Acciones, recursos y claves de condición para AWS IoT - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para AWS IoT

AWS IoT Device Tester (prefijo del servicio: iot) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS IoT

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AcceptCertificateTransfer Concede permiso para aceptar una transferencia de certificado pendiente Escritura

cert*

AddThingToBillingGroup Concede permiso para agregar una cosa al grupo de facturación especificado Escritura

billinggroup*

thing*

AddThingToThingGroup Concede permiso para agregar una cosa al grupo de cosas especificado Escritura

thing*

thinggroup*

AssociateTargetsWithJob Concede permiso para asociar un grupo a un trabajo continuo Escritura

job*

thing*

thinggroup*

AttachPolicy Concede permiso para conectar una política al objetivo especificado Permissions management

cert

thinggroup

AttachPrincipalPolicy Concede permiso para adjuntar la política especificada al principal especificado (certificado u otra credencial) Permissions management

cert

AttachSecurityProfile Concede permiso para asociar un perfil de seguridad de Device Defender a un grupo de objetos o a esta cuenta Escritura

securityprofile*

custommetric

dimension

thinggroup

AttachThingPrincipal Concede permiso para adjuntar el principal especificado a la cosa especificada Escritura
CancelAuditMitigationActionsTask Concede permiso para cancelar una tarea de acción de mitigación que está en curso Escritura
CancelAuditTask Concede permiso para cancelar una auditoría en curso. La auditoría se puede programar o puede ser en diferido. Escritura
CancelCertificateTransfer Concede permiso para cancelar una transferencia pendiente para el certificado especificado Escritura

cert*

CancelDetectMitigationActionsTask Concede permiso para cancelar una acción de mitigación Device Defender ML Detect Escritura
CancelJob Concede permiso para cancelar un trabajo Escritura

job*

CancelJobExecution Concede permiso para cancelar la ejecución de un trabajo en un dispositivo determinado Escritura

job*

thing*

ClearDefaultAuthorizer Concede permiso para borrar el autorizador predeterminado Escritura
CloseTunnel Concede permiso para cerrar un túnel Escritura

tunnel*

iot:Delete

ConfirmTopicRuleDestination Concede permiso para confirmar una url http TopicRuleDestinationDestination Escritura

destination*

Connect Concede permiso para conectarse como cliente especificado Escritura

client*

CreateAuditSuppression Concede permiso para crear una supresión de auditoría de Defender dispositivos Escritura
CreateAuthorizer Concede permiso para crear un autorizador Escritura

authorizer*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateBillingGroup Concede permiso para crear un grupo de facturación Escritura

billinggroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCertificateFromCsr Concede permiso para crear un certificado X.509 mediante la solicitud de firma del certificado especificada Escritura
CreateCustomMetric Concede permiso para crear una métrica personalizada para la supervisión y el informe de métricas del lado del dispositivo Escritura

custommetric*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDimension Concede permiso para definir una dimensión que se puede utilizar para limitar el ámbito de una métrica utilizada en un perfil de seguridad Escritura

dimension*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDomainConfiguration Concede permiso para crear una configuración de dominio Escritura

domainconfiguration*

aws:RequestTag/${TagKey}

aws:TagKeys

iot:DomainName

CreateDynamicThingGroup Concede permiso para crear un grupo de cosas dinámicas Write

dynamicthinggroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFleetMetric Concede permiso para crear una métrica de flota Escritura

fleetmetric*

index*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateJob Concede permiso para crear un trabajo. Escritura

job*

thing*

thinggroup*

jobtemplate

aws:RequestTag/${TagKey}

aws:TagKeys

CreateJobTemplate Concede permiso para crear una plantilla de trabajo Escritura

jobtemplate*

job

aws:RequestTag/${TagKey}

aws:TagKeys

CreateKeysAndCertificate Concede permiso para crear un par de claves RSA de 2048 bits y emite un certificado X.509 mediante la clave pública emitida Escritura
CreateMitigationAction Concede permiso para definir una acción que se puede aplicar a los resultados de la auditoría mediante StartAuditMitigationActionsTask Escritura

mitigationaction*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOTAUpdate Concede permiso para crear un trabajo de actualización OTA Escritura

otaupdate*

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePolicy Concede permiso para crear una política de AWS IoT Escritura

policy*

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePolicyVersion Concede permiso para crear una nueva versión de la política de AWS IoT especificada. Escritura

policy*

CreateProvisioningClaim Concede permiso para crear una afirmación de aprovisionamiento Escritura

provisioningtemplate*

CreateProvisioningTemplate Concede permiso para crear una plantilla de aprovisionamiento de flotas Escritura

provisioningtemplate*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateProvisioningTemplateVersion Concede permiso para crear una nueva versión de una plantilla de aprovisionamiento de flotas Escritura

provisioningtemplate*

CreateRoleAlias Concede permiso para crear un alias de roles Escritura

rolealias*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

CreateScheduledAudit Concede permiso para crear una auditoría programada que se ejecute en un intervalo de tiempo especificado Escritura

scheduledaudit*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSecurityProfile Concede permiso para crear un perfil de seguridad de Device Defender Escritura

securityprofile*

custommetric

dimension

aws:RequestTag/${TagKey}

aws:TagKeys

CreateStream Concede permiso para crear una nueva secuencia de AWS IoT. Escritura

stream*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateThing Concede permiso para crear una cosa en el registro de cosas Escritura

thing*

billinggroup

CreateThingGroup Concede permiso para crear un nuevo grupo de objeto Escritura

thinggroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateThingType Concede permiso para crear un nuevo tipo de objeto Escritura

thingtype*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTopicRule Concede permiso para crear una regla Escritura

rule*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateTopicRuleDestination Concede permiso para crear un TopicRuleDestination Escritura

destination*

DeleteAccountAuditConfiguration Concede permiso para eliminar la configuración de auditoría asociada a la cuenta Escritura
DeleteAuditSuppression Concede permiso para eliminar una supresión de auditoría de Defender dispositivos Escritura
DeleteAuthorizer Concede permiso para eliminar el autorizador especificado Escritura

authorizer*

DeleteBillingGroup Concede permiso para eliminar el grupo de facturación especificado Escritura

billinggroup*

DeleteCACertificate Concede permiso para eliminar un certificado de CA registrado Escritura

cacert*

DeleteCertificate Concede permiso para eliminar el certificado especificado. Escritura

cert*

DeleteCustomMetric Concede permiso para eliminar la métrica personalizada especificada de su Cuenta de AWS Escritura

custommetric*

DeleteDimension Concede permiso para eliminar la dimensión especificada de su Cuenta de AWS Escritura

dimension*

DeleteDomainConfiguration Concede permiso para eliminar un dominio de configuración Escritura

domainconfiguration*

DeleteDynamicThingGroup Concede permiso para eliminar el grupo de cosas dinámicas especificado Write

dynamicthinggroup*

DeleteFleetMetric Concede permiso para eliminar la métrica de flota especificada. Escritura

fleetmetric*

DeleteJob Concede permiso para eliminar un trabajo y sus ejecuciones de trabajo relacionadas Escritura

job*

DeleteJobExecution Concede permiso para eliminar una ejecución de trabajo Escritura

job*

thing*

DeleteJobTemplate Concede permiso para eliminar una plantilla de trabajo Escritura

jobtemplate*

DeleteMitigationAction Concede permiso para eliminar una acción de mitigación definida de su Cuenta de AWS Escritura

mitigationaction*

DeleteOTAUpdate Concede permiso para eliminar un trabajo de actualización OTA Escritura

otaupdate*

DeletePolicy Concede permiso para eliminar la política especificada Escritura

policy*

DeletePolicyVersion Concede permiso para eliminar la versión especificada de la política especificada Escritura

policy*

DeleteProvisioningTemplate Concede permiso para eliminar una plantilla de aprovisionamiento de flotas Escritura

provisioningtemplate*

DeleteProvisioningTemplateVersion Concede permiso para eliminar una versión de plantilla de aprovisionamiento de flotas Escritura

provisioningtemplate*

DeleteRegistrationCode Concede permiso para eliminar un código de registro de certificado de entidad de certificación Escritura
DeleteRoleAlias Concede permiso para eliminar el alias de rol especificado Escritura

rolealias*

DeleteScheduledAudit Concede permiso para eliminar una auditoría programada Escritura

scheduledaudit*

DeleteSecurityProfile Concede permiso para eliminar un perfil de seguridad de Defensor de dispositivos Escritura

securityprofile*

custommetric

dimension

DeleteStream Concede permiso para eliminar un flujo específico Escritura

stream*

DeleteThing Concede permiso para eliminar el objeto especificado Escritura

thing*

DeleteThingGroup Concede permiso para eliminar el grupo de objeto especificado Escritura

thinggroup*

DeleteThingShadow Concede permiso para eliminar la sombra de objeto especificado Escritura

thing*

DeleteThingType Concede permiso para eliminar el tipo de objeto especificado Escritura

thingtype*

DeleteTopicRule Concede permiso para eliminar la regla especificada Escritura

rule*

DeleteTopicRuleDestination Concede permiso para eliminar un TopicRuleDestination Escritura

destination*

DeleteV2LoggingLevel Concede permiso para eliminar el nivel de registro v2 especificado Escritura
DeprecateThingType Concede permiso para obsoleto el tipo de objeto especificado Escritura

thingtype*

DescribeAccountAuditConfiguration Concede permiso para obtener información acerca de las configuraciones de auditoría de la cuenta. Lectura
DescribeAuditFinding Concede permiso para obtener información acerca de un descubrimiento de auditoría simple. Las propiedades incluyen el motivo del incumplimiento, la severidad del problema y el momento en que se inició la auditoría que devolvió el resultado Lectura
DescribeAuditMitigationActionsTask Concede permiso para obtener información acerca de una tarea de mitigación de auditoría que se utiliza para aplicar acciones de mitigación a un conjunto de resultados de auditoría Lectura
DescribeAuditSuppression Concede permiso para obtener información sobre una supresión de auditoría de Device Defender Lectura
DescribeAuditTask Concede permiso para obtener información sobre una auditoría de Device Defender Lectura
DescribeAuthorizer Concede permiso para describir un autorizador Lectura

authorizer*

DescribeBillingGroup Concede permiso para obtener información acerca del grupo de facturación especificado Lectura

billinggroup*

DescribeCACertificate Concede permiso para describir un certificado de entidad de certificación registrado Lectura

cacert*

DescribeCertificate Concede permiso para obtener información acerca del certificado especificado Lectura

cert*

DescribeCustomMetric Concede permiso para describir una métrica personalizada definida en su Cuenta de AWS Lectura

custommetric*

DescribeDefaultAuthorizer Concede permiso para describir el autorizador predeterminado Lectura
DescribeDetectMitigationActionsTask Concede permiso para describir una acción de mitigación de Device Defender ML Detect Lectura
DescribeDimension Concede permiso para obtener detalles sobre una dimensión definida en su Cuenta de AWS Lectura

dimension*

DescribeDomainConfiguration Concede permiso para obtener información sobre el dominio de configuración Lectura

domainconfiguration*

DescribeEndpoint Concede permiso para obtener un punto de enlace único específico para la Cuenta de AWS que realiza la llamada Lectura
DescribeEventConfigurations Concede permiso para obtener configuraciones de eventos de cuenta Lectura
DescribeFleetMetric Concede permiso para obtener información acerca de la flota de métrica especificada Lectura

fleetmetric*

DescribeIndex Concede permiso para obtener información acerca del índice especificado Lectura

index*

DescribeJob Concede permiso para describir un trabajo Lectura

job*

DescribeJobExecution Concede permiso para describir una ejecución de trabajo Lectura

job

thing

DescribeJobTemplate Concede permiso para describir una plantilla de trabajo Lectura

jobtemplate*

DescribeManagedJobTemplate Concede permiso para administrar una plantilla de trabajo. Lectura

jobtemplate*

DescribeMitigationAction Concede permiso para obtener información sobre una acción de mitigación Lectura

mitigationaction*

DescribeProvisioningTemplate Concede permiso para obtener información sobre una plantilla de aprovisionamiento de flotas Lectura

provisioningtemplate*

DescribeProvisioningTemplateVersion Concede permiso para obtener información sobre una versión de plantilla de aprovisionamiento de flotas Lectura

provisioningtemplate*

DescribeRoleAlias Concede permiso para describir un alias de roles Lectura

rolealias*

DescribeScheduledAudit Concede permiso para obtener información sobre una auditoría programada Lectura

scheduledaudit*

DescribeSecurityProfile Concede permiso para obtener información sobre un perfil de seguridad de Device Defender Lectura

securityprofile*

DescribeStream Concede permiso para obtener información acerca del flujo especificado Lectura

stream*

DescribeThing Concede permiso para obtener información acerca del Outpost especificado Lectura

thing*

DescribeThingGroup Concede permiso para obtener información acerca del grupo de objeto especificado Lectura

thinggroup*

DescribeThingRegistrationTask Concede permiso para obtener información sobre la tarea de registro de cosas masivas Lectura
DescribeThingType Concede permiso para obtener información acerca del tipo de objeto especificado Lectura

thingtype*

DescribeTunnel Concede el permiso para describir un túnel Lectura

tunnel*

DetachPolicy Concede permiso para desconectar una política administrada del objetivo especificado Permissions management

cert

thinggroup

DetachPrincipalPolicy Concede el permiso para quitar la política especificada del certificado especificado Permissions management

cert

DetachSecurityProfile Concede permiso para disociar un perfil de seguridad de Device Defender de un grupo de objetos o de esta cuenta Escritura

securityprofile*

custommetric

dimension

thinggroup

DetachThingPrincipal Concede permiso para desconectar la entidad principal especificada de la cosa especificada Escritura
DisableTopicRule Concede permiso para desactivar la regla especificada Escritura

rule*

EnableTopicRule Concede permiso para habilitar la regla especificada Escritura

rule*

GetBehaviorModelTrainingSummaries Concede permiso para obtener el estado del modelo de capacitación del perfil de seguridad para la detección de ML de Device Defender List

securityprofile

GetBucketsAggregation Concede permiso para obtener agregación de cubos para el índice de flota de IoT Read

index*

GetCardinality Concede permiso para obtener cardinalidad para el índice de flota de IoT Lectura

index*

GetEffectivePolicies Concede permiso para obtener políticas efectivas Lectura

cert

GetIndexingConfiguration Concede permiso para obtener la configuración actual de indexación de flotas Lectura
GetJobDocument Concede permiso para obtener un documento de trabajo Lectura

job*

GetLoggingOptions Concede permiso para obtener las opciones de registro Lectura
GetOTAUpdate Concede permiso para obtener la información sobre el trabajo de actualización OTA Lectura

otaupdate*

GetPercentiles Concede permiso para obtener percentiles para el índice de flota de IoT Lectura

index*

GetPolicy Concede permiso para obtener información acerca de la política especificada con el documento de políticas de la versión predeterminada Lectura

policy*

GetPolicyVersion Concede permiso para obtener información acerca de la versión de política especificada Lectura

policy*

GetRegistrationCode Concede permiso para obtener un código de registro utilizado para registrar un certificado de entidad de certificación con AWS IoT. Lectura
GetRetainedMessage Concede permiso para obtener el mensaje retenido sobre el tema especificado Lectura

topic*

GetStatistics Concede permiso para obtener estadísticas para el índice de flota de IoT Lectura

index*

GetThingShadow Concede permiso para obtener la sombra de objeto Lectura

thing*

GetTopicRule Concede permiso para obtener información acerca de la regla especificada Lectura

rule*

GetTopicRuleDestination Concede permiso para obtener un TopicRuleDestination Lectura

destination*

GetV2LoggingOptions Concede permiso para obtener opciones de registro v2 Lectura
ListActiveViolations Concede permiso para realizar una lista de las vulneraciones activas de un perfil de seguridad u objeto determinados de Device Defender List

securityprofile

thing

ListAttachedPolicies Concede permiso para enumerar las políticas adjuntas al grupo de objetos especificado. List
ListAuditFindings Concede permiso para realizar una lista de los hallazgos (resultados) de una auditoría de Device Defender o de las auditorías realizadas durante un periodo de tiempo especificado List
ListAuditMitigationActionsExecutions Concede permiso para obtener el estado de las tareas de acción de mitigación de auditoría que se ejecutaron List
ListAuditMitigationActionsTasks Concede permiso para obtener una lista de tareas de acciones de mitigación de auditoría que coinciden con los filtros especificados List
ListAuditSuppressions Concede permiso para enumerar las supresoras de auditoría de Device Defender List
ListAuditTasks Concede permiso para realizar una lista de las auditorías de Device Defender que se han realizado durante un periodo de tiempo determinado List
ListAuthorizers Concede permiso para publicar los autorizadores registrados en su cuenta List
ListBillingGroups Concede permiso para enumerar todos los grupos de facturación List
ListCACertificates Concede permiso para publicar los certificados de entidad de certificación registrados para su Cuenta de AWS List
ListCertificates Concede permiso para enumerar sus certificados List
ListCertificatesByCA Concede permiso para realizar una lista de los certificados de dispositivo firmados por el certificado de entidad de certificación especificado. List
ListCustomMetrics Concede permiso para enumerar las métricas personalizadas en su Cuenta de AWS List
ListDetectMitigationActionsExecutions Concede permiso para enumerar las ejecuciones de acciones de mitigación para un perfil de seguridad para la detección de ML de Device Defender List

thing

ListDetectMitigationActionsTasks Concede permiso para enumerar las tareas de acción de mitigación para la detección de ML de Device Defender List
ListDimensions Concede permiso para enumerar las dimensiones definidas para su Cuenta de AWS List
ListDomainConfigurations Concede permiso para enumerar la configuración de dominio creada por su Cuenta de AWS List
ListFleetMetrics Concede permiso para enumerar las métricas de flota en su cuenta List
ListIndices Concede permiso para enumerar todos los índices para el índice de flota List
ListJobExecutionsForJob Concede permiso para enumerar las ejecuciones de trabajo de un trabajo List

job*

ListJobExecutionsForThing Concede permiso para enumerar las ejecuciones de trabajos para el objeto especificado List

thing*

ListJobTemplates Concede permiso para enumerar las plantillas de trabajo List
ListJobs Concede permiso para realizar una lista de trabajos List
ListManagedJobTemplates Concede permiso para enumerar las plantillas de trabajo administradas. List
ListMetricValues Agrega compatibilidad para enumerar puntos de datos de métricas recopilados para dispositivos IoT List

thing*

ListMitigationActions Concede permiso para obtener una lista de todas las acciones de mitigación que coinciden con los criterios de filtro especificados List
ListNamedShadowsForThing Concede permiso para enumerar todas las sombras con nombre asignado para un objeto determinado List

thing*

ListOTAUpdates Concede permiso para enumerar los trabajos de actualización OTA en la cuenta List
ListOutgoingCertificates Concede permiso para enumerar los certificados que se están transfiriendo pero que aún no se aceptan List
ListPolicies Concede permiso para enumerar sus políticas List
ListPolicyPrincipals Concede permiso para enumerar los principios asociados a la política especificada List
ListPolicyVersions Concede permiso para enumerar las versiones de la política especificada e identifica la versión predeterminada List

policy*

ListPrincipalPolicies Concede permiso para enumerar las directivas adjuntas a la entidad especificada. Si utiliza una identidad de Amazon Cognito, el ID debe estar en formato de identidad de Amazon Cognito List
ListPrincipalThings Concede permiso para enumerar los objetos asociados a la principal especificada List
ListProvisioningTemplateVersions Concede permiso para obtener una lista de versiones de plantilla de aprovisionamiento de flotas List

provisioningtemplate*

ListProvisioningTemplates Concede permiso para enumerar las plantillas de aprovisionamiento de flotas en su Cuenta de AWS List
ListRetainedMessages Concede permiso para enumerar los mensajes retenidos para su cuenta List
ListRoleAliases Concede permiso para enumerar alias de rol List
ListScheduledAudits Concede permiso para enumerar todas las auditorías programadas List
ListSecurityProfiles Concede permiso para enumerar los perfiles de seguridad de Device Defender que ha creado List

custommetric

dimension

ListSecurityProfilesForTarget Concede permiso para realizar una lista de los perfiles de seguridad de Device Defender que se han asociado a un destino List

thinggroup

ListStreams Concede permiso para enumerar los flujos en la cuenta List
ListTagsForResource Concede permiso para mostrar todas las etiquetas de un recurso determinado Lectura

authorizer

billinggroup

cacert

custommetric

dimension

domainconfiguration

dynamicthinggroup

fleetmetric

job

jobtemplate

mitigationaction

otaupdate

policy

provisioningtemplate

rolealias

rule

scheduledaudit

securityprofile

stream

thinggroup

thingtype

ListTargetsForPolicy Concede permiso para enumerar los objetivos de la política especificada List

policy*

ListTargetsForSecurityProfile Concede permiso para realizar una lista de los destinos asociados a un perfil de seguridad de Device Defender determinado List

securityprofile*

ListThingGroups Concede permiso para enumerar todos los grupos de objetos List
ListThingGroupsForThing Concede permiso para realizar una lista de los grupos de objetos a los que pertenece el objeto especificado List

thing*

ListThingPrincipals Concede permiso para enumerar los principales asociados al objeto especificado List
ListThingRegistrationTaskReports Concede permiso para mostrar información sobre las tareas de registro de objetos masivos List
ListThingRegistrationTasks Concede permiso para enumerar tareas de registro de objetos masivos List
ListThingTypes Concede permiso para enumerar todos los tipos de objetos List
ListThings Concede permiso para enumerar todos los objetos List
ListThingsInBillingGroup Concede permiso para enumerar todas las cosas del grupo de facturación especificado List

billinggroup*

ListThingsInThingGroup Concede permiso para enumerar todas las cosas del grupo de cosas especificado List

thinggroup*

ListTopicRuleDestinations Concede permiso para enumerar todos los TopicRuleDestinations List
ListTopicRules Concede permiso para enumerar las reglas del tema específico List
ListTunnels Concede permiso para enumerar los túneles List
ListV2LoggingLevels Concede permiso para enumerar los niveles de registro v2 List
ListViolationEvents Concede permiso para realizar una lista de las vulneraciones del perfil de seguridad de Device Defender descubiertas durante el periodo de tiempo determinado List

securityprofile

thing

OpenTunnel Concede permiso para abrir un túnel Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

iot:ThingGroupArn

iot:TunnelDestinationService

Publish Concede permiso para publicar en el tema especificado Escritura

topic*

PutVerificationStateOnViolation Concede permiso para definir el estado de verificación en una infracción Escritura
Receive Concede permiso para recibir desde el tema especificado Escritura

topic*

RegisterCACertificate Concede permiso para registrar un certificado de entidad de certificación por medio de AWS IoT Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

iam:PassRole

RegisterCertificate Concede permiso para registrar un certificado de dispositivo por medio de AWS IoT Escritura
RegisterCertificateWithoutCA Concede permiso para registrar un certificado de dispositivo a través de AWS IoT sin una entidad de certificación Escritura
RegisterThing Concede permiso para registrar su objeto Escritura
RejectCertificateTransfer Concede permiso para rechazar una transferencia de certificado pendiente Escritura

cert*

RemoveThingFromBillingGroup Concede permiso para eliminar cosas del grupo de facturación especificado Escritura

billinggroup*

thing*

RemoveThingFromThingGroup Concede permiso para eliminar los objetos del grupo de objetos especificado Escritura

thing*

thinggroup*

ReplaceTopicRule Concede permiso para reemplazar la regla especificada Escritura

rule*

RetainPublish Concede permiso para publicar un mensaje retenido en el tema especificado Escritura

topic*

RotateTunnelAccessToken Concede permiso para rotar el token de acceso de un túnel Escritura

tunnel*

iot:ThingGroupArn

iot:TunnelDestinationService

iot:ClientMode

SearchIndex Concede permiso para buscar índice de flota de IoT Read

index*

SetDefaultAuthorizer Concede permiso para establecer el autorizador predeterminado. Esto se utilizará si se realiza una conexión websocket sin especificar un autorizador Permissions management

authorizer*

SetDefaultPolicyVersion Concede permiso para establecer la versión especificada de la política especificada como la versión predeterminada (operativa) de la política. Permissions management

policy*

SetLoggingOptions Concede permiso para establecer las opciones de registro Escritura
SetV2LoggingLevel Concede permiso para establecer el nivel de registro v2 Escritura
SetV2LoggingOptions Concede permiso para establecer las opciones de registro v2 Escritura
StartAuditMitigationActionsTask Concede permiso para comenzar una tarea que aplica un conjunto de acciones de mitigación al destino especificado Escritura
StartDetectMitigationActionsTask Concede permiso para iniciar una tarea de acciones de mitigación para la detección de ML de Device Defender Escritura

securityprofile

StartOnDemandAuditTask Concede permiso para iniciar una auditoría de Device Defender en diferido Escritura
StartThingRegistrationTask Concede permiso para iniciar una tarea de registro de cosas masivas Escritura
StopThingRegistrationTask Concede permiso para detener una tarea de registro de cosas masivas Escritura
Subscribe Concede permiso para suscribirse al TopicFilter especificado Escritura

topicfilter*

TagResource Concede permiso para etiquetar un recurso especificado Etiquetado

authorizer

billinggroup

cacert

custommetric

dimension

domainconfiguration

dynamicthinggroup

fleetmetric

job

jobtemplate

mitigationaction

otaupdate

policy

provisioningtemplate

rolealias

rule

scheduledaudit

securityprofile

stream

thinggroup

thingtype

aws:RequestTag/${TagKey}

aws:TagKeys

TestAuthorization Concede permiso para probar la evaluación de políticas de las directivas de grupo Lectura

cert

TestInvokeAuthorizer Concede permiso para probar invocar el autorizador personalizado especificado con fines de prueba Lectura

authorizer*

TransferCertificate Concede permiso para transferir el certificado especificado a la especificada Cuenta de AWS Escritura

cert*

UntagResource Concede permiso para quitar las etiquetas del recurso especificado Etiquetado

authorizer

billinggroup

cacert

custommetric

dimension

domainconfiguration

dynamicthinggroup

fleetmetric

job

jobtemplate

mitigationaction

otaupdate

policy

provisioningtemplate

rolealias

rule

scheduledaudit

securityprofile

stream

thinggroup

thingtype

aws:TagKeys

UpdateAccountAuditConfiguration Concede permiso para configurar o reconfigurar las opciones de auditoría de Device Defender para su cuenta Escritura
UpdateAuditSuppression Concede permiso para actualizar una supresión de auditoría de Device Defender Escritura
UpdateAuthorizer Concede permiso para actualizar un autorizador Escritura

authorizer*

UpdateBillingGroup Concede permiso para actualizar la información asociada al grupo de facturación especificado Escritura

billinggroup*

UpdateCACertificate Concede permiso para actualizar un certificado de entidad de certificación registrado Escritura

cacert*

iam:PassRole

UpdateCertificate Concede permiso para actualizar el estado del certificado especificado. Esta operación es idempotencia Escritura

cert*

UpdateCustomMetric Concede permiso para actualizar la métrica personalizada especificada Escritura

custommetric*

UpdateDimension Concede permiso para actualizar la definición de una dimensión Escritura

dimension*

UpdateDomainConfiguration Concede permiso para actualizar una configuración de dominio Escritura

domainconfiguration*

UpdateDynamicThingGroup Concede permiso para actualizar un grupo de cosas dinámicas Escritura

dynamicthinggroup*

UpdateEventConfigurations Concede permiso para actualizar una configuración de evento Escritura
UpdateFleetMetric Concede permiso para actualizar una métrica de flota Write

fleetmetric*

index*

UpdateIndexingConfiguration Concede permiso para actualizar la configuración de indexación de flotas Escritura
UpdateJob Concede permiso para actualizar un trabajo. Escritura

job*

UpdateMitigationAction Concede permiso para actualizar la definición de la acción de mitigación especificada Escritura

mitigationaction*

UpdateProvisioningTemplate Concede permiso para actualizar una plantilla de aprovisionamiento de flotas Escritura

provisioningtemplate*

iam:PassRole

UpdateRoleAlias Concede permiso para actualizar el alias de rol Escritura

rolealias*

iam:PassRole

UpdateScheduledAudit Concede permiso para actualizar una auditoría programada, que incluye los controles que se realizan y con qué frecuencia se lleva a cabo la auditoría Escritura

scheduledaudit*

UpdateSecurityProfile Concede permiso para actualizar un perfil de seguridad de Device Defender Escritura

securityprofile*

custommetric

dimension

UpdateStream Concede permiso para actualizar los datos de un flujo Escritura

stream*

UpdateThing Concede permiso para actualizar la información asociada a la cosa especificada Escritura

thing*

UpdateThingGroup Concede permiso para actualizar la información asociada con el grupo de objetos especificado Escritura

thinggroup*

UpdateThingGroupsForThing Concede permiso para actualizar los grupos de cosas a los que pertenece al objeto Escritura

thing*

thinggroup

UpdateThingShadow Concede permiso para actualizar la sombra del objeto Escritura

thing*

UpdateTopicRuleDestination Concede permiso para actualizar un TopicRuleDestination Escritura

destination*

ValidateSecurityProfileBehaviors Concede permiso para validar una especificación de comportamiento de perfil de seguridad de Device Defender Lectura

Tipos de recursos definidos por AWS IoT

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
client arn:${Partition}:iot:${Region}:${Account}:client/${ClientId}
index arn:${Partition}:iot:${Region}:${Account}:index/${IndexName}
fleetmetric arn:${Partition}:iot:${Region}:${Account}:fleetmetric/${FleetMetricName}

aws:ResourceTag/${TagKey}

job arn:${Partition}:iot:${Region}:${Account}:job/${JobId}

aws:ResourceTag/${TagKey}

jobtemplate arn:${Partition}:iot:${Region}:${Account}:jobtemplate/${JobTemplateId}

aws:ResourceTag/${TagKey}

tunnel arn:${Partition}:iot:${Region}:${Account}:tunnel/${TunnelId}

aws:ResourceTag/${TagKey}

thing arn:${Partition}:iot:${Region}:${Account}:thing/${ThingName}
thinggroup arn:${Partition}:iot:${Region}:${Account}:thinggroup/${ThingGroupName}

aws:ResourceTag/${TagKey}

billinggroup arn:${Partition}:iot:${Region}:${Account}:billinggroup/${BillingGroupName}

aws:ResourceTag/${TagKey}

dynamicthinggroup arn:${Partition}:iot:${Region}:${Account}:thinggroup/${ThingGroupName}

aws:ResourceTag/${TagKey}

thingtype arn:${Partition}:iot:${Region}:${Account}:thingtype/${ThingTypeName}

aws:ResourceTag/${TagKey}

topic arn:${Partition}:iot:${Region}:${Account}:topic/${TopicName}
topicfilter arn:${Partition}:iot:${Region}:${Account}:topicfilter/${TopicFilter}
rolealias arn:${Partition}:iot:${Region}:${Account}:rolealias/${RoleAlias}

aws:ResourceTag/${TagKey}

authorizer arn:${Partition}:iot:${Region}:${Account}:authorizer/${AuthorizerName}

aws:ResourceTag/${TagKey}

policy arn:${Partition}:iot:${Region}:${Account}:policy/${PolicyName}

aws:ResourceTag/${TagKey}

cert arn:${Partition}:iot:${Region}:${Account}:cert/${Certificate}
cacert arn:${Partition}:iot:${Region}:${Account}:cacert/${CACertificate}

aws:ResourceTag/${TagKey}

stream arn:${Partition}:iot:${Region}:${Account}:stream/${StreamId}

aws:ResourceTag/${TagKey}

otaupdate arn:${Partition}:iot:${Region}:${Account}:otaupdate/${OtaUpdateId}

aws:ResourceTag/${TagKey}

scheduledaudit arn:${Partition}:iot:${Region}:${Account}:scheduledaudit/${ScheduleName}

aws:ResourceTag/${TagKey}

mitigationaction arn:${Partition}:iot:${Region}:${Account}:mitigationaction/${MitigationActionName}

aws:ResourceTag/${TagKey}

securityprofile arn:${Partition}:iot:${Region}:${Account}:securityprofile/${SecurityProfileName}

aws:ResourceTag/${TagKey}

custommetric arn:${Partition}:iot:${Region}:${Account}:custommetric/${MetricName}

aws:ResourceTag/${TagKey}

dimension arn:${Partition}:iot:${Region}:${Account}:dimension/${DimensionName}

aws:ResourceTag/${TagKey}

rule arn:${Partition}:iot:${Region}:${Account}:rule/${RuleName}

aws:ResourceTag/${TagKey}

destination arn:${Partition}:iot:${Region}:${Account}:destination/${DestinationType}/${Uuid}
provisioningtemplate arn:${Partition}:iot:${Region}:${Account}:provisioningtemplate/${ProvisioningTemplate}

aws:ResourceTag/${TagKey}

domainconfiguration arn:${Partition}:iot:${Region}:${Account}:domainconfiguration/${DomainConfigurationName}/${Id}

aws:ResourceTag/${TagKey}

Claves de condición para AWS IoT

AWS IoT define las siguientes claves de condición que pueden utilizarse en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso por una clave de etiqueta que está presente en la solicitud Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por un componente clave de etiqueta de una etiqueta asociada al recurso de IoT en la solicitud Cadena
aws:TagKeys Filtra el acceso mediante una lista de claves de etiqueta asociadas al recurso IoT en la solicitud ArrayOfString
iot:ClientMode Filtra el acceso por el modo del cliente para el túnel IoT Cadena
iot:Delete Filtra el acceso mediante un indicador que indica si se debe eliminar o no un túnel de IoT inmediatamente al realizar IoT: solicitud CloseTunnel Bool
iot:DomainName Filtra el acceso en función del nombre de dominio de una configuración de dominio de IoT Cadena
iot:ThingGroupArn Filtra el acceso en función de la lista de todos los ARN de IoT Thing Group a los que pertenece el IoT Thing de destino para un túnel IoT ArrayOfString
iot:TunnelDestinationService Filtra el acceso por una lista de servicios de destino para un túnel de IoT ArrayOfString