la federazione, assumere un IAM ruolo o assumere un ruolo tra account. È possibile ottenere credenziali di sicurezza temporanee chiamando AWS STS APIoperazioni come AssumeRoleo GetFederationToken.

AWS IoT supporta l'utilizzo di credenziali temporanee.

Ruoli collegati ai servizi

I ruoli collegati ai servizi lo consentono AWS servizi per accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi vengono visualizzati nell'IAMaccount e sono di proprietà del servizio. Un IAM amministratore può visualizzare ma non modificare le autorizzazioni per i ruoli collegati al servizio.

AWS IoT non supporta ruoli collegati ai servizi.

Ruoli dei servizi

Questa caratteristica consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli di servizio vengono visualizzati nell'IAMaccount e sono di proprietà dell'account. Ciò significa che un IAM amministratore può modificare le autorizzazioni per questo ruolo. Tuttavia, il farlo potrebbe pregiudicare la funzionalità del servizio.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione dell'identità e degli accessi

Esempi di policy basate su identità

In che modo AWS IoT funziona con IAM

Argomenti

AWS IoT politiche basate sull'identità

Azioni

Nota

Nota

Nota

Operazioni di Device Advisor

Risorse

Nota

Nota

Nota

Risorse di Device Advisor

Chiavi di condizione

Esempi

AWS IoT politiche basate sulle risorse

Autorizzazione basata su AWS IoT tags

AWS IoT IAMruoli

Utilizzo di credenziali temporanee con AWS IoT

Ruoli collegati ai servizi

Ruoli dei servizi