Claves de condición, recursos y acciones de AWS IoT Things Graph - AWS Identity and Access Management

Si proporcionásemos una traducción de la versión en inglés de la guía, prevalecerá la versión en inglés de la guía si hubiese algún conflicto. La traducción se proporciona mediante traducción automática.

Claves de condición, recursos y acciones de AWS IoT Things Graph

AWS IoT Things Graph (prefijo de servicio: iotthingsgraph) proporciona las siguientes claves de contexto de condición, acciones y recursos específicas del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS IoT Things Graph

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AssociateEntityToThing Asocia un dispositivo con un objeto concreto que se encuentra en el registro del usuario. Los objetos se pueden asociar solo a un tipo de dispositivo a la vez. Si asocia un objeto a un nuevo ID de dispositivo, se eliminará su asociación anterior. Escritura

iot:DescribeThing

iot:DescribeThingGroup

CreateFlowTemplate Crea una plantilla de flujo de trabajo. Los flujos de trabajo se pueden crear solo en el espacio de nombres del usuario. (El espacio de nombres público contiene únicamente las entidades). El flujo de trabajo solo puede contener entidades en el espacio de nombres especificado. El flujo de trabajo se valida frente a las entidades en la versión más reciente del espacio de nombres del usuario a menos que se especifique otra versión del espacio nombres en la solicitud. Escritura
CreateSystemInstance Crea una instancia de un sistema con configuraciones y objetos especificados. Etiquetado

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSystemTemplate Crea un sistema. El sistema se valida frente a las entidades en la versión más reciente del espacio de nombres del usuario a menos que se especifique otra versión del espacio nombres en la solicitud. Escritura
DeleteFlowTemplate Elimina un flujo de trabajo. Cualquier sistema o instancia del sistema nuevo que contenga este flujo de trabajo no se podrá actualizar o implementar. Las instancias del sistema existentes que contienen el flujo de trabajo seguirán ejecutándose (ya que utilizan una instantánea del flujo de trabajo tomado en el momento de implementar la instancia del sistema). Escritura

Workflow*

DeleteNamespace Elimina el espacio de nombres especificado. Esta acción elimina todas las entidades del espacio de nombres. Elimine los sistemas y flujos del espacio de nombres antes de realizar esta acción. Escritura
DeleteSystemInstance Elimina una instancia del sistema. Solo se pueden eliminar las instancias que nunca se han implementado o que se han retirado del destino. Los usuarios pueden crear una nueva instancia del sistema que tenga el mismo ID que una instancia del sistema eliminada. Escritura

SystemInstance*

DeleteSystemTemplate Elimina un sistema. Las nuevas instancias del sistema no pueden contener el sistema después de su eliminación. Las instancias del sistema existentes que contienen el sistema seguirán funcionando porque utilizan una instantánea del sistema que se toma cuando se implementa. Escritura

System*

DeploySystemInstance Implementa la instancia del sistema en el destino especificado en CreateSystemInstance. Escritura

SystemInstance*

DeprecateFlowTemplate Descarta el flujo de trabajo especificado. Esta acción marca el flujo de trabajo para su eliminación. Los flujos obsoletos no se pueden implementar, pero las instancias del sistema existentes que utilizan el flujo seguirán ejecutándose. Escritura

Workflow*

DeprecateSystemTemplate Descarta el sistema especificado. Escritura

System*

DescribeNamespace Obtiene la última versión del espacio de nombres del usuario y la versión pública de la que está realizando el seguimiento. Lectura
DissociateEntityFromThing Disocia una entidad de dispositivo de un objeto concreto. La acción toma solo el tipo de entidad que necesita disociar, ya que solo se puede asociar a un objeto una entidad de un determinado tipo. Escritura

iot:DescribeThing

iot:DescribeThingGroup

GetEntities Obtiene descripciones de las entidades especificadas. Utiliza de forma predeterminada la última versión del espacio de nombres del usuario. Lectura
GetFlowTemplate Obtiene la última versión de DefinitionDocument y FlowTemplateSummary para el flujo de trabajo especificado. Lectura

Workflow*

GetFlowTemplateRevisions Obtiene revisiones del flujo de trabajo especificado. Solo se almacenan las últimas 100 revisiones. Si el flujo de trabajo se ha quedado obsoleto, esta acción devolverá las revisiones que se produjeron antes de la obsolescencia. Esta acción no funcionará para flujos de trabajo que se hayan eliminado. Lectura

Workflow*

GetNamespaceDeletionStatus Obtiene el estado de una tarea de eliminación de espacio de nombres. Lectura
GetSystemInstance Obtiene una instancia del sistema. Lectura

SystemInstance*

GetSystemTemplate Obtiene un sistema. Lectura

System*

GetSystemTemplateRevisions Obtiene las revisiones realizadas en la plantilla de sistema especificada. Solo se almacenan las 100 revisiones anteriores. Si el sistema se ha quedado obsoleto, esta acción devolverá las revisiones que se produjeron antes de su obsolescencia. Esta acción no funcionará con sistemas que se hayan eliminado. Lectura

System*

GetUploadStatus Obtiene el estado de la carga especificada. Lectura
ListFlowExecutionMessages Muestra los detalles de una única ejecución de flujo de trabajo. List
ListTagsForResource Muestra una lista de todas las etiquetas de un recurso determinado. List

SystemInstance

SearchEntities Busca entidades del tipo especificado. Puede buscar entidades en su espacio de nombres y en el espacio de nombres público al que está realizando el seguimiento. Lectura
SearchFlowExecutions Busca ejecuciones de flujo de trabajo de una instancia del sistema Lectura

SystemInstance*

SearchFlowTemplates Busca información resumida sobre los flujos de trabajo. Lectura
SearchSystemInstances Busca instancias del sistema en la cuenta del usuario. Lectura
SearchSystemTemplates Busca información resumida sobre los sistemas de la cuenta del usuario. Puede filtrar por ID de flujo de trabajo para devolver solo los sistemas que utilizan el flujo de trabajo especificado. Lectura
SearchThings Busca objetos asociados a la entidad especificada. Puede buscar por dispositivo y modelo de dispositivo. Lectura
TagResource Etiqueta un recurso específico. Etiquetado

SystemInstance

aws:RequestTag/${TagKey}

aws:TagKeys

UndeploySystemInstance Elimina del destino la instancia del sistema y los disparadores asociados. Escritura

SystemInstance*

UntagResource Elimina la etiqueta de un recurso especificado. Etiquetado

SystemInstance

aws:TagKeys

UpdateFlowTemplate Actualiza el flujo de trabajo especificado. Todos los sistemas implementados e instancias del sistema que utilizan el flujo de trabajo verán los cambios en el flujo cuando se vuelva a implementar. El flujo de trabajo solo puede contener entidades en el espacio de nombres especificado. Escritura

Workflow*

UpdateSystemTemplate Actualiza el sistema especificado. No es necesario ejecutar esta acción después de actualizar un flujo de trabajo. Cualquier instancia del sistema que utilice el sistema verá los cambios en el sistema cuando se vuelva a implementar. Escritura

System*

UploadEntityDefinitions Carga de forma asíncrona una o varias definiciones de entidad en el espacio de nombres del usuario. Escritura

Tipos de recurso definidos por AWS IoT Things Graph

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Actions identifica los tipos de recurso que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso ARN Claves de condición
Workflow arn:${Partition}:iotthingsgraph:${Region}:${Account}:Workflow/${NamespacePath}
System arn:${Partition}:iotthingsgraph:${Region}:${Account}:System/${NamespacePath}
SystemInstance arn:${Partition}:iotthingsgraph:${Region}:${Account}:Deployment/${NamespacePath}

aws:ResourceTag/${TagKey}

Claves de condición de AWS IoT Things Graph

AWS IoT Things Graph define las siguientes claves de condiciones que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles en la Referencia de políticas de IAM.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso por una clave que está presente en la solicitud que el usuario realiza al servicio thingsgraph. Cadena
aws:ResourceTag/${TagKey} Filtra el acceso según un par de clave y valor de etiqueta. Cadena
aws:TagKeys Filtra el acceso por la lista de todos los nombres de clave de etiqueta presentes en la solicitud que el usuario realiza al servicio thingsgraph. Cadena