本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
授權
授權是授與許可給已驗證身分的程序。您授予 AWS IoT Core 使用 AWS IoT Core 和 IAM政策的許可。本主題涵蓋 AWS IoT Core 政策。如需IAM政策的詳細資訊,請參閱 的身分和存取管理 AWS IoT和 AWS IoT 如何使用 IAM。
AWS IoT Core 政策決定已驗證身分可以做什麼。裝置、行動應用程式、Web 應用程式和桌面應用程式,都會使用未驗證的身分,驗證身分甚至可以是使用者輸入 AWS IoT Core CLI命令。只有當身分具有授予這些 AWS IoT Core 操作許可的政策時,才能執行操作。
AWS IoT Core 政策和IAM政策都會與 搭配使用, AWS IoT Core 以控制身分 (也稱為主體 ) 可執行的操作。您使用的政策類型取決於您用來向 進行身分驗證的身分類型 AWS IoT Core。
AWS IoT Core 操作分為兩個群組:
-
控制平面API可讓您執行管理任務,例如建立或更新憑證、物件、規則等。
-
資料平面API可讓您將資料傳送至 並從 接收資料 AWS IoT Core。
您使用的政策類型取決於您使用的是控制平面還是資料平面 API。
下表說明身分類型、其使用的通訊協定以及可用於授權的政策類型。
| 通訊協定和身分驗證機制 | SDK | 身分類型 | Policy type (政策類型) |
|---|---|---|---|
| MQTT 透過 TLS/TCP、TLS相互身分驗證 (連接埠 8883 或 443)†) | AWS IoT 裝置 SDK | X.509 憑證 | AWS IoT Core 政策 |
| MQTT 透過 HTTPS/WebSocket, AWS SigV4 身分驗證 (連接埠 443) | AWS 行動裝置 SDK | 已驗證的 Amazon Cognito 身分 | IAM 和 AWS IoT Core 政策 |
| 未驗證的 Amazon Cognito 身分 | IAM 政策 | ||
| IAM 或聯合身分 | IAM 政策 | ||
| HTTPS, AWS 簽章第 4 版身分驗證 (連接埠 443) | AWS CLI | Amazon Cognito IAM、 或 聯合身分 | IAM 政策 |
| HTTPS,TLS相互驗證 (連接埠 8443) | 無SDK支援 | X.509 憑證 | AWS IoT Core 政策 |
| HTTPS 透過自訂身分驗證 (連接埠 443) | AWS IoT 裝置 SDK | 自訂授權方 | 自訂授權方政策 |
| 通訊協定和身分驗證機制 | SDK | 身分類型 | Policy type (政策類型) |
|---|---|---|---|
| HTTPS AWS Signature 第 4 版身分驗證 (連接埠 443) | AWS CLI | Amazon Cognito 身分 | IAM 政策 |
| IAM 或聯合身分 | IAM 政策 |
AWS IoT Core 政策會連接至 X.509 憑證、Amazon Cognito 身分或物件群組。IAM 政策會連接至IAM使用者、群組或角色。如果您使用 AWS IoT 主控台或 AWS IoT Core CLI連接政策 (連接至憑證、Amazon Cognito Identity 或物件群組),您可以使用 AWS IoT Core 政策。否則,您使用附加到物件群組IAM的政策。附加到物件群組 AWS IoT Core 的政策適用於該物件群組中的任何物件。若要使 AWS IoT Core 政策生效, clientId和物件名稱必須相符。
政策型授權是一項強大工具。能夠讓您完全控制裝置、使用者或應用程式可在 AWS IoT Core執行的動作。例如,請考慮 AWS IoT Core 使用憑證連線至 的裝置。您可以允許裝置存取所有MQTT主題,也可以限制裝置存取單一主題。在另一個範例中,請考慮使用者在CLI命令列輸入命令。透過使用政策,您可以允許或拒絕使用者存取任何命令或 AWS IoT Core 資源。您也可以控制應用程式存取 AWS IoT Core 資源。
由於 AWS IoT 快取政策文件的方式,對政策所做的變更可能需要幾分鐘的時間才能生效。亦即,存取最近已授與存取權的資源可能需要幾分鐘的時間,而且在撤銷資源的存取權之後,可能仍有數分鐘的時間可存取該資源。
AWS 訓練和認證
如需有關 中授權的資訊 AWS IoT Core,請參加 AWS 訓練和認證網站上的深入探討 AWS IoT Core 身分驗證和授權
