Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Identitäts- und Zugriffsmanagement für AWS IoT Events
AWS Identity and Access Management (IAM) ist ein AWS Dienst, der einem Administrator hilft, den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAMAdministratoren kontrollieren, wer authentifiziert (angemeldet) und autorisiert werden kann (über Berechtigungen verfügt), um AWS IoT Events Ressourcen zu verwenden. IAMist ein AWS Service, den Sie ohne zusätzliche Kosten nutzen können.
Themen
- Zielgruppe
- Authentifizierung mit Identitäten
- Verwalten des Zugriffs mit Richtlinien
- Weitere Informationen zu Identitäts- und Zugriffsmanagement
- Wie AWS IoT Events funktioniert mit IAM
- AWS IoT Events Beispiele für identitätsbasierte Richtlinien
- Dienstübergreifende verwirrte Stellvertreterprävention für AWS IoT Events
- Probleme mit AWS IoT Events Identität und Zugriff beheben
Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von der Arbeit ab, in der Sie arbeiten AWS IoT Events.
Dienstbenutzer — Wenn Sie den AWS IoT Events Dienst für Ihre Arbeit verwenden, stellt Ihnen Ihr Administrator die erforderlichen Anmeldeinformationen und Berechtigungen zur Verfügung. Wenn Sie für Ihre Arbeit mehr AWS IoT Events Funktionen verwenden, benötigen Sie möglicherweise zusätzliche Berechtigungen. Wenn Sie die Funktionsweise der Zugriffskontrolle nachvollziehen, wissen Sie bereits, welche Berechtigungen Sie von Ihrem Administrator anfordern müssen. Unter Probleme mit AWS IoT Events Identität und Zugriff beheben finden Sie nützliche Informationen für den Fall, dass Sie keinen Zugriff auf eine Feature in AWS IoT Events haben.
Serviceadministrator — Wenn Sie in Ihrem Unternehmen für die AWS IoT Events Ressourcen verantwortlich sind, haben Sie wahrscheinlich vollen Zugriff auf AWS IoT Events. Es ist Ihre Aufgabe, zu bestimmen, auf welche AWS IoT Events Funktionen und Ressourcen Ihre Servicebenutzer zugreifen sollen. Sie müssen anschließend bei Ihrem IAM-Administrator entsprechende Änderungen für die Berechtigungen Ihrer Service-Benutzer anfordern. Lesen Sie die Informationen auf dieser Seite, um die Grundkonzepte von IAM zu verstehen. Weitere Informationen darüber, wie Ihr Unternehmen IAM mit nutzen kann AWS IoT Events, finden Sie unterWie AWS IoT Events funktioniert mit IAM.
IAMAdministrator — Wenn Sie ein IAM Administrator sind, möchten Sie vielleicht mehr darüber erfahren, wie Sie Richtlinien schreiben können, um den Zugriff darauf zu verwalten AWS IoT Events. Beispiele für AWS IoT Events identitätsbasierte Richtlinien, die Sie in verwenden könnenIAM, finden Sie unter. AWS IoT Events Beispiele für identitätsbasierte Richtlinien
Weitere Informationen zu Identitäts- und Zugriffsmanagement
Weitere Informationen zur Identitäts- und Zugriffsverwaltung für AWS IoT Events finden Sie auf den folgenden Seiten:
Wie AWS IoT Events funktioniert mit IAM
Bevor Sie IAM den Zugriff auf verwalten AWS IoT Events, sollten Sie sich darüber im Klaren sein, welche IAM Funktionen Ihnen zur Verfügung stehen AWS IoT Events. Einen allgemeinen Überblick darüber, wie AWS IoT Events und mit anderen AWS Diensten funktioniertIAM, finden Sie IAM im IAMBenutzerhandbuch unter AWS Dienste, die funktionieren.
Themen
AWS IoT Events identitätsbasierte Richtlinien
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen erteilt oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. AWS IoT Events unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Weitere Informationen zu allen Elementen, die Sie in einer JSON Richtlinie verwenden, finden Sie in der Referenz zu den IAM JSON Richtlinienelementen im IAMBenutzerhandbuch.
Aktionen
Das Element Action einer identitätsbasierten IAM-Richtlinie beschreibt die spezifischen Aktionen, die von der Richtlinie zugelassen oder abgelehnt werden. Richtlinienaktionen haben normalerweise denselben Namen wie der zugehörige AWS API Vorgang. Die Aktion wird in einer Richtlinie verwendet, um Berechtigungen zur Durchführung der zugehörigen Aktion zu gewähren.
Bei Richtlinienaktionen wird vor der Aktion das folgende Präfix AWS IoT Events verwendet:iotevents:. Um beispielsweise jemandem die Erlaubnis zu erteilen, mit der AWS IoT Events CreateInput API Operation eine AWS IoT Events Eingabe zu erstellen, nehmen Sie die iotevents:CreateInput Aktion in seine Richtlinie auf. Um jemandem die Erlaubnis zu erteilen, eine Eingabe zusammen mit dem AWS IoT Events BatchPutMessage API Vorgang zu senden, nehmen Sie die iotevents-data:BatchPutMessage Aktion in seine Richtlinie auf. Grundsatzerklärungen müssen Action entweder ein NotAction Oder-Element enthalten. AWS IoT Events definiert einen eigenen Satz von Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
"Action": [ "iotevents:action1", "iotevents:action2"
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort Describe beginnen, einschließlich der folgenden Aktion:
"Action": "iotevents:Describe*"
Eine Liste der AWS IoT Events Aktionen finden Sie AWS IoT Events im IAMBenutzerhandbuch unter Definierte Aktionen von.
Ressourcen
Das Element Resource gibt die Objekte an, auf die die Aktion angewendet wird. Anweisungen müssen entweder ein Resource- oder ein NotResource-Element enthalten. Sie geben eine Ressource mit einem ARN oder mit dem Platzhalter (*) an, um anzugeben, dass die Anweisung für alle Ressourcen gilt.
Die Modellressource des AWS IoT Events Detektors hat Folgendes: ARN
arn:${Partition}:iotevents:${Region}:${Account}:detectorModel/${detectorModelName}
Weitere Informationen zum Format von ARNs finden Sie unter Identifizieren von AWS Ressourcen mit Amazon-Ressourcennamen (ARNs).
Um beispielsweise das Foobar Detektormodell in Ihrer Anweisung zu spezifizieren, verwenden Sie FolgendesARN:
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/Foobar"
Um alle Instances anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (*):
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/*"
Einige AWS IoT Events Aktionen, z. B. die zum Erstellen von Ressourcen, können nicht für eine bestimmte Ressource ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (*) verwenden.
"Resource": "*"
Manche AWS IoT Events API Aktionen betreffen mehrere Ressourcen. Verweist beispielsweise in seinen Bedingungsanweisungen CreateDetectorModel auf Eingaben, sodass ein Benutzer über Berechtigungen zur Verwendung der Eingabe und des Detektormodells verfügen muss. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas.
"Resource": [ "resource1", "resource2"
Eine Liste der AWS IoT Events Ressourcentypen und ihrer Eigenschaften ARNs finden Sie unter Ressourcen definiert von AWS IoT Events im IAMBenutzerhandbuch. Informationen darüber, mit welchen Aktionen Sie die ARN einzelnen Ressourcen spezifizieren können, finden Sie unter Definierte Aktionen von AWS IoT Events.
Bedingungsschlüssel
Mithilfe des Elements Condition(oder des Blocks Condition) können Sie die Bedingungen angeben, unter denen eine Anweisung wirksam ist. Das Element Condition ist optional. Sie können bedingte Ausdrücke erstellen, die Bedingungs-Operatoren verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt.
Wenn Sie mehrere Condition-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzelnen Condition-Element angeben, wertet AWS diese mittels einer logischen AND-Operation aus. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, AWS wertet die Bedingung mithilfe einer logischen OR Operation aus. Alle Bedingungen müssen erfüllt werden, bevor die Berechtigungen der Anweisung gewährt werden.
Sie können auch Platzhaltervariablen verwenden, wenn Sie Bedingungen angeben. Beispielsweise können Sie einem Benutzer die Berechtigung für den Zugriff auf eine Ressource nur dann gewähren, wenn sie mit dessen Benutzernamen gekennzeichnet ist. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMRichtlinienelemente: Variablen und Tags.
AWS IoT Events stellt keine dienstspezifischen Bedingungsschlüssel bereit, unterstützt aber die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter Kontext-Schlüssel für AWS globale Bedingungen im IAMBenutzerhandbuch.“
Beispiele
Beispiele für AWS IoT Events identitätsbasierte Richtlinien finden Sie unter. AWS IoT Events Beispiele für identitätsbasierte Richtlinien
Ressourcenbasierte AWS IoT Events -Richtlinien
AWS IoT Events unterstützt keine ressourcenbasierten Richtlinien.“ Ein Beispiel für eine detaillierte Seite zu ressourcenbasierten Richtlinien finden Sie unter https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html.
Autorisierung auf der Basis von AWS IoT Events -Tags
Sie können Tags an AWS IoT Events Ressourcen anhängen oder Tags in einer Anfrage an übergeben. AWS IoT Events Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer Richtlinie Tag-Informationen an, indem Sie die Schlüssel iotevents:ResourceTag/, key-nameaws:RequestTag/, oder Bedingung key-nameaws:TagKeys verwenden. Weitere Informationen über das Markieren von AWS IoT Events
-Ressourcen mit Tags finden Sie unter Verschlagworten Sie Ihre Ressourcen AWS IoT Events.
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter Auf Tags basierende AWS IoT Events Eingaben anzeigen.
AWS IoT Events IAM-Rollen
Eine IAMRolle ist eine Entität innerhalb von Ihnen AWS-Konto , die über bestimmte Berechtigungen verfügt.
Verwenden temporärer Anmeldeinformationen mit AWS IoT Events
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS Security Token Service (AWS STS) API -Operationen wie AssumeRoleoder aufrufen GetFederationToken.
AWS IoT Events unterstützt die Verwendung temporärer Anmeldeinformationen nicht.
Service-verknüpfte Rollen
Mit dienstverknüpften Rollen können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
AWS IoT Events unterstützt keine dienstbezogenen Rollen.
Servicerollen
Dieses Feature ermöglicht einem Service das Annehmen einer Servicerolle in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
AWS IoT Events unterstützt Servicerollen.
