Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Steuern des Zugriffs auf Tunnel

Fokusmodus
Steuern des Zugriffs auf Tunnel - AWS IoT Core

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Secure Tunneling stellt dienstspezifische Aktionen, Ressourcen und Bedingungskontextschlüssel zur Verwendung in Berechtigungsrichtlinien bereit. IAM

Voraussetzungen für den Tunnelzugriff

Richtlinien für den Tunnelzugriff

Sie müssen die folgenden Richtlinien verwenden, um Berechtigungen zur Nutzung von Secure API Tunneling zu autorisieren. Weitere Informationen AWS IoT zur Sicherheit finden Sie unter. Identitäts- und Zugriffsmanagement für AWS IoT

Durch die iot:OpenTunnel politische Maßnahme wird dem Hauptmann die Genehmigung erteilt, Anrufe zu tätigen OpenTunnel.

In der Resource IAM Grundsatzerklärung heißt es:

  • Geben Sie den Wildcard-Tunnel ARN an:

    arn:aws:iot:aws-region:aws-account-id:tunnel/*

  • Geben Sie eine Sache ARN an, um die OpenTunnel Berechtigungen für bestimmte IoT-Dinge zu verwalten:

    arn:aws:iot:aws-region:aws-account-id:thing/thing-name

Mit der folgenden Richtlinienanweisung können Sie beispielsweise einen Tunnel für das IoT-Objekt mit der Bezeichnung TestDevice öffnen.

{ "Effect": "Allow", "Action": "iot:OpenTunnel", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*", "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice" ] }

Die iot:OpenTunnel-Richtlinienaktion unterstützt die folgenden Bedingungsschlüssel:

  • iot:ThingGroupArn

  • iot:TunnelDestinationService

  • aws:RequestTag/tag-key

  • aws:SecureTransport

  • aws:TagKeys

Die folgende Richtlinienanweisung ermöglicht es Ihnen, einen Tunnel zu dem Ding zu öffnen, wenn das Ding zu einer Dinggruppe gehört, deren Name mit beginnt TestGroup und der konfigurierte Zieldienst auf dem Tunnel istSSH.

{ "Effect": "Allow", "Action": "iot:OpenTunnel", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*" ], "Condition": { "ForAnyValue:StringLike": { "iot:ThingGroupArn": [ "arn:aws:iot:aws-region:aws-account-id:thinggroup/TestGroup*" ] }, "ForAllValues:StringEquals": { "iot:TunnelDestinationService": [ "SSH" ] } } }

Sie können auch Ressourcen-Tags verwenden, um die Berechtigung zum Öffnen von Tunneln zu steuern. Mit der folgenden Richtlinienanweisung kann beispielsweise ein Tunnel geöffnet werden, wenn der Tag-Schlüssel Owner mit dem Wert Admin vorhanden ist und keine anderen Tags angegeben werden. Allgemeine Informationen zur Verwendung von Tags finden Sie unter Verschlagworten Sie Ihre Ressourcen AWS IoT.

{ "Effect": "Allow", "Action": "iot:OpenTunnel", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*" ], "Condition": { "StringEquals": { "aws:RequestTag/Owner": "Admin" }, "ForAllValues:StringEquals": { "aws:TagKeys": "Owner" } } }

Durch die iot:OpenTunnel politische Maßnahme wird dem Hauptmann die Genehmigung erteilt, Anrufe zu tätigen OpenTunnel.

In der Resource IAM Grundsatzerklärung heißt es:

  • Geben Sie den Wildcard-Tunnel ARN an:

    arn:aws:iot:aws-region:aws-account-id:tunnel/*

  • Geben Sie eine Sache ARN an, um die OpenTunnel Berechtigungen für bestimmte IoT-Dinge zu verwalten:

    arn:aws:iot:aws-region:aws-account-id:thing/thing-name

Mit der folgenden Richtlinienanweisung können Sie beispielsweise einen Tunnel für das IoT-Objekt mit der Bezeichnung TestDevice öffnen.

{ "Effect": "Allow", "Action": "iot:OpenTunnel", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*", "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice" ] }

Die iot:OpenTunnel-Richtlinienaktion unterstützt die folgenden Bedingungsschlüssel:

  • iot:ThingGroupArn

  • iot:TunnelDestinationService

  • aws:RequestTag/tag-key

  • aws:SecureTransport

  • aws:TagKeys

Die folgende Richtlinienanweisung ermöglicht es Ihnen, einen Tunnel zu dem Ding zu öffnen, wenn das Ding zu einer Dinggruppe gehört, deren Name mit beginnt TestGroup und der konfigurierte Zieldienst auf dem Tunnel istSSH.

{ "Effect": "Allow", "Action": "iot:OpenTunnel", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*" ], "Condition": { "ForAnyValue:StringLike": { "iot:ThingGroupArn": [ "arn:aws:iot:aws-region:aws-account-id:thinggroup/TestGroup*" ] }, "ForAllValues:StringEquals": { "iot:TunnelDestinationService": [ "SSH" ] } } }

Sie können auch Ressourcen-Tags verwenden, um die Berechtigung zum Öffnen von Tunneln zu steuern. Mit der folgenden Richtlinienanweisung kann beispielsweise ein Tunnel geöffnet werden, wenn der Tag-Schlüssel Owner mit dem Wert Admin vorhanden ist und keine anderen Tags angegeben werden. Allgemeine Informationen zur Verwendung von Tags finden Sie unter Verschlagworten Sie Ihre Ressourcen AWS IoT.

{ "Effect": "Allow", "Action": "iot:OpenTunnel", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*" ], "Condition": { "StringEquals": { "aws:RequestTag/Owner": "Admin" }, "ForAllValues:StringEquals": { "aws:TagKeys": "Owner" } } }

Durch die iot:RotateTunnelAccessToken politische Maßnahme wird dem Hauptmann die Genehmigung erteilt, Anrufe zu tätigen RotateTunnelAccessToken.

In der Resource IAM Grundsatzerklärung heißt es:

  • Geben Sie einen vollständig qualifizierten Tunnel anARN:

    arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

    Sie können auch den Wildcard-Tunnel ARN verwenden:

    arn:aws:iot:aws-region:aws-account-id:tunnel/*

  • Geben Sie eine Sache ARN an, um die RotateTunnelAccessToken Berechtigungen für bestimmte IoT-Dinge zu verwalten:

    arn:aws:iot:aws-region:aws-account-id:thing/thing-name

Mit der folgenden Richtlinienanweisung können Sie beispielsweise entweder das Quellzugriffstoken eines Tunnels oder das Zielzugriffstoken eines Clients für das genannte IoT-Objekt namensTestDevice rotieren.

{ "Effect": "Allow", "Action": "iot:RotateTunnelAccessToken", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*", "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice" ] }

Die iot:RotateTunnelAccessToken-Richtlinienaktion unterstützt die folgenden Bedingungsschlüssel:

  • iot:ThingGroupArn

  • iot:TunnelDestinationService

  • iot:ClientMode

  • aws:SecureTransport

Mit der folgenden Richtlinienanweisung können Sie das Zielzugriffstoken auf das Ding rotieren, wenn das Ding zu einer Dinggruppe gehörtTestGroup, deren Name mit dem konfigurierten Zieldienst auf dem Tunnel beginnt und der Client im DESTINATION Modus ist. SSH

{ "Effect": "Allow", "Action": "iot:RotateTunnelAccessToken", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*" ], "Condition": { "ForAnyValue:StringLike": { "iot:ThingGroupArn": [ "arn:aws:iot:aws-region:aws-account-id:thinggroup/TestGroup*" ] }, "ForAllValues:StringEquals": { "iot:TunnelDestinationService": [ "SSH" ], "iot:ClientMode": "DESTINATION" } } }

Durch die iot:RotateTunnelAccessToken politische Maßnahme wird dem Hauptmann die Genehmigung erteilt, Anrufe zu tätigen RotateTunnelAccessToken.

In der Resource IAM Grundsatzerklärung heißt es:

  • Geben Sie einen vollständig qualifizierten Tunnel anARN:

    arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

    Sie können auch den Wildcard-Tunnel ARN verwenden:

    arn:aws:iot:aws-region:aws-account-id:tunnel/*

  • Geben Sie eine Sache ARN an, um die RotateTunnelAccessToken Berechtigungen für bestimmte IoT-Dinge zu verwalten:

    arn:aws:iot:aws-region:aws-account-id:thing/thing-name

Mit der folgenden Richtlinienanweisung können Sie beispielsweise entweder das Quellzugriffstoken eines Tunnels oder das Zielzugriffstoken eines Clients für das genannte IoT-Objekt namensTestDevice rotieren.

{ "Effect": "Allow", "Action": "iot:RotateTunnelAccessToken", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*", "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice" ] }

Die iot:RotateTunnelAccessToken-Richtlinienaktion unterstützt die folgenden Bedingungsschlüssel:

  • iot:ThingGroupArn

  • iot:TunnelDestinationService

  • iot:ClientMode

  • aws:SecureTransport

Mit der folgenden Richtlinienanweisung können Sie das Zielzugriffstoken auf das Ding rotieren, wenn das Ding zu einer Dinggruppe gehörtTestGroup, deren Name mit dem konfigurierten Zieldienst auf dem Tunnel beginnt und der Client im DESTINATION Modus ist. SSH

{ "Effect": "Allow", "Action": "iot:RotateTunnelAccessToken", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*" ], "Condition": { "ForAnyValue:StringLike": { "iot:ThingGroupArn": [ "arn:aws:iot:aws-region:aws-account-id:thinggroup/TestGroup*" ] }, "ForAllValues:StringEquals": { "iot:TunnelDestinationService": [ "SSH" ], "iot:ClientMode": "DESTINATION" } } }

Durch die iot:DescribeTunnel politische Maßnahme wird dem Hauptmann die Genehmigung erteilt, Anrufe zu tätigen DescribeTunnel.

Geben Sie im Resource Element der IAM Grundsatzerklärung einen vollständig qualifizierten Tunnel anARN:

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Sie können auch den Platzhalter ARN verwenden:

arn:aws:iot:aws-region:aws-account-id:tunnel/*

Die iot:DescribeTunnel-Richtlinienaktion unterstützt die folgenden Bedingungsschlüssel:

  • aws:ResourceTag/tag-key

  • aws:SecureTransport

Mit der folgenden Richtlinienanweisung können Sie DescribeTunnel aufrufen, wenn der angeforderte Tunnel mit dem Schlüssel Owner mit dem Wert Admin gekennzeichnet ist.

{ "Effect": "Allow", "Action": "iot:DescribeTunnel", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/Owner": "Admin" } } }

Durch die iot:DescribeTunnel politische Maßnahme wird dem Hauptmann die Genehmigung erteilt, Anrufe zu tätigen DescribeTunnel.

Geben Sie im Resource Element der IAM Grundsatzerklärung einen vollständig qualifizierten Tunnel anARN:

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Sie können auch den Platzhalter ARN verwenden:

arn:aws:iot:aws-region:aws-account-id:tunnel/*

Die iot:DescribeTunnel-Richtlinienaktion unterstützt die folgenden Bedingungsschlüssel:

  • aws:ResourceTag/tag-key

  • aws:SecureTransport

Mit der folgenden Richtlinienanweisung können Sie DescribeTunnel aufrufen, wenn der angeforderte Tunnel mit dem Schlüssel Owner mit dem Wert Admin gekennzeichnet ist.

{ "Effect": "Allow", "Action": "iot:DescribeTunnel", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/Owner": "Admin" } } }

Durch die iot:ListTunnels politische Maßnahme wird dem Hauptmann die Genehmigung erteilt, Anrufe zu tätigen ListTunnels.

In der Resource IAM Grundsatzerklärung heißt es:

  • Geben Sie den Wildcard-Tunnel ARN an:

    arn:aws:iot:aws-region:aws-account-id:tunnel/*

  • Geben Sie eine Sache ARN an, um die ListTunnels Berechtigungen für ausgewählte IoT-Dinge zu verwalten:

    arn:aws:iot:aws-region:aws-account-id:thing/thing-name

Die iot:ListTunnels-Richtlinienaktion unterstützt den Bedingungsschlüssel aws:SecureTransport.

Mit der folgenden Richtlinienanweisung können Sie Tunnel für das Objekt mit dem Namen TestDevice auflisten.

{ "Effect": "Allow", "Action": "iot:ListTunnels", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*", "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice" ] }

Durch die iot:ListTunnels politische Maßnahme wird dem Hauptmann die Genehmigung erteilt, Anrufe zu tätigen ListTunnels.

In der Resource IAM Grundsatzerklärung heißt es:

  • Geben Sie den Wildcard-Tunnel ARN an:

    arn:aws:iot:aws-region:aws-account-id:tunnel/*

  • Geben Sie eine Sache ARN an, um die ListTunnels Berechtigungen für ausgewählte IoT-Dinge zu verwalten:

    arn:aws:iot:aws-region:aws-account-id:thing/thing-name

Die iot:ListTunnels-Richtlinienaktion unterstützt den Bedingungsschlüssel aws:SecureTransport.

Mit der folgenden Richtlinienanweisung können Sie Tunnel für das Objekt mit dem Namen TestDevice auflisten.

{ "Effect": "Allow", "Action": "iot:ListTunnels", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*", "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice" ] }

Die iot:ListTagsForResource-Richtlinienaktion erteilt eine Prinzipalberechtigung zum Aufrufen von ListTagsForResource.

Geben Sie im Resource Element der IAM Grundsatzerklärung einen vollständig qualifizierten Tunnel anARN:

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Sie können auch den Wildcard-Tunnel ARN verwenden:

arn:aws:iot:aws-region:aws-account-id:tunnel/*

Die iot:ListTagsForResource-Richtlinienaktion unterstützt den Bedingungsschlüssel aws:SecureTransport.

Die iot:ListTagsForResource-Richtlinienaktion erteilt eine Prinzipalberechtigung zum Aufrufen von ListTagsForResource.

Geben Sie im Resource Element der IAM Grundsatzerklärung einen vollständig qualifizierten Tunnel anARN:

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Sie können auch den Wildcard-Tunnel ARN verwenden:

arn:aws:iot:aws-region:aws-account-id:tunnel/*

Die iot:ListTagsForResource-Richtlinienaktion unterstützt den Bedingungsschlüssel aws:SecureTransport.

Durch die iot:CloseTunnel politische Maßnahme wird dem Hauptmann die Genehmigung erteilt, Anrufe zu tätigen CloseTunnel.

Geben Sie im Resource Element der IAM Grundsatzerklärung einen vollständig qualifizierten Tunnel anARN:

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Sie können auch den Wildcard-Tunnel ARN verwenden:

arn:aws:iot:aws-region:aws-account-id:tunnel/*

Die iot:CloseTunnel-Richtlinienaktion unterstützt die folgenden Bedingungsschlüssel:

  • iot:Delete

  • aws:ResourceTag/tag-key

  • aws:SecureTransport

Mit der folgenden Richtlinienanweisung können Sie CloseTunnel aufrufen, wenn der Delete-Parameter der Anforderung false ist und der angeforderte Tunnel mit dem Schlüssel Owner mit dem Wert QATeam gekennzeichnet ist.

{ "Effect": "Allow", "Action": "iot:CloseTunnel", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*" ], "Condition": { "Bool": { "iot:Delete": "false" }, "StringEquals": { "aws:ResourceTag/Owner": "QATeam" } } }

Durch die iot:CloseTunnel politische Maßnahme wird dem Hauptmann die Genehmigung erteilt, Anrufe zu tätigen CloseTunnel.

Geben Sie im Resource Element der IAM Grundsatzerklärung einen vollständig qualifizierten Tunnel anARN:

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Sie können auch den Wildcard-Tunnel ARN verwenden:

arn:aws:iot:aws-region:aws-account-id:tunnel/*

Die iot:CloseTunnel-Richtlinienaktion unterstützt die folgenden Bedingungsschlüssel:

  • iot:Delete

  • aws:ResourceTag/tag-key

  • aws:SecureTransport

Mit der folgenden Richtlinienanweisung können Sie CloseTunnel aufrufen, wenn der Delete-Parameter der Anforderung false ist und der angeforderte Tunnel mit dem Schlüssel Owner mit dem Wert QATeam gekennzeichnet ist.

{ "Effect": "Allow", "Action": "iot:CloseTunnel", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*" ], "Condition": { "Bool": { "iot:Delete": "false" }, "StringEquals": { "aws:ResourceTag/Owner": "QATeam" } } }

Die iot:TagResource-Richtlinienaktion erteilt eine Prinzipalberechtigung zum Aufrufen von TagResource.

Geben Sie im Resource Element der IAM Grundsatzerklärung einen vollständig qualifizierten Tunnel anARN:

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Sie können auch den Wildcard-Tunnel ARN verwenden:

arn:aws:iot:aws-region:aws-account-id:tunnel/*

Die iot:TagResource-Richtlinienaktion unterstützt den Bedingungsschlüssel aws:SecureTransport.

Die iot:TagResource-Richtlinienaktion erteilt eine Prinzipalberechtigung zum Aufrufen von TagResource.

Geben Sie im Resource Element der IAM Grundsatzerklärung einen vollständig qualifizierten Tunnel anARN:

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Sie können auch den Wildcard-Tunnel ARN verwenden:

arn:aws:iot:aws-region:aws-account-id:tunnel/*

Die iot:TagResource-Richtlinienaktion unterstützt den Bedingungsschlüssel aws:SecureTransport.

Die iot:UntagResource-Richtlinienaktion erteilt eine Prinzipalberechtigung zum Aufrufen von UntagResource.

Geben Sie im Resource Element der IAM Grundsatzerklärung einen vollständig qualifizierten Tunnel anARN:

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Sie können auch den Wildcard-Tunnel ARN verwenden:

arn:aws:iot:aws-region:aws-account-id:tunnel/*

Die iot:UntagResource-Richtlinienaktion unterstützt den Bedingungsschlüssel aws:SecureTransport.

Die iot:UntagResource-Richtlinienaktion erteilt eine Prinzipalberechtigung zum Aufrufen von UntagResource.

Geben Sie im Resource Element der IAM Grundsatzerklärung einen vollständig qualifizierten Tunnel anARN:

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Sie können auch den Wildcard-Tunnel ARN verwenden:

arn:aws:iot:aws-region:aws-account-id:tunnel/*

Die iot:UntagResource-Richtlinienaktion unterstützt den Bedingungsschlüssel aws:SecureTransport.

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.