本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 的托管策略 AWS IoT
要向用户、群组和角色添加权限,使用起来更简单 AWS 托管策略而不是自己编写策略。创建IAM客户托管策略以仅向您的团队提供他们所需的权限需要时间和专业知识。要快速入门,你可以使用我们的 AWS 托管策略。这些政策涵盖常见用例,可在您的 AWS 账户。 有关以下内容的更多信息 AWS 托管策略,请参阅 AWS 《IAM用户指南》中的托管策略。
AWS 服务维护和更新 AWS 托管策略。您无法在中更改权限 AWS 托管策略。服务偶尔会向... 添加其他权限 AWS 托管策略以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。服务最有可能更新 AWS 新功能启动或新操作可用时的托管策略。服务不会从中移除权限 AWS 托管策略,因此策略更新不会破坏您的现有权限。
此外, AWS 支持跨多个服务的工作职能的托管策略。例如,ReadOnlyAccess AWS 托管策略提供对所有人的只读访问权限 AWS 服务和资源。当一项服务启动一项新功能时, AWS 为新操作和资源添加只读权限。有关工作职能政策的列表和说明,请参阅 AWS 《IAM用户指南》中工作职能的托管策略。
注意
AWS IoT 两者兼而有之 AWS IoT 和IAM政策。本主题仅讨论IAM策略,这些策略定义了控制平面和数据平面API操作的策略操作。另请参阅 AWS IoT Core 策略。
AWS 托管策略: AWSIoTConfigAccess
您可以将该AWSIoTConfigAccess策略附加到您的IAM身份。
此策略授予关联的身份权限,允许所有人进行访问 AWS IoT
配置操作。此策略可能会影响数据处理和存储。要查看此政策,请访问 AWS Management Console,请参阅AWSIoTConfigAccess
权限详细信息
该策略包含以下权限。
-
iot— 检索 AWS IoT 数据并执行 IoT 配置操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:AcceptCertificateTransfer", "iot:AddThingToThingGroup", "iot:AssociateTargetsWithJob", "iot:AttachPolicy", "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CancelCertificateTransfer", "iot:CancelJob", "iot:CancelJobExecution", "iot:ClearDefaultAuthorizer", "iot:CreateAuthorizer", "iot:CreateCertificateFromCsr", "iot:CreateJob", "iot:CreateKeysAndCertificate", "iot:CreateOTAUpdate", "iot:CreatePolicy", "iot:CreatePolicyVersion", "iot:CreateRoleAlias", "iot:CreateStream", "iot:CreateThing", "iot:CreateThingGroup", "iot:CreateThingType", "iot:CreateTopicRule", "iot:DeleteAuthorizer", "iot:DeleteCACertificate", "iot:DeleteCertificate", "iot:DeleteJob", "iot:DeleteJobExecution", "iot:DeleteOTAUpdate", "iot:DeletePolicy", "iot:DeletePolicyVersion", "iot:DeleteRegistrationCode", "iot:DeleteRoleAlias", "iot:DeleteStream", "iot:DeleteThing", "iot:DeleteThingGroup", "iot:DeleteThingType", "iot:DeleteTopicRule", "iot:DeleteV2LoggingLevel", "iot:DeprecateThingType", "iot:DescribeAuthorizer", "iot:DescribeCACertificate", "iot:DescribeCertificate", "iot:DescribeDefaultAuthorizer", "iot:DescribeEndpoint", "iot:DescribeEventConfigurations", "iot:DescribeIndex", "iot:DescribeJob", "iot:DescribeJobExecution", "iot:DescribeRoleAlias", "iot:DescribeStream", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingRegistrationTask", "iot:DescribeThingType", "iot:DetachPolicy", "iot:DetachPrincipalPolicy", "iot:DetachThingPrincipal", "iot:DisableTopicRule", "iot:EnableTopicRule", "iot:GetEffectivePolicies", "iot:GetIndexingConfiguration", "iot:GetJobDocument", "iot:GetLoggingOptions", "iot:GetOTAUpdate", "iot:GetPolicy", "iot:GetPolicyVersion", "iot:GetRegistrationCode", "iot:GetTopicRule", "iot:GetV2LoggingOptions", "iot:ListAttachedPolicies", "iot:ListAuthorizers", "iot:ListCACertificates", "iot:ListCertificates", "iot:ListCertificatesByCA", "iot:ListIndices", "iot:ListJobExecutionsForJob", "iot:ListJobExecutionsForThing", "iot:ListJobs", "iot:ListOTAUpdates", "iot:ListOutgoingCertificates", "iot:ListPolicies", "iot:ListPolicyPrincipals", "iot:ListPolicyVersions", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListRoleAliases", "iot:ListStreams", "iot:ListTargetsForPolicy", "iot:ListThingGroups", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:ListThingRegistrationTaskReports", "iot:ListThingRegistrationTasks", "iot:ListThings", "iot:ListThingsInThingGroup", "iot:ListThingTypes", "iot:ListTopicRules", "iot:ListV2LoggingLevels", "iot:RegisterCACertificate", "iot:RegisterCertificate", "iot:RegisterThing", "iot:RejectCertificateTransfer", "iot:RemoveThingFromThingGroup", "iot:ReplaceTopicRule", "iot:SearchIndex", "iot:SetDefaultAuthorizer", "iot:SetDefaultPolicyVersion", "iot:SetLoggingOptions", "iot:SetV2LoggingLevel", "iot:SetV2LoggingOptions", "iot:StartThingRegistrationTask", "iot:StopThingRegistrationTask", "iot:TestAuthorization", "iot:TestInvokeAuthorizer", "iot:TransferCertificate", "iot:UpdateAuthorizer", "iot:UpdateCACertificate", "iot:UpdateCertificate", "iot:UpdateEventConfigurations", "iot:UpdateIndexingConfiguration", "iot:UpdateRoleAlias", "iot:UpdateStream", "iot:UpdateThing", "iot:UpdateThingGroup", "iot:UpdateThingGroupsForThing", "iot:UpdateAccountAuditConfiguration", "iot:DescribeAccountAuditConfiguration", "iot:DeleteAccountAuditConfiguration", "iot:StartOnDemandAuditTask", "iot:CancelAuditTask", "iot:DescribeAuditTask", "iot:ListAuditTasks", "iot:CreateScheduledAudit", "iot:UpdateScheduledAudit", "iot:DeleteScheduledAudit", "iot:DescribeScheduledAudit", "iot:ListScheduledAudits", "iot:ListAuditFindings", "iot:CreateSecurityProfile", "iot:DescribeSecurityProfile", "iot:UpdateSecurityProfile", "iot:DeleteSecurityProfile", "iot:AttachSecurityProfile", "iot:DetachSecurityProfile", "iot:ListSecurityProfiles", "iot:ListSecurityProfilesForTarget", "iot:ListTargetsForSecurityProfile", "iot:ListActiveViolations", "iot:ListViolationEvents", "iot:ValidateSecurityProfileBehaviors" ], "Resource": "*" } ] }
AWS 托管策略: AWSIoTConfigReadOnlyAccess
您可以将该AWSIoTConfigReadOnlyAccess策略附加到您的IAM身份。
此策略授予关联的身份权限,允许所有人进行只读访问权限 AWS IoT 配置操作。要查看此政策,请访问 AWS Management Console,请参阅AWSIoTConfigReadOnlyAccess
权限详细信息
该策略包含以下权限。
-
iot– 对 IoT 配置操作执行只读操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:DescribeAuthorizer", "iot:DescribeCACertificate", "iot:DescribeCertificate", "iot:DescribeDefaultAuthorizer", "iot:DescribeEndpoint", "iot:DescribeEventConfigurations", "iot:DescribeIndex", "iot:DescribeJob", "iot:DescribeJobExecution", "iot:DescribeRoleAlias", "iot:DescribeStream", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingRegistrationTask", "iot:DescribeThingType", "iot:GetEffectivePolicies", "iot:GetIndexingConfiguration", "iot:GetJobDocument", "iot:GetLoggingOptions", "iot:GetOTAUpdate", "iot:GetPolicy", "iot:GetPolicyVersion", "iot:GetRegistrationCode", "iot:GetTopicRule", "iot:GetV2LoggingOptions", "iot:ListAttachedPolicies", "iot:ListAuthorizers", "iot:ListCACertificates", "iot:ListCertificates", "iot:ListCertificatesByCA", "iot:ListIndices", "iot:ListJobExecutionsForJob", "iot:ListJobExecutionsForThing", "iot:ListJobs", "iot:ListOTAUpdates", "iot:ListOutgoingCertificates", "iot:ListPolicies", "iot:ListPolicyPrincipals", "iot:ListPolicyVersions", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListRoleAliases", "iot:ListStreams", "iot:ListTargetsForPolicy", "iot:ListThingGroups", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:ListThingRegistrationTaskReports", "iot:ListThingRegistrationTasks", "iot:ListThings", "iot:ListThingsInThingGroup", "iot:ListThingTypes", "iot:ListTopicRules", "iot:ListV2LoggingLevels", "iot:SearchIndex", "iot:TestAuthorization", "iot:TestInvokeAuthorizer", "iot:DescribeAccountAuditConfiguration", "iot:DescribeAuditTask", "iot:ListAuditTasks", "iot:DescribeScheduledAudit", "iot:ListScheduledAudits", "iot:ListAuditFindings", "iot:DescribeSecurityProfile", "iot:ListSecurityProfiles", "iot:ListSecurityProfilesForTarget", "iot:ListTargetsForSecurityProfile", "iot:ListActiveViolations", "iot:ListViolationEvents", "iot:ValidateSecurityProfileBehaviors" ], "Resource": "*" } ] }
AWS 托管策略: AWSIoTDataAccess
您可以将该AWSIoTDataAccess策略附加到您的IAM身份。
此策略授予关联的身份权限,允许所有人进行访问 AWS IoT 数据操作。数据操作通过MQTT或HTTP协议发送数据。要查看此政策,请访问 AWS Management Console,请参阅 AWSIoTDataAccess
权限详细信息
该策略包含以下权限。
-
iot— 检索 AWS IoT 数据并允许完全访问 AWS IoT 消息传送操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:Connect", "iot:Publish", "iot:Subscribe", "iot:Receive", "iot:GetThingShadow", "iot:UpdateThingShadow", "iot:DeleteThingShadow", "iot:ListNamedShadowsForThing" ], "Resource": "*" } ] }
AWS 托管策略: AWSIoTFullAccess
您可以将该AWSIoTFullAccess策略附加到您的IAM身份。
此策略授予关联的身份权限,允许所有人进行访问 AWS IoT
配置和消息传送操作。要查看此政策,请访问 AWS Management Console,请参阅 AWSIoTFullAccess
权限详细信息
该策略包含以下权限。
-
iot— 检索 AWS IoT 数据并允许完全访问 AWS IoT 配置和消息传送操作。 -
iotjobsdata— 检索 AWS IoT 作业数据,并允许完全访问 AWS IoT 作业数据平面API操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:*", "iotjobsdata:*" ], "Resource": "*" } ] }
AWS 托管策略: AWSIoTLogging
您可以将该AWSIoTLogging策略附加到您的IAM身份。
此策略授予相关的身份权限,允许用户创建 Amazon CloudWatch Logs 群组并将日志流式传输到这些群组。此策略已附加到您的 CloudWatch 日志记录角色。要查看此政策,请访问 AWS Management Console,请参阅 AWSIoTLogging
权限详细信息
该策略包含以下权限。
-
logs— 检索 CloudWatch 日志。还允许创建 CloudWatch 日志组并将日志流式传输到这些组。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:PutMetricFilter", "logs:PutRetentionPolicy", "logs:GetLogEvents", "logs:DeleteLogStream" ], "Resource": [ "*" ] } ] }
AWS 托管策略: AWSIoTOTAUpdate
您可以将该AWSIoTOTAUpdate策略附加到您的IAM身份。
此策略授予关联的身份权限,允许访问创建 AWS IoT
工作, AWS IoT 代码签名作业,并描述 AWS 代码签名者职位。要查看此政策,请访问 AWS Management Console,请参阅AWSIoTOTAUpdate。
权限详细信息
该策略包含以下权限。
-
iot— 创建 AWS IoT 工作和代码签名工作。 -
signer— 执行创建 AWS 代码签名者职位。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iot:CreateJob", "signer:DescribeSigningJob" ], "Resource": "*" } }
AWS 托管策略: AWSIoTRuleActions
您可以将该AWSIoTRuleActions策略附加到您的IAM身份。
此策略授予关联的身份权限,允许所有人进行访问 AWS 服务中支持 AWS IoT 规则操作。要查看此政策,请访问 AWS Management Console,请参阅 AWSIoTRuleActions
权限详细信息
该策略包含以下权限。
-
iot- 执行用于发布规则操作消息的操作。 -
dynamodb- 将消息插入到 DynamoDB 表或将消息拆分为 DynamoDB 表的多列。 -
s3- 将对象存储在 Amazon S3 存储桶中。 -
kinesis- 将消息发送到 Amazon Kinesis 流对象。 -
firehose-在 Firehose 直播对象中插入一条记录。 -
cloudwatch-更改 CloudWatch 警报状态或向 CloudWatch指标发送消息数据。 -
sns-使用 Amazon 执行发布通知的操作SNS。此操作的范围为 AWS IoT SNS话题。 -
sqs-插入要添加到SQS队列的消息。 -
es-向 OpenSearch 服务服务发送消息。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "dynamodb:PutItem", "kinesis:PutRecord", "iot:Publish", "s3:PutObject", "sns:Publish", "sqs:SendMessage*", "cloudwatch:SetAlarmState", "cloudwatch:PutMetricData", "es:ESHttpPut", "firehose:PutRecord" ], "Resource": "*" } }
AWS 托管策略: AWSIoTThingsRegistration
您可以将该AWSIoTThingsRegistration策略附加到您的IAM身份。
此策略授予关联的身份权限,允许访问权限使用批量注册事物StartThingRegistrationTaskAPI。此策略可能会影响数据处理和存储。要查看此政策,请访问 AWS Management Console,请参阅 AWSIoTThingsRegistration
权限详细信息
该策略包含以下权限。
-
iot- 批量注册时,执行用于创建内容以及附加策略和证书的操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:AddThingToThingGroup", "iot:AttachPolicy", "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateCertificateFromCsr", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeCertificate", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:DetachPolicy", "iot:DetachThingPrincipal", "iot:GetPolicy", "iot:ListAttachedPolicies", "iot:ListPolicyPrincipals", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListTargetsForPolicy", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:RegisterCertificate", "iot:RegisterThing", "iot:RemoveThingFromThingGroup", "iot:UpdateCertificate", "iot:UpdateThing", "iot:UpdateThingGroupsForThing", "iot:AddThingToBillingGroup", "iot:DescribeBillingGroup", "iot:RemoveThingFromBillingGroup" ], "Resource": [ "*" ] } ] }
AWS IoT 更新到 AWS 托管策略
查看有关更新的详细信息 AWS 的托管策略 AWS IoT 因为该服务开始跟踪这些更改。要获得有关此页面变更的自动提醒,请订阅 RSS Feed AWS IoT 文档历史记录页面。
| 更改 | 描述 | 日期 |
|---|---|---|
|
AWSIoTFullAccess – 对现有策略的更新 |
AWS IoT 添加了新的权限以允许用户访问 AWS IoT 使用HTTP协议执行数据平面API操作。 新的IAM策略前缀为您提供了更精细的访问权限控制 |
2022 年 5 月 11 日 |
|
AWS IoT 已开始跟踪更改 |
AWS IoT 开始跟踪它的变化 AWS 托管策略。 |
2022 年 5 月 11 日 |
