本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM 用户、组和角色
IAM 用户、组和角色是用于在 AWS中管理身份和身份验证的标准机制。您可以使用 AWS SDK 和,使用它们连接到 AWS IoT HTTP 接口 AWS CLI。
IAM 角色还 AWS IoT 允许代表您访问您账户中的其他 AWS 资源。例如,如果您想让设备将其状态发布到 DynamoDB 表,则 IAM 角色 AWS IoT 允许与亚马逊 DynamoDB 进行交互。有关更多信息,请参阅 IAM 角色。
对于通过 HTTP 的消息代理连接,使用签名版本 4 签名过程对用户、群组和角色 AWS IoT 进行身份验证。有关信息,请参阅签署 AWS API 请求。
使用带有安全令牌服务 (AWS STS) 提供的 AWS 临时安全证书的查询参数对请求进行身份验证时,在计算签名时,请勿X-Amz-Security-Token在规范查询字符串中包含这些内容。取而代之的是,在计算签名之后X-Amz-Security-Token作为查询参数追加。这与其他一些要求将安全令牌作为规范请求一部分的 AWS 服务不同。有关更多信息,请参阅使用临时安全证书签署请求。
注意
AWS 物联网设备会自动 SDKs 处理此签名行为。如果您正在实现自定义签名代码,请参阅 SDK 源代码以供参考:
-
AWS 适用于 Python v2 的物联网设备 SDK
— 参见 websockets_with_default_aws_signing(),哪个设置了omit_session_token=True -
AWS 适用于 Java 的物联网设备 SDK v2
— 参见 setOmitSessionToken(true)
在使用 AWS 签名版本 4 时 AWS IoT,客户端必须在 TLS 实现中支持以下内容:
-
TLS 1.2
-
SHA-256 RSA 证书签名验证
-
来自 TLS 密码套件支持部分的密码套件之一
有关信息,请参阅 的身份和访问管理 AWS IoT。
