Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Identitäts- und Zugriffsmanagement für AWS IoT Events
AWS Identity and Access Management (IAM) ist ein AWS Dienst, der einem Administrator hilft, den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren kontrollieren, wer authentifiziert (angemeldet) und autorisiert werden kann (über Berechtigungen verfügt), um Ressourcen zu verwenden. AWS IoT Events IAM ist ein AWS Dienst, den Sie ohne zusätzliche Kosten nutzen können.
Zielgruppe
Die Art und Weise, wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von der Art der Arbeit ab, in der Sie tätig sind. AWS IoT Events
Dienstbenutzer — Wenn Sie den AWS IoT Events Dienst für Ihre Arbeit verwenden, stellt Ihnen Ihr Administrator die erforderlichen Anmeldeinformationen und Berechtigungen zur Verfügung. Wenn Sie für Ihre Arbeit mehr AWS IoT Events Funktionen verwenden, benötigen Sie möglicherweise zusätzliche Berechtigungen. Wenn Sie die Funktionsweise der Zugriffskontrolle nachvollziehen, wissen Sie bereits, welche Berechtigungen Sie von Ihrem Administrator anfordern müssen. Unter Probleme mit AWS IoT Events Identität und Zugriff beheben finden Sie nützliche Informationen für den Fall, dass Sie keinen Zugriff auf eine Feature in AWS IoT Events haben.
Serviceadministrator — Wenn Sie in Ihrem Unternehmen für die AWS IoT Events Ressourcen verantwortlich sind, haben Sie wahrscheinlich vollen Zugriff auf AWS IoT Events. Es ist Ihre Aufgabe, zu bestimmen, auf welche AWS IoT Events Funktionen und Ressourcen Ihre Servicebenutzer zugreifen sollen. Anschließend müssen Sie Anforderungen an Ihren IAM-Administrator senden, um die Berechtigungen der Servicebenutzer zu ändern. Lesen Sie die Informationen auf dieser Seite, um die Grundkonzepte von IAM nachzuvollziehen. Weitere Informationen darüber, wie Ihr Unternehmen IAM nutzen kann AWS IoT Events, finden Sie unterWie AWS IoT Events funktioniert mit IAM.
IAM-Administrator: Wenn Sie als IAM-Administrator fungieren, sollten Sie Einzelheiten dazu kennen, wie Sie Richtlinien zur Verwaltung des Zugriffs auf AWS IoT Events verfassen können. Beispiele für AWS IoT Events identitätsbasierte Richtlinien, die Sie in IAM verwenden können, finden Sie unter. AWS IoT Events Beispiele für identitätsbasierte Richtlinien
Weitere Informationen zu Identitäts- und Zugriffsmanagement
Weitere Informationen zur Identitäts- und Zugriffsverwaltung für AWS IoT Events finden Sie auf den folgenden Seiten:
Wie AWS IoT Events funktioniert mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf zu verwalten AWS IoT Events, sollten Sie wissen, mit welchen IAM-Funktionen Sie verwenden können. AWS IoT EventsEinen allgemeinen Überblick darüber, wie AWS IoT Events und andere AWS Dienste mit IAM funktionieren, finden Sie im AWS IAM-Benutzerhandbuch unter Dienste, die mit IAM funktionieren.
Themen
AWS IoT Events identitätsbasierte Richtlinien
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen erteilt oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. AWS IoT Events unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der IAM-Referenz für JSON-Richtlinienelemente im IAM-Benutzerhandbuch.
Aktionen
Das Element Action einer identitätsbasierten IAM-Richtlinie beschreibt die spezifischen Aktionen, die von der Richtlinie zugelassen oder abgelehnt werden. Richtlinienaktionen haben normalerweise denselben Namen wie der zugehörige AWS API-Vorgang. Die Aktion wird in einer Richtlinie verwendet, um Berechtigungen zur Durchführung der zugehörigen Aktion zu gewähren.
Bei Richtlinienaktionen wird vor der Aktion das folgende Präfix AWS IoT Events verwendet:iotevents:. Um beispielsweise jemandem die Erlaubnis zu erteilen, mit der AWS IoT Events CreateInput API-Operation eine AWS IoT Events Eingabe zu erstellen, nehmen Sie die iotevents:CreateInput Aktion in seine Richtlinie auf. Um jemandem die Erlaubnis zu erteilen, im Rahmen des AWS IoT Events BatchPutMessage API-Vorgangs eine Eingabe zu senden, nehmen Sie die iotevents-data:BatchPutMessage Aktion in seine Richtlinie auf. Richtlinienerklärungen müssen Action entweder ein NotAction Oder-Element enthalten. AWS IoT Events definiert einen eigenen Satz von Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
"Action": [ "iotevents:action1", "iotevents:action2"
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort Describe beginnen, einschließlich der folgenden Aktion:
"Action": "iotevents:Describe*"
Eine Liste der AWS IoT Events Aktionen finden Sie AWS IoT Events im IAM-Benutzerhandbuch unter Definierte Aktionen von.
Ressourcen
Das Element Resource gibt die Objekte an, auf die die Aktion angewendet wird. Anweisungen müssen entweder ein Resource- oder ein NotResource-Element enthalten. Sie geben eine Ressource unter Verwendung eines ARN oder eines Platzhalters (*) an, um anzugeben, dass die Anweisung für alle Ressourcen gilt.
Die AWS IoT Events Detektormodellressource hat den folgenden ARN:
arn:${Partition}:iotevents:${Region}:${Account}:detectorModel/${detectorModelName}
Weitere Informationen zum Format von ARNs finden Sie unter Identifizieren von AWS Ressourcen mit Amazon-Ressourcennamen (ARNs).
Um beispielsweise das Foobar Detektormodell in Ihrer Anweisung anzugeben, verwenden Sie den folgenden ARN:
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/Foobar"
Um alle Instances anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (*):
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/*"
Einige AWS IoT Events Aktionen, z. B. die zum Erstellen von Ressourcen, können nicht für eine bestimmte Ressource ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (*) verwenden.
"Resource": "*"
Einige AWS IoT Events API-Aktionen beinhalten mehrere Ressourcen. Verweist beispielsweise in seinen Bedingungsanweisungen CreateDetectorModel auf Eingaben, sodass ein Benutzer über Berechtigungen zur Verwendung der Eingabe und des Detektormodells verfügen muss. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas.
"Resource": [ "resource1", "resource2"
Eine Liste der AWS IoT Events Ressourcentypen und ihrer ARNs Eigenschaften finden Sie AWS IoT Events im IAM-Benutzerhandbuch unter Defined by (Ressourcen definiert von). Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter Von AWS IoT Events definierte Aktionen.
Bedingungsschlüssel
Mithilfe des Elements Condition(oder des Blocks Condition) können Sie die Bedingungen angeben, unter denen eine Anweisung wirksam ist. Das Element Condition ist optional. Sie können bedingte Ausdrücke erstellen, die Bedingungs-Operatoren verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt.
Wenn Sie mehrere Condition-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzelnen Condition-Element angeben, wertet AWS diese mittels einer logischen AND-Operation aus. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, AWS wertet die Bedingung mithilfe einer logischen OR Operation aus. Alle Bedingungen müssen erfüllt werden, bevor die Berechtigungen der Anweisung gewährt werden.
Sie können auch Platzhaltervariablen verwenden, wenn Sie Bedingungen angeben. Beispielsweise können Sie einem Benutzer die Berechtigung für den Zugriff auf eine Ressource nur dann gewähren, wenn sie mit dessen Benutzernamen gekennzeichnet ist. Weitere Informationen finden Sie unter IAM-Richtlinienelemente: Variablen und Tags (Markierungen) im IAM-Benutzerhandbuch.
AWS IoT Events stellt keine dienstspezifischen Bedingungsschlüssel bereit, unterstützt aber die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter Kontextschlüssel für AWS globale Bedingungen im IAM-Benutzerhandbuch.“
Beispiele
Beispiele für AWS IoT Events identitätsbasierte Richtlinien finden Sie unter. AWS IoT Events Beispiele für identitätsbasierte Richtlinien
Ressourcenbasierte AWS IoT Events -Richtlinien
AWS IoT Events unterstützt keine ressourcenbasierten Richtlinien.“ Ein Beispiel für eine detaillierte Seite zu ressourcenbasierten Richtlinien finden Sie unter https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html.
Autorisierung auf der Basis von AWS IoT Events -Tags
Sie können Tags an AWS IoT Events Ressourcen anhängen oder Tags in einer Anfrage an übergeben. AWS IoT Events Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer Richtlinie Tag-Informationen an, indem Sie die Schlüssel iotevents:ResourceTag/, key-nameaws:RequestTag/, oder Bedingung key-nameaws:TagKeys verwenden. Weitere Informationen über das Markieren von AWS IoT Events
-Ressourcen mit Tags finden Sie unter Verschlagworten Sie Ihre Ressourcen AWS IoT Events.
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter Auf Tags basierende AWS IoT Events Eingaben anzeigen.
AWS IoT Events IAM-Rollen
Eine IAM-Rolle ist eine Entität innerhalb von Ihnen AWS-Konto , die über bestimmte Berechtigungen verfügt.
Verwenden temporärer Anmeldeinformationen mit AWS IoT Events
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS Security Token Service (AWS STS) API-Operationen wie AssumeRoleoder aufrufen GetFederationToken.
AWS IoT Events unterstützt die Verwendung temporärer Anmeldeinformationen nicht.
Service-verknüpfte Rollen
Mit Dienstverknüpften Rollen können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
AWS IoT Events unterstützt keine dienstbezogenen Rollen.
Servicerollen
Dieses Feature ermöglicht einem Service das Annehmen einer Servicerolle in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
AWS IoT Events unterstützt Servicerollen.
