为网络分析器添加必要的 IAM 角色
使用网络分析器时,必须授予用户使用 API 操作 UpdateNetworkAnalyzerConfiguration 和 GetNetworkAnalyzerConfiguration 访问网络分析器资源的权限。下面显示了您用于授予权限的 IAM 策略。
网络分析器的 IAM 策略
请使用以下任一项:
-
完全访问无线策略
通过将策略 AWSIoTWirelessFullAccess 附加到您的角色,授予 适用于 LoRaWAN 的 AWS IoT Core 完全访问策略。有关更多信息,请参阅
AWSIoTWirelessFullAccess
策略摘要。 -
用于获取和更新 API 的限定范围的 IAM 策略
通过转到 IAM 控制台的 Create policy
(创建策略)页面,并在 Visual editor(可视化编辑器)选项卡上创建以下 IAM 策略: -
对于 Service(服务),选择 IoTWireless。
-
在 Access level(访问级别)下,展开 Read(读取)并选择 GetNetworkAnalyzerConfiguration,然后展开 Write(写入)并选择 UpdateNetworkAnalyzerConfiguration。
-
选择 Next:Tags(下一步:标签),然后输入策略的 Name(名称),例如 IoTWirelessNetworkAnalyzerPolicy。选择创建策略。
以下内容显示您创建的策略 IoTWirelessNetworkAnalyzerPolicy。有关创建策略的更多信息,请参阅创建 IAM 策略。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "iotwireless:GetNetworkAnalyzerConfiguration", "iotwireless:UpdateNetworkAnalyzerConfiguration" ], "Resource": "*" } ] }
-
用于访问特定资源的限定范围的策略
要配置更精细的访问控制,您必须将无线网关和设备添加到 Resource(资源)字段中。以下策略使用通配符 ARN 授予对所有网关和设备的访问权限。您可以使用 WirelessGatewayId
和 WirelessDeviceId
来控制对特定网关和设备的访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "iotwireless:GetNetworkAnalyzerConfiguration", "iotwireless:UpdateNetworkAnalyzerConfiguration" ], "Resource": [ "arn:aws:iotwireless:*:
{accountId}
:WirelessDevice/*", "arn:aws:iotwireless:*:{accountId}
:WirelessGateway/*", "arn:aws:iotwireless:*:{accountId}
:NetworkAnalyzerConfiguration/*" ] } ] }
要授予用户使用网络分析器但不使用任何无线网关或设备的权限,请使用以下策略。除非指定,否则隐式拒绝使用资源的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "iotwireless:GetNetworkAnalyzerConfiguration", "iotwireless:UpdateNetworkAnalyzerConfiguration" ], "Resource": [ "arn:aws:iotwireless:*:
{accountId}
:NetworkAnalyzerConfiguration/*" ] } ] }
后续步骤
现在您已创建策略,您可以将资源添加到网络分析器配置中,并接收这些资源的跟踪消息收发信息。有关更多信息,请参阅创建网络分析器配置并添加资源。