Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Identitäts- und Zugriffsmanagement für AWS IoT Events
AWS Identity and Access Management (IAM) ist ein AWS Dienst, der einem Administrator hilft, den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAMAdministratoren kontrollieren, wer authentifiziert (angemeldet) und autorisiert werden kann (über Berechtigungen verfügt), um AWS IoT Events Ressourcen zu verwenden. IAMist ein AWS Service, den Sie ohne zusätzliche Kosten nutzen können.
Themen
- Zielgruppe
- Authentifizierung mit Identitäten
- Verwalten des Zugriffs mit Richtlinien
- Weitere Informationen zu Identitäts- und Zugriffsmanagement
- Wie AWS IoT Events funktioniert mit IAM
- AWS IoT Events Beispiele für identitätsbasierte Richtlinien
- Dienstübergreifende verwirrte Stellvertreterprävention für AWS IoT Events
- Probleme mit AWS IoT Events Identität und Zugriff beheben
Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von der Arbeit ab, in der Sie arbeiten AWS IoT Events.
Dienstbenutzer — Wenn Sie den AWS IoT Events Dienst für Ihre Arbeit verwenden, stellt Ihnen Ihr Administrator die erforderlichen Anmeldeinformationen und Berechtigungen zur Verfügung. Wenn Sie für Ihre Arbeit mehr AWS IoT Events Funktionen verwenden, benötigen Sie möglicherweise zusätzliche Berechtigungen. Wenn Sie die Fuktionsweise der Zugriffskontrolle nachvollziehen, wissen Sie bereits, welche Berechtigungen Sie von Ihrem Administrator anzufordern müssen. Unter Probleme mit AWS IoT Events Identität und Zugriff beheben finden Sie nützliche Informationen für den Fall, dass Sie keinen Zugriff auf eine Feature in AWS IoT Events haben.
Serviceadministrator — Wenn Sie in Ihrem Unternehmen für die AWS IoT Events Ressourcen verantwortlich sind, haben Sie wahrscheinlich vollen Zugriff auf AWS IoT Events. Es ist Ihre Aufgabe, zu bestimmen, auf welche AWS IoT Events Funktionen und Ressourcen Ihre Servicebenutzer zugreifen sollen. Anschließend müssen Sie Anfragen an Ihren IAM Administrator senden, um die Berechtigungen Ihrer Servicebenutzer zu ändern. Lesen Sie die Informationen auf dieser Seite, um die grundlegenden Konzepte von zu verstehenIAM. Weitere Informationen darüber, wie Ihr Unternehmen IAM mit verwenden kann AWS IoT Events, finden Sie unterWie AWS IoT Events funktioniert mit IAM.
IAMAdministrator — Wenn Sie ein IAM Administrator sind, möchten Sie vielleicht mehr darüber erfahren, wie Sie Richtlinien schreiben können, um den Zugriff darauf zu verwalten AWS IoT Events. Beispiele für AWS IoT Events identitätsbasierte Richtlinien, die Sie in verwenden könnenIAM, finden Sie unter. AWS IoT Events Beispiele für identitätsbasierte Richtlinien
Weitere Informationen zu Identitäts- und Zugriffsmanagement
Weitere Informationen zur Identitäts- und Zugriffsverwaltung für AWS IoT Events finden Sie auf den folgenden Seiten:
Wie AWS IoT Events funktioniert mit IAM
Bevor Sie IAM den Zugriff auf verwalten AWS IoT Events, sollten Sie wissen, welche IAM Funktionen zur Verfügung stehen AWS IoT Events. Einen allgemeinen Überblick darüber, wie AWS IoT Events und mit anderen AWS Diensten funktioniertIAM, finden Sie IAM im IAMBenutzerhandbuch unter AWS Dienste, mit denen Sie arbeiten können.
Themen
AWS IoT Events identitätsbasierte Richtlinien
Mit IAM identitätsbasierten Richtlinien können Sie zulässige oder verweigerte Aktionen und Ressourcen sowie die Bedingungen angeben, unter denen Aktionen zulässig oder verweigert werden. AWS IoT Events unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Weitere Informationen zu allen Elementen, die Sie in einer JSON Richtlinie verwenden, finden Sie in der Referenz zu den IAM JSON Richtlinienelementen im IAMBenutzerhandbuch.
Aktionen
Das Action Element einer IAM identitätsbasierten Richtlinie beschreibt die spezifischen Aktionen, die durch die Richtlinie zugelassen oder verweigert werden. Richtlinienaktionen haben in der Regel denselben Namen wie der zugehörige AWS API Vorgang. Die Aktion wird in einer Richtlinie verwendet, um Berechtigungen zur Durchführung der zugehörigen Aktion zu gewähren.
Bei Richtlinienaktionen wird vor der Aktion das folgende Präfix AWS IoT Events verwendet:iotevents:. Um beispielsweise jemandem die Erlaubnis zu erteilen, mit der AWS IoT Events CreateInput API Operation eine AWS IoT Events Eingabe zu erstellen, nehmen Sie die iotevents:CreateInput Aktion in seine Richtlinie auf. Um jemandem die Erlaubnis zu erteilen, eine Eingabe zusammen mit dem AWS IoT Events BatchPutMessage API Vorgang zu senden, nehmen Sie die iotevents-data:BatchPutMessage Aktion in seine Richtlinie auf. Grundsatzerklärungen müssen Action entweder ein NotAction Oder-Element enthalten. AWS IoT Events definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
"Action": [ "iotevents:action1", "iotevents:action2"
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort Describe beginnen, einschließlich der folgenden Aktion:
"Action": "iotevents:Describe*"
Eine Liste der AWS IoT Events Aktionen finden Sie AWS IoT Events im IAMBenutzerhandbuch unter Definierte Aktionen von.
Ressourcen
Das Element Resource gibt die Objekte an, auf die die Aktion angewendet wird. Anweisungen müssen entweder ein Resource- oder ein NotResource-Element enthalten. Sie geben eine Ressource mit einem ARN oder mit dem Platzhalter (*) an, um anzugeben, dass die Anweisung für alle Ressourcen gilt.
Die Modellressource des AWS IoT Events Detektors hat Folgendes: ARN
arn:${Partition}:iotevents:${Region}:${Account}:detectorModel/${detectorModelName}
Weitere Informationen zum Format von ARNs finden Sie unter Identifizieren von AWS Ressourcen mit Amazon-Ressourcennamen (ARNs).
Um beispielsweise das Foobar Detektormodell in Ihrer Anweisung zu spezifizieren, verwenden Sie FolgendesARN:
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/Foobar"
Um alle Instances anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (*):
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/*"
Einige AWS IoT Events Aktionen, z. B. die zum Erstellen von Ressourcen, können nicht für eine bestimmte Ressource ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (*) verwenden.
"Resource": "*"
Manche AWS IoT Events API Aktionen betreffen mehrere Ressourcen. Verweist beispielsweise in seinen Bedingungsanweisungen CreateDetectorModel auf Eingaben, sodass ein Benutzer über Berechtigungen zur Verwendung der Eingabe und des Detektormodells verfügen muss. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas.
"Resource": [ "resource1", "resource2"
Eine Liste der AWS IoT Events Ressourcentypen und ihrer Eigenschaften ARNs finden Sie unter Ressourcen definiert von AWS IoT Events im IAMBenutzerhandbuch. Informationen darüber, mit welchen Aktionen Sie die ARN einzelnen Ressourcen spezifizieren können, finden Sie unter Definierte Aktionen von AWS IoT Events.
Bedingungsschlüssel
Mithilfe des Elements Condition(oder des Blocks Condition) können Sie die Bedingungen angeben, unter denen eine Anweisung wirksam ist. Das Element Condition ist optional. Sie können bedingte Ausdrücke erstellen, die Bedingungs-Operatoren verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt.
Wenn Sie mehrere Condition-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzelnen Condition-Element angeben, wertet AWS diese mittels einer logischen AND-Operation aus. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, AWS wertet die Bedingung mithilfe einer logischen OR Operation aus. Alle Bedingungen müssen erfüllt werden, bevor die Berechtigungen der Anweisung gewährt werden.
Sie können auch Platzhaltervariablen verwenden, wenn Sie Bedingungen angeben. Beispielsweise können Sie einem Benutzer die Berechtigung für den Zugriff auf eine Ressource nur dann gewähren, wenn sie mit dessen Benutzernamen gekennzeichnet ist. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMRichtlinienelemente: Variablen und Tags.
AWS IoT Events stellt keine dienstspezifischen Bedingungsschlüssel bereit, unterstützt aber die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter Kontext-Schlüssel für AWS globale Bedingungen im IAMBenutzerhandbuch.“
Beispiele
Beispiele für AWS IoT Events identitätsbasierte Richtlinien finden Sie unter. AWS IoT Events Beispiele für identitätsbasierte Richtlinien
Ressourcenbasierte AWS IoT Events -Richtlinien
AWS IoT Events unterstützt keine ressourcenbasierten Richtlinien.“ Ein Beispiel für eine detaillierte Seite zu ressourcenbasierten Richtlinien finden Sie unter https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html.
Autorisierung auf der Basis von AWS IoT Events -Tags
Sie können Tags an AWS IoT Events Ressourcen anhängen oder Tags in einer Anfrage an übergeben. AWS IoT Events Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer Richtlinie Tag-Informationen an, indem Sie die Schlüssel iotevents:ResourceTag/, key-nameaws:RequestTag/, oder Bedingung key-nameaws:TagKeys verwenden. Weitere Informationen über das Markieren von AWS IoT Events
-Ressourcen mit Tags finden Sie unter Verschlagworten Sie Ihre Ressourcen AWS IoT Events.
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter Auf Tags basierende AWS IoT Events Eingaben anzeigen.
AWS IoT Events IAMRollen
Eine IAMRolle ist eine Entität innerhalb von Ihnen AWS-Konto , die über bestimmte Berechtigungen verfügt.
Verwenden temporärer Anmeldeinformationen mit AWS IoT Events
Sie können temporäre Anmeldeinformationen verwenden, um sich beim Verband anzumelden, eine IAM Rolle anzunehmen oder eine kontoübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS Security Token Service (AWS STS) API -Operationen wie AssumeRoleoder GetFederationTokenaufrufen.
AWS IoT Events unterstützt die Verwendung temporärer Anmeldeinformationen nicht.
Service-verknüpfte Rollen
Mit dienstbezogenen Rollen können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen auszuführen. Mit Diensten verknüpfte Rollen werden in Ihrem IAM Konto angezeigt und gehören dem Dienst. Ein IAM Administrator kann die Berechtigungen für dienstbezogene Rollen anzeigen, aber nicht bearbeiten.
AWS IoT Events unterstützt keine dienstbezogenen Rollen.
Servicerollen
Dieses Feature ermöglicht einem Service das Annehmen einer Servicerolle in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM Konto angezeigt und gehören dem Konto. Das bedeutet, dass ein IAM Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
AWS IoT Events unterstützt Servicerollen.
