本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS IoT SiteWise 基于身份的策略
IAM策略允许你控制谁能在里面做什么 AWS IoT SiteWise。您可以决定允许或不允许哪些操作,并为这些操作设置具体条件。例如,您可以制定规则,规定谁可以查看或更改中的信息 AWS IoT SiteWise。 AWS IoT SiteWise 支持特定的操作、资源和条件键。要了解您在JSON策略中使用的所有元素,请参阅IAM用户指南中的IAMJSON策略元素参考。
策略操作
管理员可以使用 AWS JSON策略来指定谁有权访问什么。也就是说,哪个主体 可以对什么资源执行操作,以及在什么条件下执行。
JSON策略Action元素描述了可用于在策略中允许或拒绝访问的操作。策略操作通常与关联的 AWS API操作同名。也有一些例外,例如没有匹配API操作的仅限权限的操作。还有一些操作需要在策略中执行多个操作。这些附加操作称为相关操作。
在策略中包含操作以授予执行关联操作的权限。
正在执行的策略操作在操作前 AWS IoT SiteWise 使用以下前缀:iotsitewise:. 例如,要授予某人通过操作将资产属性数据上传到 AWS IoT SiteWise 的权限,您可以将该BatchPutAssetPropertyValueAPIiotsitewise:BatchPutAssetPropertyValue操作包含在他们的策略中。策略声明必须包含Action或NotAction元素。 AWS IoT SiteWise 定义了自己的一组操作,这些操作描述了您可以使用此服务执行的任务。
要在单个语句中指定多项 操作,请使用逗号将它们隔开,如下所示。
"Action": [ "iotsitewise:action1", "iotsitewise:action2" ]
您也可以使用通配符 (*) 指定多个操作。例如,要指定以单词 Describe 开头的所有操作,请包括以下操作。
"Action": "iotsitewise:Describe*"
要查看 AWS IoT SiteWise 操作列表,请参阅IAM用户指南 AWS IoT SiteWise中的操作定义者。
BatchPutAssetPropertyValue 授权
AWS IoT SiteWise 以一种不寻常的方式授权访问BatchPutAssetPropertyValue操作。对于大多数操作,当您允许或拒绝访问时,如果未授予权限,则该操作会返回错误。使用BatchPutAssetPropertyValue,您可以在单个API请求中向不同的资产和资产属性发送多个数据条目。 AWS IoT SiteWise
对每个数据输入进行独立授权。对于请求中未通过授权的任何单个条目, AWS IoT SiteWise 请在返回的错误列表AccessDeniedException中包含一个。 AWS IoT SiteWise 接收任何授权并成功的条目的数据,即使同一请求中的另一个条目失败也是如此。
重要
在将数据提取到数据流之前,请执行以下操作:
-
如果您使用属性别名来标识数据流,则对
time-series资源进行授权。 -
如果您使用资产 ID 来标识包含关联资产属性的资产,则对
asset资源进行授权。
策略资源
管理员可以使用 AWS JSON策略来指定谁有权访问什么。也就是说,哪个主体 可以对什么资源执行操作,以及在什么条件下执行。
ResourceJSON策略元素指定要应用操作的一个或多个对象。语句必须包含 Resource 或 NotResource 元素。最佳做法是,使用资源的 Amazon 资源名称 (ARN) 指定资源。对于支持特定资源类型(称为资源级权限)的操作,您可以执行此操作。
对于不支持资源级权限的操作(如列出操作),请使用通配符 (*) 指示语句应用于所有资源。
"Resource": "*"
每项IAM策略声明都适用于您使用其指定的资源ARNs。ARN的通用语法如下。
arn:${Partition}:${Service}:${Region}:${Account}:${ResourceType}/${ResourcePath}
有关格式的更多信息ARNs,请参阅 Amazon 资源名称 (ARNs) 和 AWS 服务命名空间。
例如,要在报表a1b2c3d4-5678-90ab-cdef-22222EXAMPLE中指定带有 ID 的资产,请使用以下内容ARN。 ;
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE"
要指定属于特定账户的所有数据流,请使用通配符 (*):
"Resource": "arn:aws:iotsitewise:region:123456789012:time-series/*"
要指定属于特定账户的所有资产,请使用通配符 (*):
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/*"
某些 AWS IoT SiteWise 操作(例如创建资源的操作)无法对特定资源执行。在这些情况下,您必须使用通配符 (*)。
"Resource": "*"
要在单个语句中指定多个资源,请ARNs用逗号分隔。
"Resource": [ "resource1", "resource2" ]
要查看 AWS IoT SiteWise 资源类型及其列表ARNs,请参阅IAM用户指南 AWS IoT SiteWise中的由定义的资源。要了解您可以使用哪些操作来指定每ARN种资源,请参阅由定义的操作 AWS IoT SiteWise。
策略条件键
管理员可以使用 AWS JSON策略来指定谁有权访问什么。也就是说,哪个主体可以对什么资源执行操作,以及在什么条件下执行。
在 Condition 元素(或 Condition 块)中,可以指定语句生效的条件。Condition 元素是可选的。您可以创建使用条件运算符(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。
如果您在一个语句中指定多个 Condition 元素,或在单个 Condition 元素中指定多个键,则 AWS 使用逻辑 AND 运算评估它们。如果您为单个条件键指定多个值,则使用逻辑OR运算来 AWS 评估条件。在授予语句的权限之前必须满足所有的条件。
在指定条件时,您也可以使用占位符变量。例如,只有在资源上标有IAM用户的用户名时,您才能向IAM用户授予访问该资源的权限。有关更多信息,请参阅《IAM用户指南》中的IAM策略元素:变量和标签。
AWS 支持全局条件密钥和特定于服务的条件密钥。要查看所有 AWS 全局条件键,请参阅《IAM用户指南》中的AWS 全局条件上下文密钥。
重要
许多条件键是特定于资源的,有些API操作使用多个资源。如果您使用条件键编写策略语句,请使用该语句的 Resource 元素指定要将该条件键应用于的资源。如果您没有这样做,该策略可能会完全阻止用户执行操作,因为针对未应用条件键的资源的条件检查失败。如果您不想指定资源,或者您已将策略Action元素编写为包含多个API操作,则必须使用...IfExists条件类型来确保不使用条件密钥的资源忽略条件密钥。有关更多信息,请参阅... IfExists 《IAM用户指南》中的条件。
AWS IoT SiteWise 定义自己的条件键集,还支持使用一些全局条件键。要查看所有 AWS 全局条件键,请参阅《IAM用户指南》中的AWS 全局条件上下文密钥。
AWS IoT SiteWise 条件键 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 条件键 | 描述 | 类型 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:isAssociatedWithAssetProperty |
数据流是否与资产属性相关联。使用此条件键根据数据流的关联资产属性的存在来定义权限。 示例值: |
String | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:assetHierarchyPath |
资产的层次结构路径,这是一串由正斜杠分IDs隔的资产。使用此条件键可根据您账户中所有资产的层次结构子集来定义权限。 示例值: |
String | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:propertyId |
资产属性的 ID。使用此条件键可根据指定的资产模型属性来定义权限。此条件键适用于该模型的所有资产。 示例值: |
String | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:childAssetId |
作为子级关联到其他资产的资产 ID。使用此条件键可根据子资产来定义权限。要根据父资产定义权限,请使用策略语句的资源部分。 示例值: |
String | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:iam |
列出访问策略时的IAM身份。ARN使用此条件密钥定义IAM身份的访问策略权限。 示例值: |
字符串,Null | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:propertyAlias |
标识资产属性或数据流的别名。使用此条件键可根据别名来定义权限。 |
String | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:user |
列出访问策略时IAM身份中心用户的 ID。使用此条件密钥为IAM身份中心用户定义访问策略权限。 示例值: |
字符串,Null | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:group |
列出访问策略时IAM身份中心群组的 ID。使用此条件密钥定义IAM身份中心组的访问策略权限。 示例值: |
字符串,Null | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:portal |
访问策略中的门户 ID。使用此条件键可根据门户来定义访问策略权限。 示例值: |
字符串,Null | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:project |
访问策略中的项目 ID 或控制面板的项目 ID。使用此条件键可根据项目来定义控制面板或访问策略权限。 示例值: |
字符串,Null | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
要了解您可以使用条件键的操作和资源,请参阅操作定义者 AWS IoT SiteWise。
示例
要查看 AWS IoT SiteWise 基于身份的策略的示例,请参阅。AWS IoT SiteWise 基于身份的策略示例
