Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS IoT SiteWise políticas basadas en la identidad
Las políticas de IAM le permiten controlar quién puede hacer qué en cada lugar. AWS IoT SiteWise Puede decidir qué acciones están permitidas o no y establecer condiciones específicas para estas acciones. Por ejemplo, puede establecer reglas sobre quién puede ver o cambiar la información AWS IoT SiteWise. AWS IoT SiteWise admite acciones, recursos y claves de condición específicos. Para obtener más información acerca de los elementos que utiliza en una política de JSON, consulte Referencia de los elementos de las políticas de JSON de IAM en la Guía del usuario de IAM.
Acciones de políticas
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.
El elemento Action de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Las acciones políticas suelen tener el mismo nombre que la operación de AWS API asociada. Hay algunas excepciones, como acciones de solo permiso que no tienen una operación de API coincidente. También hay algunas operaciones que requieren varias acciones en una política. Estas acciones adicionales se denominan acciones dependientes.
Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones políticas AWS IoT SiteWise utilizan el siguiente prefijo antes de la acción:iotsitewise:. Por ejemplo, para conceder a alguien permiso para cargar datos de propiedades de activos AWS IoT SiteWise con la operación de la BatchPutAssetPropertyValue API, debes incluir la iotsitewise:BatchPutAssetPropertyValue acción en su política. Las declaraciones de política deben incluir un NotAction elemento Action o. AWS IoT SiteWise define su propio conjunto de acciones que describen las tareas que puede realizar con este servicio.
Para especificar varias acciones de en una única instrucción, sepárelas con comas del siguiente modo.
"Action": [ "iotsitewise:action1", "iotsitewise:action2" ]
Puede utilizar caracteres comodín (*) para especificar varias acciones . Por ejemplo, para especificar todas las acciones que comiencen con la palabra Describe, incluya la siguiente acción.
"Action": "iotsitewise:Describe*"
Para ver una lista de AWS IoT SiteWise acciones, consulte las acciones definidas por AWS IoT SiteWise en la Guía del usuario de IAM.
BatchPutAssetPropertyValue autorización
AWS IoT SiteWise autoriza el acceso a la BatchPutAssetPropertyValueacción de una manera inusual. En la mayoría de las acciones, al permitir o denegar el acceso, esa acción devuelve un error si no se conceden los permisos. Con BatchPutAssetPropertyValue ella, puedes enviar varias entradas de datos a diferentes activos y propiedades de activos en una sola solicitud de API. AWS IoT SiteWise
autoriza cada entrada de datos de forma independiente. Para cualquier entrada individual que no supere la autorización de la solicitud, AWS IoT SiteWise incluye un error AccessDeniedException en la lista de errores devuelta. AWS IoT SiteWise recibe los datos de cualquier entrada que autorice y sea correcta, incluso si otra entrada de la misma solicitud no es válida.
importante
Antes de incorporar datos a un flujo de datos, haga lo siguiente:
-
Autorice el
time-seriesrecurso si utiliza un alias de propiedad para identificar el flujo de datos. -
Autorice el
assetrecurso si utiliza un identificador de activo para identificar el activo que contiene la propiedad del activo asociada.
Recursos de políticas
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.
El elemento Resource de la política JSON especifica el objeto u objetos a los que se aplica la acción. Las instrucciones deben contener un elemento Resource o NotResource. Como práctica recomendada, especifique un recurso utilizando el Nombre de recurso de Amazon (ARN). Puede hacerlo para acciones que admitan un tipo de recurso específico, conocido como permisos de nivel de recurso.
Para las acciones que no admiten permisos de nivel de recurso, como las operaciones de descripción, utilice un carácter comodín (*) para indicar que la instrucción se aplica a todos los recursos.
"Resource": "*"
Cada instrucción de política de IAM se aplica a los recursos especificados utilizando sus ARN. Un ARN tiene la siguiente sintaxis general.
arn:${Partition}:${Service}:${Region}:${Account}:${ResourceType}/${ResourcePath}
Para obtener más información sobre el formato de los ARN, consulte Nombres de recursos de Amazon (ARN) y espacios de nombres de AWS servicios.
Por ejemplo, para especificar el activo con el ID a1b2c3d4-5678-90ab-cdef-22222EXAMPLE en la instrucción, utilice el siguiente ARN.
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE"
Para especificar todos los flujos de datos que pertenecen a una cuenta específica, utilice el carácter comodín (*):
"Resource": "arn:aws:iotsitewise:region:123456789012:time-series/*"
Para especificar todos los activos que pertenecen a una cuenta específica, utilice el carácter comodín (*):
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/*"
Algunas AWS IoT SiteWise acciones, como las de creación de recursos, no se pueden realizar en un recurso específico. En dichos casos, debe utilizar el carácter comodín (*).
"Resource": "*"
Para especificar varios recursos en una única instrucción, separe los ARN con comas.
"Resource": [ "resource1", "resource2" ]
Para ver una lista de los tipos de AWS IoT SiteWise recursos y sus ARN, consulte los recursos definidos por AWS IoT SiteWise en la Guía del usuario de IAM. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte Acciones definidas por AWS IoT SiteWise.
Claves de condición de política
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.
El elemento Condition (o bloque de Condition) permite especificar condiciones en las que entra en vigor una instrucción. El elemento Condition es opcional. Puede crear expresiones condicionales que utilicen operadores de condición, tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud.
Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento de Condition, AWS las evalúa mediante una operación AND lógica. Si especifica varios valores para una única clave de condición, AWS evalúa la condición mediante una OR operación lógica. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.
También puede utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puede conceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombre de usuario de IAM. Para más información, consulte Elementos de la política de IAM: variables y etiquetas en la Guía del usuario de IAM.
AWS admite claves de condición globales y claves de condición específicas del servicio. Para ver todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Guía del usuario de IAM.
importante
Muchas claves de condición son específicas de un recurso y algunas acciones de API utilizan varios recursos. Si escribe una instrucción de política con una clave de condición, use el elemento Resource de la instrucción para especificar el recurso en el que se aplica la clave de condición. Si no lo hace, la política puede impedir que los usuarios ejecuten la acción, ya que la comprobación de la condición dará un error en el caso de los recursos en los que la clave de la condición no se aplica. Si no quiere especificar un recurso o si ha escrito el elemento Action de la política para que contenga varias acciones de API, debe utilizar el tipo de condición ...IfExists para asegurarse de que no se tenga en cuenta la clave de condición en el caso de los recursos que no la utilicen. Para obtener más información, consulte... IfExists condiciones de la Guía del usuario de IAM.
AWS IoT SiteWise define su propio conjunto de claves de condición y también admite el uso de algunas claves de condición globales. Para ver todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Guía del usuario de IAM.
AWS IoT SiteWise claves de condición | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Clave de condición | Descripción | Tipos | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:isAssociatedWithAssetProperty |
Si los flujos de datos están asociados a una propiedad de activo. Utilice esta clave de condición para definir permisos basados en la existencia de una propiedad de activo asociada para flujos de datos. Ejemplo de valor: |
Cadena | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:assetHierarchyPath |
Ruta de la jerarquía del activo, que es una cadena de ID de activos separados cada uno por una barra inclinada. Utilice esta clave de condición para definir permisos basados en un subconjunto de la jerarquía de todos los activos de la cuenta. Ejemplo de valor: |
Cadena | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:propertyId |
ID de una propiedad de activo. Utilice esta clave de condición para definir permisos basados en una propiedad especifica de un modelo de activos. Esta clave de condición se aplica a todos los activos de ese modelo. Ejemplo de valor: |
Cadena | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:childAssetId |
ID de un activo asociado como secundario a otro activo. Utilice esta clave de condición para definir permisos basados en activos secundarios. Para definir permisos basados en activos principales, utilice la sección de activos de una instrucción de política. Ejemplo de valor: |
Cadena | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:iam |
El ARN de una identidad de IAM al enumerar las políticas de acceso. Utilice esta clave de condición para definir permisos de política de acceso para una identidad de IAM. Ejemplo de valor: |
Cadena, null | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:propertyAlias |
El alias que identifica una propiedad de activo o un flujo de datos. Utilice esta clave de condición para definir permisos basados en el alias. |
Cadena | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:user |
El ID de un usuario del Centro de identidades de IAM al enumerar las políticas de acceso. Utilice esta clave de condición para definir los permisos de la política de acceso para un usuario del Centro de identidades de IAM. Ejemplo de valor: |
Cadena, null | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:group |
El ID de un grupo del Centro de identidades de IAM al enumerar las políticas de acceso. Utilice esta clave de condición para definir los permisos de la política de acceso para un grupo del Centro de identidades de IAM. Ejemplo de valor: |
Cadena, null | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:portal |
ID de un portal en una política de acceso. Utilice esta clave de condición para definir permisos de política de acceso basados en un portal. Ejemplo de valor: |
Cadena, null | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
iotsitewise:project |
ID de un proyecto en una política de acceso o el ID de un proyecto para un panel. Utilice esta clave de condición para definir permisos de panel o política de acceso basados en un proyecto. Ejemplo de valor: |
Cadena, null | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Para saber con qué acciones y recursos puede utilizar una clave condicionada, consulte Acciones definidas por AWS IoT SiteWise.
Ejemplos
Para ver ejemplos de políticas AWS IoT SiteWise basadas en la identidad, consulte. AWS IoT SiteWise ejemplos de políticas basadas en la identidad
