Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
DSecure Tunneling bietet dienstspezifische Aktionen, Ressourcen und Bedingungskontextschlüssel zur Verwendung in IAM-Berechtigungsrichtlinien.
Voraussetzungen für den Tunnelzugriff
-
Erfahren Sie, wie Sie AWS Ressourcen mithilfe von IAM-Richtlinien sichern können.
-
Erfahren Sie, wie Sie IAM-Bedingungen erstellen und bewerten.
-
Erfahren Sie, wie Sie AWS Ressourcen mithilfe von Ressourcen-Tags sichern.
Richtlinien für den Tunnelzugriff
Sie müssen die folgenden Richtlinien verwenden, um Berechtigungen zur Verwendung der Secure Tunneling-API zu autorisieren. Weitere Informationen zur AWS IoT Sicherheit finden Sie unterIdentitäts- und Zugriffsmanagement für AWS IoT.
Die iot:OpenTunnel-Richtlinienaktion erteilt eine Prinzipalberechtigung zum Aufrufen von OpenTunnel.
Im Resource Element der IAM-Richtlinienerklärung:
-
Geben Sie den Wildcard-Tunnel-ARN an:
arn:aws:iot:aws-region:aws-account-id:tunnel/* -
Geben Sie einen Objekt-ARN an, um die
OpenTunnelBerechtigung für bestimmte IoT-Objekte zu verwalten:arn:aws:iot:aws-region:aws-account-id:thing/thing-name
Mit der folgenden Richtlinienanweisung können Sie beispielsweise einen Tunnel für das IoT-Objekt mit der Bezeichnung TestDevice öffnen.
{
"Effect": "Allow",
"Action": "iot:OpenTunnel",
"Resource": [
"arn:aws:iot:aws-region:aws-account-id:tunnel/*",
"arn:aws:iot:aws-region:aws-account-id:thing/TestDevice"
]
}Die iot:OpenTunnel-Richtlinienaktion unterstützt die folgenden Bedingungsschlüssel:
-
iot:ThingGroupArn -
iot:TunnelDestinationService -
aws:RequestTag/tag-key -
aws:SecureTransport -
aws:TagKeys
Mit der folgenden Richtlinienanweisung können Sie einen Tunnel zu dem Objekt öffnen, wenn das Objekt zu einer Objektgruppe mit einem Namen gehört, der mit TestGroup beginnt und im Tunnel der Zielservice SSH konfiguriert ist.
{
"Effect": "Allow",
"Action": "iot:OpenTunnel",
"Resource": [
"arn:aws:iot:aws-region:aws-account-id:tunnel/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"iot:ThingGroupArn": [
"arn:aws:iot:aws-region:aws-account-id:thinggroup/TestGroup*"
]
},
"ForAllValues:StringEquals": {
"iot:TunnelDestinationService": [
"SSH"
]
}
}
}Sie können auch Ressourcen-Tags verwenden, um die Berechtigung zum Öffnen von Tunneln zu steuern. Mit der folgenden Richtlinienanweisung kann beispielsweise ein Tunnel geöffnet werden, wenn der Tag-Schlüssel Owner mit dem Wert Admin vorhanden ist und keine anderen Tags angegeben werden. Allgemeine Informationen zur Verwendung von Tags finden Sie unter Verschlagworten Sie Ihre Ressourcen AWS IoT.
{
"Effect": "Allow",
"Action": "iot:OpenTunnel",
"Resource": [
"arn:aws:iot:aws-region:aws-account-id:tunnel/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/Owner": "Admin"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "Owner"
}
}
}Die iot:RotateTunnelAccessToken-Richtlinienaktion erteilt eine Prinzipalberechtigung zum Aufrufen von RotateTunnelAccessToken.
Im Resource Element der IAM-Richtlinienerklärung:
-
Geben Sie einen vollqualifizierten Tunnel-ARN an:
arn:aws:iot:aws-region:aws-account-id:tunnel/tunnel-idSie können auch den Wildcard-Tunnel-ARN verwenden:
arn:aws:iot:aws-region:aws-account-id:tunnel/* -
Geben Sie einen Objekt-ARN an, um die
RotateTunnelAccessTokenBerechtigung für bestimmte IoT-Objekte zu verwalten:arn:aws:iot:aws-region:aws-account-id:thing/thing-name
Mit der folgenden Richtlinienanweisung können Sie beispielsweise entweder das Quellzugriffstoken eines Tunnels oder das Zielzugriffstoken eines Clients für das genannte IoT-Objekt namensTestDevice rotieren.
{
"Effect": "Allow",
"Action": "iot:RotateTunnelAccessToken",
"Resource": [
"arn:aws:iot:aws-region:aws-account-id:tunnel/*",
"arn:aws:iot:aws-region:aws-account-id:thing/TestDevice"
]
}Die iot:RotateTunnelAccessToken-Richtlinienaktion unterstützt die folgenden Bedingungsschlüssel:
-
iot:ThingGroupArn -
iot:TunnelDestinationService -
iot:ClientMode -
aws:SecureTransport
Mit der folgenden Richtlinienanweisung können Sie das Zielzugriffstoken auf das Objekt rotieren, wenn das Objekt zu einer Objektgruppe mit einem Namen gehört, der mit TestGroup beginnt, der konfigurierte Zieldienst auf dem Tunnel SSH ist, und der Client sich im DESTINATION-Modus befindet.
{
"Effect": "Allow",
"Action": "iot:RotateTunnelAccessToken",
"Resource": [
"arn:aws:iot:aws-region:aws-account-id:tunnel/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"iot:ThingGroupArn": [
"arn:aws:iot:aws-region:aws-account-id:thinggroup/TestGroup*"
]
},
"ForAllValues:StringEquals": {
"iot:TunnelDestinationService": [
"SSH"
],
"iot:ClientMode": "DESTINATION"
}
}
}Die iot:DescribeTunnel-Richtlinienaktion erteilt eine Prinzipalberechtigung zum Aufrufen von DescribeTunnel.
Geben Sie im Resource Element der IAM-Richtlinienerklärung einen vollqualifizierten Tunnel-ARN an:
arn:aws:iot:aws-region:
aws-account-id:tunnel/tunnel-id
Sie können auch den Wildcard-ARN verwenden:
arn:aws:iot:aws-region:aws-account-id:tunnel/*
Die iot:DescribeTunnel-Richtlinienaktion unterstützt die folgenden Bedingungsschlüssel:
-
aws:ResourceTag/tag-key -
aws:SecureTransport
Mit der folgenden Richtlinienanweisung können Sie DescribeTunnel aufrufen, wenn der angeforderte Tunnel mit dem Schlüssel Owner mit dem Wert Admin gekennzeichnet ist.
{
"Effect": "Allow",
"Action": "iot:DescribeTunnel",
"Resource": [
"arn:aws:iot:aws-region:aws-account-id:tunnel/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "Admin"
}
}
}Die iot:ListTunnels-Richtlinienaktion erteilt eine Prinzipalberechtigung zum Aufrufen von ListTunnels.
Im Resource Element der IAM-Richtlinienerklärung:
-
Geben Sie den Wildcard-Tunnel-ARN an:
arn:aws:iot:aws-region:aws-account-id:tunnel/* -
Geben Sie einen Objekt-ARN an, um die
ListTunnelsBerechtigung für ausgewählte IoT-Objekte zu verwalten:arn:aws:iot:aws-region:aws-account-id:thing/thing-name
Die iot:ListTunnels-Richtlinienaktion unterstützt den Bedingungsschlüssel aws:SecureTransport.
Mit der folgenden Richtlinienanweisung können Sie Tunnel für das Objekt mit dem Namen TestDevice auflisten.
{
"Effect": "Allow",
"Action": "iot:ListTunnels",
"Resource": [
"arn:aws:iot:aws-region:aws-account-id:tunnel/*",
"arn:aws:iot:aws-region:aws-account-id:thing/TestDevice"
]
}Die iot:ListTagsForResource-Richtlinienaktion erteilt eine Prinzipalberechtigung zum Aufrufen von ListTagsForResource.
Geben Sie im Resource Element der IAM-Richtlinienerklärung einen vollqualifizierten Tunnel-ARN an:
arn:aws:iot:aws-region:
aws-account-id:tunnel/tunnel-id
Sie können auch den Wildcard-Tunnel-ARN verwenden:
arn:aws:iot:aws-region:aws-account-id:tunnel/*
Die iot:ListTagsForResource-Richtlinienaktion unterstützt den Bedingungsschlüssel aws:SecureTransport.
Die iot:CloseTunnel-Richtlinienaktion erteilt eine Prinzipalberechtigung zum Aufrufen von CloseTunnel.
Geben Sie im Resource Element der IAM-Richtlinienerklärung einen vollqualifizierten Tunnel-ARN an:
arn:aws:iot:aws-region:
aws-account-id:tunnel/tunnel-id
Sie können auch den Wildcard-Tunnel-ARN verwenden:
arn:aws:iot:aws-region:aws-account-id:tunnel/*
Die iot:CloseTunnel-Richtlinienaktion unterstützt die folgenden Bedingungsschlüssel:
-
iot:Delete -
aws:ResourceTag/tag-key -
aws:SecureTransport
Mit der folgenden Richtlinienanweisung können Sie CloseTunnel aufrufen, wenn der Delete-Parameter der Anforderung false ist und der angeforderte Tunnel mit dem Schlüssel Owner mit dem Wert QATeam gekennzeichnet ist.
{
"Effect": "Allow",
"Action": "iot:CloseTunnel",
"Resource": [
"arn:aws:iot:aws-region:aws-account-id:tunnel/*"
],
"Condition": {
"Bool": {
"iot:Delete": "false"
},
"StringEquals": {
"aws:ResourceTag/Owner": "QATeam"
}
}
}Die iot:TagResource-Richtlinienaktion erteilt eine Prinzipalberechtigung zum Aufrufen von TagResource.
Geben Sie im Resource Element der IAM-Richtlinienerklärung einen vollqualifizierten Tunnel-ARN an:
arn:aws:iot:aws-region:
aws-account-id:tunnel/tunnel-id
Sie können auch den Wildcard-Tunnel-ARN verwenden:
arn:aws:iot:aws-region:aws-account-id:tunnel/*
Die iot:TagResource-Richtlinienaktion unterstützt den Bedingungsschlüssel aws:SecureTransport.
Die iot:UntagResource-Richtlinienaktion erteilt eine Prinzipalberechtigung zum Aufrufen von UntagResource.
Geben Sie im Resource Element der IAM-Richtlinienerklärung einen vollqualifizierten Tunnel-ARN an:
arn:aws:iot:aws-region:
aws-account-id:tunnel/tunnel-id
Sie können auch den Wildcard-Tunnel-ARN verwenden:
arn:aws:iot:aws-region:aws-account-id:tunnel/*
Die iot:UntagResource-Richtlinienaktion unterstützt den Bedingungsschlüssel aws:SecureTransport.
