本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 的 受管政策 AWS IoT
若要將許可新增至使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立IAM客戶受管政策需要時間和專業知識,為您的團隊提供他們所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊,請參閱 IAM 使用者指南 中的AWS 受管政策。
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務的任務函數的受管政策。例如, ReadOnlyAccess AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, AWS 會為新的操作和資源新增唯讀許可。如需任務函數政策的清單和說明,請參閱 IAM 使用者指南 中的AWS 任務函數的受管政策。
注意
AWS IoT 適用於 AWS IoT 和 IAM政策。本主題僅討論IAM政策,其定義控制平面和資料平面API操作的政策動作。另請參閱AWS IoT Core 政策。
AWS 受管政策: AWSIoTConfigAccess
您可以將AWSIoTConfigAccess政策連接至身分IAM。
此政策授予相關的身分許可,允許存取所有 AWS IoT
組態操作。此政策會影響資料處理和儲存。若要在 中檢視此政策 AWS Management Console,請參閱 AWSIoTConfigAccess
許可詳細資訊
此政策包含以下許可。
-
iot– 擷取 AWS IoT 資料並執行 IoT 組態動作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:AcceptCertificateTransfer", "iot:AddThingToThingGroup", "iot:AssociateTargetsWithJob", "iot:AttachPolicy", "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CancelCertificateTransfer", "iot:CancelJob", "iot:CancelJobExecution", "iot:ClearDefaultAuthorizer", "iot:CreateAuthorizer", "iot:CreateCertificateFromCsr", "iot:CreateJob", "iot:CreateKeysAndCertificate", "iot:CreateOTAUpdate", "iot:CreatePolicy", "iot:CreatePolicyVersion", "iot:CreateRoleAlias", "iot:CreateStream", "iot:CreateThing", "iot:CreateThingGroup", "iot:CreateThingType", "iot:CreateTopicRule", "iot:DeleteAuthorizer", "iot:DeleteCACertificate", "iot:DeleteCertificate", "iot:DeleteJob", "iot:DeleteJobExecution", "iot:DeleteOTAUpdate", "iot:DeletePolicy", "iot:DeletePolicyVersion", "iot:DeleteRegistrationCode", "iot:DeleteRoleAlias", "iot:DeleteStream", "iot:DeleteThing", "iot:DeleteThingGroup", "iot:DeleteThingType", "iot:DeleteTopicRule", "iot:DeleteV2LoggingLevel", "iot:DeprecateThingType", "iot:DescribeAuthorizer", "iot:DescribeCACertificate", "iot:DescribeCertificate", "iot:DescribeDefaultAuthorizer", "iot:DescribeEndpoint", "iot:DescribeEventConfigurations", "iot:DescribeIndex", "iot:DescribeJob", "iot:DescribeJobExecution", "iot:DescribeRoleAlias", "iot:DescribeStream", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingRegistrationTask", "iot:DescribeThingType", "iot:DetachPolicy", "iot:DetachPrincipalPolicy", "iot:DetachThingPrincipal", "iot:DisableTopicRule", "iot:EnableTopicRule", "iot:GetEffectivePolicies", "iot:GetIndexingConfiguration", "iot:GetJobDocument", "iot:GetLoggingOptions", "iot:GetOTAUpdate", "iot:GetPolicy", "iot:GetPolicyVersion", "iot:GetRegistrationCode", "iot:GetTopicRule", "iot:GetV2LoggingOptions", "iot:ListAttachedPolicies", "iot:ListAuthorizers", "iot:ListCACertificates", "iot:ListCertificates", "iot:ListCertificatesByCA", "iot:ListIndices", "iot:ListJobExecutionsForJob", "iot:ListJobExecutionsForThing", "iot:ListJobs", "iot:ListOTAUpdates", "iot:ListOutgoingCertificates", "iot:ListPolicies", "iot:ListPolicyPrincipals", "iot:ListPolicyVersions", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListRoleAliases", "iot:ListStreams", "iot:ListTargetsForPolicy", "iot:ListThingGroups", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:ListThingRegistrationTaskReports", "iot:ListThingRegistrationTasks", "iot:ListThings", "iot:ListThingsInThingGroup", "iot:ListThingTypes", "iot:ListTopicRules", "iot:ListV2LoggingLevels", "iot:RegisterCACertificate", "iot:RegisterCertificate", "iot:RegisterThing", "iot:RejectCertificateTransfer", "iot:RemoveThingFromThingGroup", "iot:ReplaceTopicRule", "iot:SearchIndex", "iot:SetDefaultAuthorizer", "iot:SetDefaultPolicyVersion", "iot:SetLoggingOptions", "iot:SetV2LoggingLevel", "iot:SetV2LoggingOptions", "iot:StartThingRegistrationTask", "iot:StopThingRegistrationTask", "iot:TestAuthorization", "iot:TestInvokeAuthorizer", "iot:TransferCertificate", "iot:UpdateAuthorizer", "iot:UpdateCACertificate", "iot:UpdateCertificate", "iot:UpdateEventConfigurations", "iot:UpdateIndexingConfiguration", "iot:UpdateRoleAlias", "iot:UpdateStream", "iot:UpdateThing", "iot:UpdateThingGroup", "iot:UpdateThingGroupsForThing", "iot:UpdateAccountAuditConfiguration", "iot:DescribeAccountAuditConfiguration", "iot:DeleteAccountAuditConfiguration", "iot:StartOnDemandAuditTask", "iot:CancelAuditTask", "iot:DescribeAuditTask", "iot:ListAuditTasks", "iot:CreateScheduledAudit", "iot:UpdateScheduledAudit", "iot:DeleteScheduledAudit", "iot:DescribeScheduledAudit", "iot:ListScheduledAudits", "iot:ListAuditFindings", "iot:CreateSecurityProfile", "iot:DescribeSecurityProfile", "iot:UpdateSecurityProfile", "iot:DeleteSecurityProfile", "iot:AttachSecurityProfile", "iot:DetachSecurityProfile", "iot:ListSecurityProfiles", "iot:ListSecurityProfilesForTarget", "iot:ListTargetsForSecurityProfile", "iot:ListActiveViolations", "iot:ListViolationEvents", "iot:ValidateSecurityProfileBehaviors" ], "Resource": "*" } ] }
AWS 受管政策: AWSIoTConfigReadOnlyAccess
您可以將AWSIoTConfigReadOnlyAccess政策連接至身分IAM。
此政策授予相關的身分許可,允許以唯讀方式存取所有 AWS IoT 組態操作。若要在 中檢視此政策 AWS Management Console,請參閱 AWSIoTConfigReadOnlyAccess
許可詳細資訊
此政策包含以下許可。
-
iot– 執行 IoT 組態操作的唯獨操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:DescribeAuthorizer", "iot:DescribeCACertificate", "iot:DescribeCertificate", "iot:DescribeDefaultAuthorizer", "iot:DescribeEndpoint", "iot:DescribeEventConfigurations", "iot:DescribeIndex", "iot:DescribeJob", "iot:DescribeJobExecution", "iot:DescribeRoleAlias", "iot:DescribeStream", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingRegistrationTask", "iot:DescribeThingType", "iot:GetEffectivePolicies", "iot:GetIndexingConfiguration", "iot:GetJobDocument", "iot:GetLoggingOptions", "iot:GetOTAUpdate", "iot:GetPolicy", "iot:GetPolicyVersion", "iot:GetRegistrationCode", "iot:GetTopicRule", "iot:GetV2LoggingOptions", "iot:ListAttachedPolicies", "iot:ListAuthorizers", "iot:ListCACertificates", "iot:ListCertificates", "iot:ListCertificatesByCA", "iot:ListIndices", "iot:ListJobExecutionsForJob", "iot:ListJobExecutionsForThing", "iot:ListJobs", "iot:ListOTAUpdates", "iot:ListOutgoingCertificates", "iot:ListPolicies", "iot:ListPolicyPrincipals", "iot:ListPolicyVersions", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListRoleAliases", "iot:ListStreams", "iot:ListTargetsForPolicy", "iot:ListThingGroups", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:ListThingRegistrationTaskReports", "iot:ListThingRegistrationTasks", "iot:ListThings", "iot:ListThingsInThingGroup", "iot:ListThingTypes", "iot:ListTopicRules", "iot:ListV2LoggingLevels", "iot:SearchIndex", "iot:TestAuthorization", "iot:TestInvokeAuthorizer", "iot:DescribeAccountAuditConfiguration", "iot:DescribeAuditTask", "iot:ListAuditTasks", "iot:DescribeScheduledAudit", "iot:ListScheduledAudits", "iot:ListAuditFindings", "iot:DescribeSecurityProfile", "iot:ListSecurityProfiles", "iot:ListSecurityProfilesForTarget", "iot:ListTargetsForSecurityProfile", "iot:ListActiveViolations", "iot:ListViolationEvents", "iot:ValidateSecurityProfileBehaviors" ], "Resource": "*" } ] }
AWS 受管政策: AWSIoTDataAccess
您可以將AWSIoTDataAccess政策連接至身分IAM。
此政策會授予相關身分許可,允許存取 AWS IoT 所有資料操作。資料操作會透過 MQTT或 HTTP通訊協定傳送資料。若要在 AWS Management Console中檢視此政策,請參閱 AWSIoTDataAccess
許可詳細資訊
此政策包含以下許可。
-
iot– 擷取 AWS IoT 資料並允許完全存取 AWS IoT 訊息動作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:Connect", "iot:Publish", "iot:Subscribe", "iot:Receive", "iot:GetThingShadow", "iot:UpdateThingShadow", "iot:DeleteThingShadow", "iot:ListNamedShadowsForThing" ], "Resource": "*" } ] }
AWS 受管政策: AWSIoTFullAccess
您可以將AWSIoTFullAccess政策連接至身分IAM。
此政策授予相關的身分許可,允許完整存取所有 AWS IoT
組態和簡訊操作。若要在 中檢視此政策 AWS Management Console,請參閱 AWSIoTFullAccess
許可詳細資訊
此政策包含以下許可。
-
iot– 擷取 AWS IoT 資料並允許完整存取 AWS IoT 組態和訊息動作。 -
iotjobsdata– 擷取 AWS IoT 任務資料,並允許完全存取 AWS IoT 任務資料平面API操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:*", "iotjobsdata:*" ], "Resource": "*" } ] }
AWS 受管政策: AWSIoTLogging
您可以將AWSIoTLogging政策連接至身分IAM。
此政策會授予相關聯的身分許可,允許 存取以建立 Amazon CloudWatch Logs 群組並將日誌串流至群組。此政策會連接至您的 CloudWatch 記錄角色。若要在 中檢視此政策 AWS Management Console,請參閱 AWSIoTLogging
許可詳細資訊
此政策包含以下許可。
-
logs– 擷取 CloudWatch 日誌。也允許建立 CloudWatch 日誌群組,並將日誌串流到群組。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:PutMetricFilter", "logs:PutRetentionPolicy", "logs:GetLogEvents", "logs:DeleteLogStream" ], "Resource": [ "*" ] } ] }
AWS 受管政策: AWSIoTOTAUpdate
您可以將AWSIoTOTAUpdate政策連接至身分IAM。
此政策會授予相關聯的身分許可,允許 存取以建立 AWS IoT 任務、 AWS IoT 程式碼簽署任務,以及描述 AWS 程式碼簽署者任務。若要在 中檢視此政策 AWS Management Console,請參閱 AWSIoTOTAUpdate。
許可詳細資訊
此政策包含以下許可。
-
iot– 建立 AWS IoT 任務和程式碼簽署任務。 -
signer– 執行 AWS 程式碼簽署者任務的建立。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iot:CreateJob", "signer:DescribeSigningJob" ], "Resource": "*" } }
AWS 受管政策: AWSIoTRuleActions
您可以將AWSIoTRuleActions政策連接至身分IAM。
此政策會授予相關聯的身分許可,允許存取 AWS IoT 規則動作中 AWS 服務支援的所有 。若要在 中檢視此政策 AWS Management Console,請參閱 AWSIoTRuleActions
許可詳細資訊
此政策包含以下許可。
-
iot- 執行發佈規則動作訊息的動作。 -
dynamodb- 將訊息插入 DynamoDB 表格,或將訊息拆分至 DynamoDB 表格中多個欄。 -
s3- 將物件存放在 Amazon S3 儲存貯體中。 -
kinesis- 向 Amazon Kinesis 串流物件發送訊息。 -
firehose- 在 Firehose 串流物件中插入記錄。 -
cloudwatch- 變更 CloudWatch 警示狀態或將訊息資料傳送至 CloudWatch指標。 -
sns- 使用 Amazon 執行發佈通知的操作SNS。此操作範圍涵蓋 AWS IoT SNS主題。 -
sqs- 插入要新增至SQS佇列的訊息。 -
es- 傳送訊息至 OpenSearch Service Service。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "dynamodb:PutItem", "kinesis:PutRecord", "iot:Publish", "s3:PutObject", "sns:Publish", "sqs:SendMessage*", "cloudwatch:SetAlarmState", "cloudwatch:PutMetricData", "es:ESHttpPut", "firehose:PutRecord" ], "Resource": "*" } }
AWS 受管政策: AWSIoTThingsRegistration
您可以將AWSIoTThingsRegistration政策連接至身分IAM。
此政策會授予相關聯的身分許可,允許存取使用 大量註冊物件StartThingRegistrationTaskAPI。此政策會影響資料處理和儲存。若要在 中檢視此政策 AWS Management Console,請參閱 AWSIoTThingsRegistration
許可詳細資訊
此政策包含以下許可。
-
iot- 進行大量註冊時,執行建立物件並附加政策和憑證的動作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:AddThingToThingGroup", "iot:AttachPolicy", "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateCertificateFromCsr", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeCertificate", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:DetachPolicy", "iot:DetachThingPrincipal", "iot:GetPolicy", "iot:ListAttachedPolicies", "iot:ListPolicyPrincipals", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListTargetsForPolicy", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:RegisterCertificate", "iot:RegisterThing", "iot:RemoveThingFromThingGroup", "iot:UpdateCertificate", "iot:UpdateThing", "iot:UpdateThingGroupsForThing", "iot:AddThingToBillingGroup", "iot:DescribeBillingGroup", "iot:RemoveThingFromBillingGroup" ], "Resource": [ "*" ] } ] }
AWS IoT 受 AWS 管政策的更新
檢視自此服務開始追蹤這些變更 AWS IoT 以來, 受 AWS 管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 AWS IoT 文件歷史記錄頁面上的RSS摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
AWSIoTFullAccess – 更新現有政策 |
AWS IoT 已新增允許使用者使用 HTTP 通訊協定存取 AWS IoT 任務資料平面API操作的新許可。 新的IAM政策字首 |
2022 年 5 月 11 日 |
|
AWS IoT 已開始追蹤變更 |
AWS IoT 已開始追蹤其 AWS 受管政策的變更。 |
2022 年 5 月 11 日 |
