Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Vorbereitung der Sicherheit
In diesem Abschnitt werden die wichtigsten Sicherheitsanforderungen für den AWS IoT Device Management Softwarepaketkatalog beschrieben.
Ressourcenbasierte Authentifizierung
Der Softwarepaket-Katalog verwendet ressourcenbasierte Autorisierung, um zusätzliche Sicherheit bei der Aktualisierung von Software auf Ihrer Flotte zu bieten. Das bedeutet, dass Sie eine Richtlinie AWS Identity and Access Management (IAM) erstellen müssen, die Rechte zur Ausführung voncreate,, read updatedelete, und list Aktionen für Softwarepakete und Paketversionen gewährt, und dass Sie in diesem Resources Abschnitt auf die spezifischen Softwarepakete und Paketversionen verweisen müssen, die Sie bereitstellen möchten. Sie benötigen diese Rechte auch, damit Sie den reservierten benannten Schatten aktualisieren können. Sie verweisen auf die Softwarepakete und Paketversionen, indem Sie für jede Entität einen Amazon-Ressourcennamen (ARN) angeben.
Anmerkung
Wenn Sie beabsichtigen, mit der Richtlinie Rechte für API Aufrufe von Paketversionen (wie CreatePackageVersion, UpdatePackageVersion, DeletePackageVersion) zu gewähren, müssen Sie sowohl das Softwarepaket als auch die Paketversion ARNs in die Richtlinie aufnehmen. Wenn Sie beabsichtigen, mit der Richtlinie Rechte für API Softwarepaketaufrufe (wie CreatePackageUpdatePackage, und DeletePackage) zu gewähren, müssen Sie nur das Softwarepaket ARN in die Richtlinie aufnehmen.
Strukturieren Sie das Softwarepaket und die Paketversion ARNs wie folgt:
Softwarepaket:
arn:aws:iot:<region>:<accountID>:package/<packageName>/packagePaketversion:
arn:aws:iot:<region>:<accountID>:package/<packageName>/version/<versionName>
Anmerkung
Es gibt weitere verwandte Rechte, die Sie möglicherweise in diese Richtlinie aufnehmen. Sie könnten beispielsweise ein ARN für jobthinggroup, und angebenjobtemplate. Weitere Informationen und eine vollständige Liste der Richtlinienoptionen finden Sie unter Schützen von Benutzern und Geräten mit AWS IoT Aufträgen.
Wenn Sie beispielsweise über ein Softwarepaket und eine Paketversion verfügen, die wie folgt benannt sind:
AWS IoT Sache:
myThingPaketname:
samplePackageVersion
1.0.0
Die Richtlinie könnte wie das folgende Beispiel aussehen:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:createPackage", "iot:createPackageVersion", "iot:updatePackage", "iot:updatePackageVersion" ], "Resource": [ "arn:aws:iot:us-east-1:111122223333:package/samplePackage", "arn:aws:iot:us-east-1:111122223333:package/samplePackage/version/1.0.0" ] }, { "Effect": "Allow", "Action": [ "iot:GetThingShadow", "iot:UpdateThingShadow" ], "Resource": "arn:aws:iot:us-east-1:111122223333:thing/myThing/$package" } ] }
AWS IoT Berufsrechte für die Bereitstellung von Paketversionen
Aus Sicherheitsgründen ist es wichtig, dass Sie Rechte zur Bereitstellung von Paketen und Paketversionen gewähren und die spezifischen Pakete und Paketversionen benennen, die sie bereitstellen dürfen. Zu diesem Zweck erstellen Sie eine IAM Rolle und eine Richtlinie, die die Berechtigung zum Bereitstellen von Aufträgen mit Paketversionen gewähren. Die Richtlinie muss die Zielpaketversionen als Ressource angeben.
IAMRichtlinie
Die IAM Richtlinie gewährt das Recht, einen Job zu erstellen, der das Paket und die Version enthält, die im Resource Abschnitt genannt werden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:CreateJob", "iot:CreateJobTemplate" ], "Resource":[ "arn:aws:iot:*:111122223333:job/<jobId>", "arn:aws:iot:*:111122223333:thing/<thingName>/$package", "arn:aws:iot:*:111122223333:thinggroup/<thingGroupName>", "arn:aws:iot:*:111122223333:jobtemplate/<jobTemplateName>", "arn:aws:iot:*:111122223333:package/<packageName>/version/<versionName>" ] } ] }
Anmerkung
Wenn Sie einen Job bereitstellen möchten, bei dem ein Softwarepaket und eine Paketversion deinstalliert werden, müssen Sie einen Ort autorisieren, an ARN dem sich die Paketversion befindet$null, z. B. im Folgenden:
arn:aws:iot:<regionCode>:111122223333:package/<packageName>/version/$null
AWS IoT Jobrechte zur Aktualisierung des reservierten benannten Schattens
Damit Jobs den reservierten Namens-Shadow des Dings aktualisieren können, wenn der Job erfolgreich abgeschlossen wurde, müssen Sie eine IAM Rolle und eine Richtlinie erstellen. Dafür gibt es zwei Möglichkeiten in der AWS IoT Konsole. Die erste Möglichkeit besteht darin, ein Softwarepaket in der Konsole zu erstellen. Wenn das Dialogfeld Abhängigkeiten für die Paketverwaltung aktivieren angezeigt wird, können Sie wählen, ob Sie eine vorhandene Rolle verwenden oder eine neue Rolle erstellen möchten. Oder wählen Sie in der AWS IoT Konsole Einstellungen, Indizierung verwalten und dann Indizierung für Gerätepakete und Versionen verwalten aus.
Anmerkung
Wenn Sie sich dafür entscheiden, dass der AWS IoT Job Service den reservierten Named Shadow aktualisiert, wenn ein Job erfolgreich abgeschlossen wurde, wird der API Anruf auf Ihre Device Shadow- und Registrierungsvorgänge angerechnet und kann Kosten verursachen. Weitere Informationen finden Sie unter AWS IoT Core Preise
Wenn Sie die Option Rolle erstellen verwenden, beginnt der Name der generierten Rolle mit aws-iot-role-update-shadows und enthält die folgenden Richtlinien:
Einrichten einer Rolle
- Berechtigungen
-
Die Berechtigungsrichtlinie gewährt die Rechte, den Objektschatten abzufragen und zu aktualisieren. Der
$packageParameter in der Ressource ARN zielt auf den reservierten Named Shadow ab.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iot:DescribeEndpoint", "Resource": "" }, { "Effect": "Allow", "Action": [ "iot:GetThingShadow", "iot:UpdateThingShadow" ], "Resource": [ "arn:aws:iot:<regionCode>:111122223333:thing/<thingName>/$package" ] } ] } - Vertrauensstellung
-
Zusätzlich zur Berechtigungsrichtlinie erfordert die Rolle eine Vertrauensbeziehung mit AWS IoT Core , sodass die Entität die Rolle übernehmen und den reservierten benannten Schatten aktualisieren kann.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "iot.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Eine Benutzerrichtlinie einrichten
- iam: Erlaubnis PassRole
-
Schließlich müssen Sie über die Berechtigung verfügen, die Rolle AWS IoT Core beim Aufrufen des UpdatePackageConfigurationAPIVorgangs zu übergeben.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:PassRole", "iot:UpdatePackageConfiguration" ], "Resource": "arn:aws:iam::111122223333:role/<roleName>" } ] }
AWS IoT Jobs, Berechtigungen zum Herunterladen von Amazon S3
Das Auftragsdokument wird in Amazon S3 gespeichert. Sie beziehen sich beim Versand über AWS IoT Aufträge auf diese Datei. Sie müssen AWS IoT Jobs die Rechte zum Herunterladen der Datei (s3:GetObject) gewähren. Sie müssen auch eine Vertrauensbeziehung zwischen Amazon S3 und AWS IoT Aufträgen einrichten. Anweisungen zum Erstellen dieser Richtlinien finden Sie unter Vorsigniert URLs in Jobs verwalten.
