Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Secure Tunneling stellt dienstspezifische Aktionen, Ressourcen und Bedingungskontextschlüssel zur Verwendung in Berechtigungsrichtlinien bereit. IAM
Voraussetzungen für den Tunnelzugriff
-
Erfahren Sie, wie Sie AWS Ressourcen mithilfe von Richtlinien sichern können. IAM
-
Erfahren Sie, wie Sie IAMBedingungen schaffen und bewerten.
-
Erfahren Sie, wie Sie AWS Ressourcen mithilfe von Ressourcen-Tags sichern.
Richtlinien für den Tunnelzugriff
Sie müssen die folgenden Richtlinien verwenden, um Berechtigungen zur Nutzung von Secure API Tunneling zu autorisieren. Weitere Informationen AWS IoT zur Sicherheit finden Sie unter. Identitäts- und Zugriffsmanagement für AWS IoT
Durch die iot:OpenTunnel
politische Maßnahme wird dem Hauptmann die Genehmigung erteilt, Anrufe zu tätigen OpenTunnel.
In der Resource
IAM Grundsatzerklärung heißt es:
-
Geben Sie den Wildcard-Tunnel ARN an:
arn:aws:iot:
aws-region
:aws-account-id
:tunnel/* -
Geben Sie eine Sache ARN an, um die
OpenTunnel
Berechtigungen für bestimmte IoT-Dinge zu verwalten:arn:aws:iot:
aws-region
:aws-account-id
:thing/thing-name
Mit der folgenden Richtlinienanweisung können Sie beispielsweise einen Tunnel für das IoT-Objekt mit der Bezeichnung TestDevice
öffnen.
{
"Effect": "Allow",
"Action": "iot:OpenTunnel",
"Resource": [
"arn:aws:iot:aws-region
:aws-account-id
:tunnel/*",
"arn:aws:iot:aws-region
:aws-account-id
:thing/TestDevice"
]
}
Die iot:OpenTunnel
-Richtlinienaktion unterstützt die folgenden Bedingungsschlüssel:
-
iot:ThingGroupArn
-
iot:TunnelDestinationService
-
aws:RequestTag
/tag-key
-
aws:SecureTransport
-
aws:TagKeys
Die folgende Richtlinienanweisung ermöglicht es Ihnen, einen Tunnel zu dem Ding zu öffnen, wenn das Ding zu einer Dinggruppe gehört, deren Name mit beginnt TestGroup
und der konfigurierte Zieldienst auf dem Tunnel istSSH.
{
"Effect": "Allow",
"Action": "iot:OpenTunnel",
"Resource": [
"arn:aws:iot:aws-region
:aws-account-id
:tunnel/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"iot:ThingGroupArn": [
"arn:aws:iot:aws-region
:aws-account-id
:thinggroup/TestGroup
*"
]
},
"ForAllValues:StringEquals": {
"iot:TunnelDestinationService": [
"SSH"
]
}
}
}
Sie können auch Ressourcen-Tags verwenden, um die Berechtigung zum Öffnen von Tunneln zu steuern. Mit der folgenden Richtlinienanweisung kann beispielsweise ein Tunnel geöffnet werden, wenn der Tag-Schlüssel Owner
mit dem Wert Admin
vorhanden ist und keine anderen Tags angegeben werden. Allgemeine Informationen zur Verwendung von Tags finden Sie unter Verschlagworten Sie Ihre Ressourcen AWS IoT.
{
"Effect": "Allow",
"Action": "iot:OpenTunnel",
"Resource": [
"arn:aws:iot:aws-region
:aws-account-id
:tunnel/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/Owner": "Admin"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "Owner"
}
}
}
Durch die iot:RotateTunnelAccessToken
politische Maßnahme wird dem Hauptmann die Genehmigung erteilt, Anrufe zu tätigen RotateTunnelAccessToken.
In der Resource
IAM Grundsatzerklärung heißt es:
-
Geben Sie einen vollständig qualifizierten Tunnel anARN:
arn:aws:iot:
aws-region
:aws-account-id
:tunnel/tunnel-id
Sie können auch den Wildcard-Tunnel ARN verwenden:
arn:aws:iot:
aws-region
:aws-account-id
:tunnel/* -
Geben Sie eine Sache ARN an, um die
RotateTunnelAccessToken
Berechtigungen für bestimmte IoT-Dinge zu verwalten:arn:aws:iot:
aws-region
:aws-account-id
:thing/thing-name
Mit der folgenden Richtlinienanweisung können Sie beispielsweise entweder das Quellzugriffstoken eines Tunnels oder das Zielzugriffstoken eines Clients für das genannte IoT-Objekt namensTestDevice
rotieren.
{
"Effect": "Allow",
"Action": "iot:RotateTunnelAccessToken",
"Resource": [
"arn:aws:iot:aws-region
:aws-account-id
:tunnel/*",
"arn:aws:iot:aws-region
:aws-account-id
:thing/TestDevice"
]
}
Die iot:RotateTunnelAccessToken
-Richtlinienaktion unterstützt die folgenden Bedingungsschlüssel:
-
iot:ThingGroupArn
-
iot:TunnelDestinationService
-
iot:ClientMode
-
aws:SecureTransport
Mit der folgenden Richtlinienanweisung können Sie das Zielzugriffstoken auf das Ding rotieren, wenn das Ding zu einer Dinggruppe gehörtTestGroup
, deren Name mit dem konfigurierten Zieldienst auf dem Tunnel beginnt und der Client im DESTINATION
Modus ist. SSH
{
"Effect": "Allow",
"Action": "iot:RotateTunnelAccessToken",
"Resource": [
"arn:aws:iot:aws-region
:aws-account-id
:tunnel/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"iot:ThingGroupArn": [
"arn:aws:iot:aws-region
:aws-account-id
:thinggroup/TestGroup
*"
]
},
"ForAllValues:StringEquals": {
"iot:TunnelDestinationService": [
"SSH"
],
"iot:ClientMode": "DESTINATION"
}
}
}
Durch die iot:DescribeTunnel
politische Maßnahme wird dem Hauptmann die Genehmigung erteilt, Anrufe zu tätigen DescribeTunnel.
Geben Sie im Resource
Element der IAM Grundsatzerklärung einen vollständig qualifizierten Tunnel anARN:
arn:aws:iot:
aws-region
:
aws-account-id
:tunnel/tunnel-id
Sie können auch den Platzhalter ARN verwenden:
arn:aws:iot:
aws-region
:aws-account-id
:tunnel/*
Die iot:DescribeTunnel
-Richtlinienaktion unterstützt die folgenden Bedingungsschlüssel:
-
aws:ResourceTag/
tag-key
-
aws:SecureTransport
Mit der folgenden Richtlinienanweisung können Sie DescribeTunnel
aufrufen, wenn der angeforderte Tunnel mit dem Schlüssel Owner
mit dem Wert Admin
gekennzeichnet ist.
{
"Effect": "Allow",
"Action": "iot:DescribeTunnel",
"Resource": [
"arn:aws:iot:aws-region
:aws-account-id
:tunnel/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "Admin"
}
}
}
Durch die iot:ListTunnels
politische Maßnahme wird dem Hauptmann die Genehmigung erteilt, Anrufe zu tätigen ListTunnels.
In der Resource
IAM Grundsatzerklärung heißt es:
-
Geben Sie den Wildcard-Tunnel ARN an:
arn:aws:iot:
aws-region
:aws-account-id
:tunnel/* -
Geben Sie eine Sache ARN an, um die
ListTunnels
Berechtigungen für ausgewählte IoT-Dinge zu verwalten:arn:aws:iot:
aws-region
:aws-account-id
:thing/thing-name
Die iot:ListTunnels
-Richtlinienaktion unterstützt den Bedingungsschlüssel aws:SecureTransport
.
Mit der folgenden Richtlinienanweisung können Sie Tunnel für das Objekt mit dem Namen TestDevice
auflisten.
{
"Effect": "Allow",
"Action": "iot:ListTunnels",
"Resource": [
"arn:aws:iot:aws-region
:aws-account-id
:tunnel/*",
"arn:aws:iot:aws-region
:aws-account-id
:thing/TestDevice"
]
}
Die iot:ListTagsForResource
-Richtlinienaktion erteilt eine Prinzipalberechtigung zum Aufrufen von ListTagsForResource
.
Geben Sie im Resource
Element der IAM Grundsatzerklärung einen vollständig qualifizierten Tunnel anARN:
arn:aws:iot:
aws-region
:
aws-account-id
:tunnel/tunnel-id
Sie können auch den Wildcard-Tunnel ARN verwenden:
arn:aws:iot:
aws-region
:aws-account-id
:tunnel/*
Die iot:ListTagsForResource
-Richtlinienaktion unterstützt den Bedingungsschlüssel aws:SecureTransport
.
Durch die iot:CloseTunnel
politische Maßnahme wird dem Hauptmann die Genehmigung erteilt, Anrufe zu tätigen CloseTunnel.
Geben Sie im Resource
Element der IAM Grundsatzerklärung einen vollständig qualifizierten Tunnel anARN:
arn:aws:iot:
aws-region
:
aws-account-id
:tunnel/tunnel-id
Sie können auch den Wildcard-Tunnel ARN verwenden:
arn:aws:iot:
aws-region
:aws-account-id
:tunnel/*
Die iot:CloseTunnel
-Richtlinienaktion unterstützt die folgenden Bedingungsschlüssel:
-
iot:Delete
-
aws:ResourceTag/
tag-key
-
aws:SecureTransport
Mit der folgenden Richtlinienanweisung können Sie CloseTunnel
aufrufen, wenn der Delete
-Parameter der Anforderung false
ist und der angeforderte Tunnel mit dem Schlüssel Owner
mit dem Wert QATeam
gekennzeichnet ist.
{
"Effect": "Allow",
"Action": "iot:CloseTunnel",
"Resource": [
"arn:aws:iot:aws-region
:aws-account-id
:tunnel/*"
],
"Condition": {
"Bool": {
"iot:Delete": "false"
},
"StringEquals": {
"aws:ResourceTag/Owner": "QATeam"
}
}
}
Die iot:TagResource
-Richtlinienaktion erteilt eine Prinzipalberechtigung zum Aufrufen von TagResource
.
Geben Sie im Resource
Element der IAM Grundsatzerklärung einen vollständig qualifizierten Tunnel anARN:
arn:aws:iot:
aws-region
:
aws-account-id
:tunnel/tunnel-id
Sie können auch den Wildcard-Tunnel ARN verwenden:
arn:aws:iot:
aws-region
:aws-account-id
:tunnel/*
Die iot:TagResource
-Richtlinienaktion unterstützt den Bedingungsschlüssel aws:SecureTransport
.
Die iot:UntagResource
-Richtlinienaktion erteilt eine Prinzipalberechtigung zum Aufrufen von UntagResource
.
Geben Sie im Resource
Element der IAM Grundsatzerklärung einen vollständig qualifizierten Tunnel anARN:
arn:aws:iot:
aws-region
:
aws-account-id
:tunnel/tunnel-id
Sie können auch den Wildcard-Tunnel ARN verwenden:
arn:aws:iot:
aws-region
:aws-account-id
:tunnel/*
Die iot:UntagResource
-Richtlinienaktion unterstützt den Bedingungsschlüssel aws:SecureTransport
.