授權

授權是授與許可給已驗證身分的程序。您授予 AWS IoT Core 使用 AWS IoT Core 和 IAM 政策的許可。本主題涵蓋 AWS IoT Core 政策。如需建立 IAM 政策的詳細資訊，請參閱 的身分和存取管理 AWS IoT 和 AWS IoT 如何使用 IAM。

AWS IoT Core 政策決定已驗證身分可以執行的操作。裝置、行動應用程式、Web 應用程式和桌面應用程式，都會使用未驗證的身分，驗證身分甚至可以是輸入 CLI AWS IoT Core 命令的使用者。只有當身分具有授予這些 AWS IoT Core 操作許可的政策時，才能執行操作。

AWS IoT Core 政策和 IAM 政策都與 搭配使用， AWS IoT Core 以控制身分 （也稱為委託人) 可執行的操作。您使用的政策類型取決於您用來進行身分驗證的身分類型 AWS IoT Core。

AWS IoT Core 操作分為兩個群組：

您使用的政策類型，取決於您正使用控制平面或資料平面 API。

下表說明身分類型、其使用的通訊協定以及可用於授權的政策類型。

AWS IoT Core 政策會連接到 X.509 憑證、Amazon Cognito 身分或物件群組。IAM 政策會連接至 IAM 使用者、群組或角色。如果您使用 AWS IoT 主控台或 AWS IoT Core CLI 連接政策 （連接至憑證、Amazon Cognito Identity 或物件群組），您可以使用 AWS IoT Core 政策。否則，您使用連接到物件群組的 IAM policy. AWS IoT Core policies 適用於該物件群組中的任何物件。若要使 AWS IoT Core 政策生效， clientId和 物件名稱必須相符。

政策型授權是一項強大工具。能夠讓您完全控制裝置、使用者或應用程式可在 AWS IoT Core執行的動作。例如，請考慮 AWS IoT Core 使用憑證連線至 的裝置。您可以允許該裝置存取所有 MQTT 主題，或者限制其存取單一主題。以另一個範例而言，假設一名使用者於命令列輸入 CLI 命令。透過使用政策，您可以允許或拒絕使用者存取任何命令或 AWS IoT Core 資源。您也可以控制應用程式存取 AWS IoT Core 資源。

由於 AWS IoT 快取政策文件的方式，對政策所做的變更可能需要幾分鐘的時間才能生效。亦即，存取最近已授與存取權的資源可能需要幾分鐘的時間，而且在撤銷資源的存取權之後，可能仍有數分鐘的時間可存取該資源。

AWS 訓練和認證

如需 中的授權資訊 AWS IoT Core，請前往 AWS Training and Certification 網站上的 Deep Dive to AWS IoT Core Authentication and Authorization 課程。