AWS IoT SiteWise 基于身份的策略 - AWS IoT SiteWise
策略操作策略资源策略条件键示例

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS IoT SiteWise 基于身份的策略

IAM策略允许你控制谁能在里面做什么 AWS IoT SiteWise。您可以决定允许或不允许哪些操作,并为这些操作设置具体条件。例如,您可以制定规则,规定谁可以查看或更改中的信息 AWS IoT SiteWise。 AWS IoT SiteWise 支持特定的操作、资源和条件键。要了解您在JSON策略中使用的所有元素,请参阅IAM用户指南中的IAMJSON策略元素参考

策略操作

管理员可以使用 AWS JSON策略来指定谁有权访问什么。也就是说,哪个主体 可以对什么资源执行操作,以及在什么条件下执行。

JSON策略Action元素描述了可用于在策略中允许或拒绝访问的操作。策略操作通常与关联的 AWS API操作同名。也有一些例外,例如没有匹配API操作的仅限权限的操作。还有一些操作需要在策略中执行多个操作。这些附加操作称为相关操作

在策略中包含操作以授予执行关联操作的权限。

正在执行的策略操作在操作前 AWS IoT SiteWise 使用以下前缀:iotsitewise:. 例如,要授予某人通过操作将资产属性数据上传到 AWS IoT SiteWise 的权限,您可以将该BatchPutAssetPropertyValueAPIiotsitewise:BatchPutAssetPropertyValue操作包含在他们的策略中。策略声明必须包含ActionNotAction元素。 AWS IoT SiteWise 定义了自己的一组操作,这些操作描述了您可以使用此服务执行的任务。

要在单个语句中指定多项 操作,请使用逗号将它们隔开,如下所示。

"Action": [
  "iotsitewise:action1",
  "iotsitewise:action2"
]

您也可以使用通配符 (*) 指定多个操作。例如,要指定以单词 Describe 开头的所有操作,请包括以下操作。

"Action": "iotsitewise:Describe*"

要查看 AWS IoT SiteWise 操作列表,请参阅IAM用户指南 AWS IoT SiteWise中的操作定义

BatchPutAssetPropertyValue 授权

AWS IoT SiteWise 以一种不寻常的方式授权访问BatchPutAssetPropertyValue操作。对于大多数操作,当您允许或拒绝访问时,如果未授予权限,则该操作会返回错误。使用BatchPutAssetPropertyValue,您可以在单个API请求中向不同的资产和资产属性发送多个数据条目。 AWS IoT SiteWise 对每个数据输入进行独立授权。对于请求中未通过授权的任何单个条目, AWS IoT SiteWise 请在返回的错误列表AccessDeniedException中包含一个。 AWS IoT SiteWise 接收任何授权并成功的条目的数据,即使同一请求中的另一个条目失败也是如此。

重要

在将数据提取到数据流之前,请执行以下操作:

  • 如果您使用属性别名来标识数据流,则对time-series资源进行授权。

  • 如果您使用资产 ID 来标识包含关联资产属性的资产,则对asset资源进行授权。

策略资源

管理员可以使用 AWS JSON策略来指定谁有权访问什么。也就是说,哪个主体 可以对什么资源执行操作,以及在什么条件下执行。

ResourceJSON策略元素指定要应用操作的一个或多个对象。语句必须包含 ResourceNotResource 元素。最佳做法是,使用资源的 Amazon 资源名称 (ARN) 指定资源。对于支持特定资源类型(称为资源级权限)的操作,您可以执行此操作。

对于不支持资源级权限的操作(如列出操作),请使用通配符 (*) 指示语句应用于所有资源。

"Resource": "*"

每项IAM策略声明都适用于您使用其指定的资源ARNs。ARN的通用语法如下。

arn:${Partition}:${Service}:${Region}:${Account}:${ResourceType}/${ResourcePath}

有关格式的更多信息ARNs,请参阅 Amazon 资源名称 (ARNs) 和 AWS 服务命名空间

例如,要在报表a1b2c3d4-5678-90ab-cdef-22222EXAMPLE中指定带有 ID 的资产,请使用以下内容ARN。 ;

"Resource": "arn:aws:iotsitewise:region:123456789012:asset/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE"

要指定属于特定账户的所有数据流,请使用通配符 (*):

"Resource": "arn:aws:iotsitewise:region:123456789012:time-series/*"

要指定属于特定账户的所有资产,请使用通配符 (*):

"Resource": "arn:aws:iotsitewise:region:123456789012:asset/*"

某些 AWS IoT SiteWise 操作(例如创建资源的操作)无法对特定资源执行。在这些情况下,您必须使用通配符 (*)。

"Resource": "*"

要在单个语句中指定多个资源,请ARNs用逗号分隔。

"Resource": [
  "resource1",
  "resource2"
]

要查看 AWS IoT SiteWise 资源类型及其列表ARNs,请参阅IAM用户指南 AWS IoT SiteWise中的由定义的资源。要了解您可以使用哪些操作来指定每ARN种资源,请参阅由定义的操作 AWS IoT SiteWise

策略条件键

管理员可以使用 AWS JSON策略来指定谁有权访问什么。也就是说,哪个主体可以对什么资源执行操作,以及在什么条件下执行。

Condition 元素(或 Condition )中,可以指定语句生效的条件。Condition 元素是可选的。您可以创建使用条件运算符(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。

如果您在一个语句中指定多个 Condition 元素,或在单个 Condition 元素中指定多个键,则 AWS 使用逻辑 AND 运算评估它们。如果您为单个条件键指定多个值,则使用逻辑OR运算来 AWS 评估条件。在授予语句的权限之前必须满足所有的条件。

在指定条件时,您也可以使用占位符变量。例如,只有在资源上标有IAM用户的用户名时,您才能向IAM用户授予访问该资源的权限。有关更多信息,请参阅《IAM用户指南》中的IAM策略元素:变量和标签

AWS 支持全局条件密钥和特定于服务的条件密钥。要查看所有 AWS 全局条件键,请参阅《IAM用户指南》中的AWS 全局条件上下文密钥

重要

许多条件键是特定于资源的,有些API操作使用多个资源。如果您使用条件键编写策略语句,请使用该语句的 Resource 元素指定要将该条件键应用于的资源。如果您没有这样做,该策略可能会完全阻止用户执行操作,因为针对未应用条件键的资源的条件检查失败。如果您不想指定资源,或者您已将策略Action元素编写为包含多个API操作,则必须使用...IfExists条件类型来确保不使用条件密钥的资源忽略条件密钥。有关更多信息,请参阅... IfExists 《IAM用户指南》中的条件

AWS IoT SiteWise 定义自己的条件键集,还支持使用一些全局条件键。要查看所有 AWS 全局条件键,请参阅《IAM用户指南》中的AWS 全局条件上下文密钥

AWS IoT SiteWise 条件键
条件键 描述 类型
iotsitewise:isAssociatedWithAssetProperty

数据流是否与资产属性相关联。使用此条件键根据数据流的关联资产属性的存在来定义权限。

示例值: true

 String
iotsitewise:assetHierarchyPath

资产的层次结构路径,这是一串由正斜杠分IDs隔的资产。使用此条件键可根据您账户中所有资产的层次结构子集来定义权限。

示例值: /a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/a1b2c3d4-5678-90ab-cdef-66666EXAMPLE

 String
iotsitewise:propertyId

资产属性的 ID。使用此条件键可根据指定的资产模型属性来定义权限。此条件键适用于该模型的所有资产。

示例值: a1b2c3d4-5678-90ab-cdef-33333EXAMPLE

 String
iotsitewise:childAssetId

作为子级关联到其他资产的资产 ID。使用此条件键可根据子资产来定义权限。要根据父资产定义权限,请使用策略语句的资源部分。

示例值: a1b2c3d4-5678-90ab-cdef-66666EXAMPLE

 String
iotsitewise:iam

列出访问策略时的IAM身份。ARN使用此条件密钥定义IAM身份的访问策略权限。

示例值: arn:aws:iam::123456789012:user/JohnDoe

 字符串,Null
iotsitewise:propertyAlias

标识资产属性或数据流的别名。使用此条件键可根据别名来定义权限。

 String
iotsitewise:user

列出访问策略时IAM身份中心用户的 ID。使用此条件密钥为IAM身份中心用户定义访问策略权限。

示例值: a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE

 字符串,Null
iotsitewise:group

列出访问策略时IAM身份中心群组的 ID。使用此条件密钥定义IAM身份中心组的访问策略权限。

示例值: a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-bbbbbEXAMPLE

 字符串,Null
iotsitewise:portal

访问策略中的门户 ID。使用此条件键可根据门户来定义访问策略权限。

示例值: a1b2c3d4-5678-90ab-cdef-77777EXAMPLE

 字符串,Null
iotsitewise:project

访问策略中的项目 ID 或控制面板的项目 ID。使用此条件键可根据项目来定义控制面板或访问策略权限。

示例值: a1b2c3d4-5678-90ab-cdef-88888EXAMPLE

 字符串,Null

要了解您可以使用条件键的操作和资源,请参阅操作定义者 AWS IoT SiteWise

示例

要查看 AWS IoT SiteWise 基于身份的策略的示例,请参阅。AWS IoT SiteWise 基于身份的策略示例