本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 受管理的政策 AWS IoT
要向用戶,組和角色添加權限,使用起來更容易 AWS 管理策略而不是自己編寫策略。建立IAM客戶管理的政策需要時間和專業知識,以便為您的團隊提供他們所需的權限。要快速開始使用,您可以使用我們的 AWS 受管理的策略。這些政策涵蓋常見使用案例,並且可在您的 AWS 帳戶。 有關更多信息 AWS 受管政策,請參閱 AWS《IAM使用者指南》中的受管理策略。
AWS 服務維護和更新 AWS 受管理的策略。您無法更改權限 AWS 受管理的策略。服務偶爾會將其他權限新增至 AWS 管理策略以支持新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。服務最有可能更新 AWS 啟動新功能或新作業可用時的受管理策略。服務不會移除權限 AWS 受管理的原則,因此政策更新不會破壞您現有的權限。
此外, AWS 支援跨越多個服務之工作職能的受管理原則。例如,ReadOnlyAccess AWS 受管理策略提供所有人的唯讀存取 AWS 服務和資源。當服務啟動新功能時, AWS 新增作業和資源的唯讀權限。如需工作職能原則的清單與說明,請參閱 AWS 《使用者指南》中針對工作職能的IAM管理策略。
注意
AWS IoT 適用於兩者 AWS IoT 和IAM政策。本主題僅討論原IAM則,這些原則會定義控制平面和資料平面作業的原則動API作。另請參閱AWS IoT Core policies。
AWS 受管理策略: AWSIoTConfigAccess
您可以將AWSIoTConfigAccess原則附加至您的IAM身分識別。
此原則授與允許所有人存取的相關身分權限 AWS IoT
組態作業。此政策會影響資料處理和儲存。若要在中檢視此原則 AWS Management Console,請參閱AWSIoTConfigAccess
許可詳細資訊
此政策包含以下許可。
-
iot— 擷取 AWS IoT 資料並執行 IoT 設定動作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:AcceptCertificateTransfer", "iot:AddThingToThingGroup", "iot:AssociateTargetsWithJob", "iot:AttachPolicy", "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CancelCertificateTransfer", "iot:CancelJob", "iot:CancelJobExecution", "iot:ClearDefaultAuthorizer", "iot:CreateAuthorizer", "iot:CreateCertificateFromCsr", "iot:CreateJob", "iot:CreateKeysAndCertificate", "iot:CreateOTAUpdate", "iot:CreatePolicy", "iot:CreatePolicyVersion", "iot:CreateRoleAlias", "iot:CreateStream", "iot:CreateThing", "iot:CreateThingGroup", "iot:CreateThingType", "iot:CreateTopicRule", "iot:DeleteAuthorizer", "iot:DeleteCACertificate", "iot:DeleteCertificate", "iot:DeleteJob", "iot:DeleteJobExecution", "iot:DeleteOTAUpdate", "iot:DeletePolicy", "iot:DeletePolicyVersion", "iot:DeleteRegistrationCode", "iot:DeleteRoleAlias", "iot:DeleteStream", "iot:DeleteThing", "iot:DeleteThingGroup", "iot:DeleteThingType", "iot:DeleteTopicRule", "iot:DeleteV2LoggingLevel", "iot:DeprecateThingType", "iot:DescribeAuthorizer", "iot:DescribeCACertificate", "iot:DescribeCertificate", "iot:DescribeDefaultAuthorizer", "iot:DescribeEndpoint", "iot:DescribeEventConfigurations", "iot:DescribeIndex", "iot:DescribeJob", "iot:DescribeJobExecution", "iot:DescribeRoleAlias", "iot:DescribeStream", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingRegistrationTask", "iot:DescribeThingType", "iot:DetachPolicy", "iot:DetachPrincipalPolicy", "iot:DetachThingPrincipal", "iot:DisableTopicRule", "iot:EnableTopicRule", "iot:GetEffectivePolicies", "iot:GetIndexingConfiguration", "iot:GetJobDocument", "iot:GetLoggingOptions", "iot:GetOTAUpdate", "iot:GetPolicy", "iot:GetPolicyVersion", "iot:GetRegistrationCode", "iot:GetTopicRule", "iot:GetV2LoggingOptions", "iot:ListAttachedPolicies", "iot:ListAuthorizers", "iot:ListCACertificates", "iot:ListCertificates", "iot:ListCertificatesByCA", "iot:ListIndices", "iot:ListJobExecutionsForJob", "iot:ListJobExecutionsForThing", "iot:ListJobs", "iot:ListOTAUpdates", "iot:ListOutgoingCertificates", "iot:ListPolicies", "iot:ListPolicyPrincipals", "iot:ListPolicyVersions", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListRoleAliases", "iot:ListStreams", "iot:ListTargetsForPolicy", "iot:ListThingGroups", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:ListThingRegistrationTaskReports", "iot:ListThingRegistrationTasks", "iot:ListThings", "iot:ListThingsInThingGroup", "iot:ListThingTypes", "iot:ListTopicRules", "iot:ListV2LoggingLevels", "iot:RegisterCACertificate", "iot:RegisterCertificate", "iot:RegisterThing", "iot:RejectCertificateTransfer", "iot:RemoveThingFromThingGroup", "iot:ReplaceTopicRule", "iot:SearchIndex", "iot:SetDefaultAuthorizer", "iot:SetDefaultPolicyVersion", "iot:SetLoggingOptions", "iot:SetV2LoggingLevel", "iot:SetV2LoggingOptions", "iot:StartThingRegistrationTask", "iot:StopThingRegistrationTask", "iot:TestAuthorization", "iot:TestInvokeAuthorizer", "iot:TransferCertificate", "iot:UpdateAuthorizer", "iot:UpdateCACertificate", "iot:UpdateCertificate", "iot:UpdateEventConfigurations", "iot:UpdateIndexingConfiguration", "iot:UpdateRoleAlias", "iot:UpdateStream", "iot:UpdateThing", "iot:UpdateThingGroup", "iot:UpdateThingGroupsForThing", "iot:UpdateAccountAuditConfiguration", "iot:DescribeAccountAuditConfiguration", "iot:DeleteAccountAuditConfiguration", "iot:StartOnDemandAuditTask", "iot:CancelAuditTask", "iot:DescribeAuditTask", "iot:ListAuditTasks", "iot:CreateScheduledAudit", "iot:UpdateScheduledAudit", "iot:DeleteScheduledAudit", "iot:DescribeScheduledAudit", "iot:ListScheduledAudits", "iot:ListAuditFindings", "iot:CreateSecurityProfile", "iot:DescribeSecurityProfile", "iot:UpdateSecurityProfile", "iot:DeleteSecurityProfile", "iot:AttachSecurityProfile", "iot:DetachSecurityProfile", "iot:ListSecurityProfiles", "iot:ListSecurityProfilesForTarget", "iot:ListTargetsForSecurityProfile", "iot:ListActiveViolations", "iot:ListViolationEvents", "iot:ValidateSecurityProfileBehaviors" ], "Resource": "*" } ] }
AWS 受管理策略: AWSIoTConfigReadOnlyAccess
您可以將AWSIoTConfigReadOnlyAccess原則附加至您的IAM身分識別。
此原則授與相關聯的身分識別權限,允許所有人的唯讀存取權 AWS IoT 組態作業。若要在中檢視此原則 AWS Management Console,請參閱AWSIoTConfigReadOnlyAccess
許可詳細資訊
此政策包含以下許可。
-
iot– 執行 IoT 組態操作的唯獨操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:DescribeAuthorizer", "iot:DescribeCACertificate", "iot:DescribeCertificate", "iot:DescribeDefaultAuthorizer", "iot:DescribeEndpoint", "iot:DescribeEventConfigurations", "iot:DescribeIndex", "iot:DescribeJob", "iot:DescribeJobExecution", "iot:DescribeRoleAlias", "iot:DescribeStream", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingRegistrationTask", "iot:DescribeThingType", "iot:GetEffectivePolicies", "iot:GetIndexingConfiguration", "iot:GetJobDocument", "iot:GetLoggingOptions", "iot:GetOTAUpdate", "iot:GetPolicy", "iot:GetPolicyVersion", "iot:GetRegistrationCode", "iot:GetTopicRule", "iot:GetV2LoggingOptions", "iot:ListAttachedPolicies", "iot:ListAuthorizers", "iot:ListCACertificates", "iot:ListCertificates", "iot:ListCertificatesByCA", "iot:ListIndices", "iot:ListJobExecutionsForJob", "iot:ListJobExecutionsForThing", "iot:ListJobs", "iot:ListOTAUpdates", "iot:ListOutgoingCertificates", "iot:ListPolicies", "iot:ListPolicyPrincipals", "iot:ListPolicyVersions", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListRoleAliases", "iot:ListStreams", "iot:ListTargetsForPolicy", "iot:ListThingGroups", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:ListThingRegistrationTaskReports", "iot:ListThingRegistrationTasks", "iot:ListThings", "iot:ListThingsInThingGroup", "iot:ListThingTypes", "iot:ListTopicRules", "iot:ListV2LoggingLevels", "iot:SearchIndex", "iot:TestAuthorization", "iot:TestInvokeAuthorizer", "iot:DescribeAccountAuditConfiguration", "iot:DescribeAuditTask", "iot:ListAuditTasks", "iot:DescribeScheduledAudit", "iot:ListScheduledAudits", "iot:ListAuditFindings", "iot:DescribeSecurityProfile", "iot:ListSecurityProfiles", "iot:ListSecurityProfilesForTarget", "iot:ListTargetsForSecurityProfile", "iot:ListActiveViolations", "iot:ListViolationEvents", "iot:ValidateSecurityProfileBehaviors" ], "Resource": "*" } ] }
AWS 受管理策略: AWSIoTDataAccess
您可以將AWSIoTDataAccess原則附加至您的IAM身分識別。
此原則授與允許所有人存取的相關身分權限 AWS IoT 資料作業。數據操作通過MQTT或HTTP協議發送數據。若要在中檢視此原則 AWS Management Console,請參閱AWSIoTDataAccess
許可詳細資訊
此政策包含以下許可。
-
iot— 擷取 AWS IoT 數據並允許完全訪問 AWS IoT 消息傳遞操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:Connect", "iot:Publish", "iot:Subscribe", "iot:Receive", "iot:GetThingShadow", "iot:UpdateThingShadow", "iot:DeleteThingShadow", "iot:ListNamedShadowsForThing" ], "Resource": "*" } ] }
AWS 受管理策略: AWSIoTFullAccess
您可以將AWSIoTFullAccess原則附加至您的IAM身分識別。
此原則授與允許所有人存取的相關身分權限 AWS IoT
配置和消息傳遞操作。若要在中檢視此原則 AWS Management Console,請參閱AWSIoTFullAccess
許可詳細資訊
此政策包含以下許可。
-
iot— 擷取 AWS IoT 數據並允許完全訪問 AWS IoT 配置和消息傳遞操作。 -
iotjobsdata— 擷取 AWS IoT 工作資料並允許完整存取 AWS IoT 工作資料平面API作業。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:*", "iotjobsdata:*" ], "Resource": "*" } ] }
AWS 受管理策略: AWSIoTLogging
您可以將AWSIoTLogging原則附加至您的IAM身分識別。
此政策授予關聯的身分許可,允許存取建立 Amazon CloudWatch 日誌群組並將日誌串流到群組。此原則會附加至您的 CloudWatch 記錄角色。若要在中檢視此原則 AWS Management Console,請參閱AWSIoTLogging
許可詳細資訊
此政策包含以下許可。
-
logs-檢索 CloudWatch 日誌。此外,還允許建立 CloudWatch 記錄群組,並將記錄串流至群組。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:PutMetricFilter", "logs:PutRetentionPolicy", "logs:GetLogEvents", "logs:DeleteLogStream" ], "Resource": [ "*" ] } ] }
AWS 受管理策略: AWSIoTOTAUpdate
您可以將AWSIoTOTAUpdate原則附加至您的IAM身分識別。
此原則授與允許存取建立的相關身分識別權限 AWS IoT
工作, AWS IoT 程式碼簽章工作,以及描述 AWS 程式碼簽署者工作。若要在中檢視此原則 AWS Management Console,請參閱AWSIoTOTAUpdate。
許可詳細資訊
此政策包含以下許可。
-
iot— 建立 AWS IoT 工作和程式碼簽章工作。 -
signer— 執行創建 AWS 程式碼簽署者工作。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iot:CreateJob", "signer:DescribeSigningJob" ], "Resource": "*" } }
AWS 受管理策略: AWSIoTRuleActions
您可以將AWSIoTRuleActions原則附加至您的IAM身分識別。
此原則授與允許所有人存取的相關身分權限 AWS 服務 s 支援 AWS IoT 規則動作。若要在中檢視此原則 AWS Management Console,請參閱AWSIoTRuleActions
許可詳細資訊
此政策包含以下許可。
-
iot- 執行發佈規則動作訊息的動作。 -
dynamodb- 將訊息插入 DynamoDB 表格,或將訊息拆分至 DynamoDB 表格中多個欄。 -
s3- 將物件存放在 Amazon S3 儲存貯體中。 -
kinesis- 向 Amazon Kinesis 串流物件發送訊息。 -
firehose-在 Firehose 串流物件中插入記錄。 -
cloudwatch-更改 CloudWatch 警報狀態或將消息數據發送到 CloudWatch指標。 -
sns-執行操作以使用 Amazon 發布通知SNS。此作業的範圍為 AWS IoT SNS主題。 -
sqs-插入要新增至SQS佇列的訊息。 -
es-向 OpenSearch 服務服務發送消息。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "dynamodb:PutItem", "kinesis:PutRecord", "iot:Publish", "s3:PutObject", "sns:Publish", "sqs:SendMessage*", "cloudwatch:SetAlarmState", "cloudwatch:PutMetricData", "es:ESHttpPut", "firehose:PutRecord" ], "Resource": "*" } }
AWS 受管理策略: AWSIoTThingsRegistration
您可以將AWSIoTThingsRegistration原則附加至您的IAM身分識別。
此原則會授與相關聯的身分識別權限,這些權限允許存取使用大量註冊物件StartThingRegistrationTaskAPI。此政策會影響資料處理和儲存。若要在中檢視此原則 AWS Management Console,請參閱AWSIoTThingsRegistration
許可詳細資訊
此政策包含以下許可。
-
iot- 進行大量註冊時,執行建立物件並附加政策和憑證的動作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:AddThingToThingGroup", "iot:AttachPolicy", "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateCertificateFromCsr", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeCertificate", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:DetachPolicy", "iot:DetachThingPrincipal", "iot:GetPolicy", "iot:ListAttachedPolicies", "iot:ListPolicyPrincipals", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListTargetsForPolicy", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:RegisterCertificate", "iot:RegisterThing", "iot:RemoveThingFromThingGroup", "iot:UpdateCertificate", "iot:UpdateThing", "iot:UpdateThingGroupsForThing", "iot:AddThingToBillingGroup", "iot:DescribeBillingGroup", "iot:RemoveThingFromBillingGroup" ], "Resource": [ "*" ] } ] }
AWS IoT 更新至 AWS 受管政策
檢視有關更新的詳細資訊 AWS 受管理的政策 AWS IoT 因為這項服務開始跟踪這些變化。如需有關此頁面變更的自動警示,請訂閱 RSS AWS IoT 文件歷史記錄頁面。
| 變更 | 描述 | 日期 |
|---|---|---|
|
AWSIoTFullAccess – 更新現有政策 |
AWS IoT 添加了新的權限,以允許用戶訪問 AWS IoT 使用HTTP通訊協定的工作資料平面作API業。 新的IAM原則前置詞可為您提供更精細的存取控制 |
2022 年 5 月 11 日 |
|
AWS IoT 開始追蹤變更 |
AWS IoT 開始追蹤其變更 AWS 受管理的策略。 |
2022 年 5 月 11 日 |
