Acciones, recursos y claves de condición para AWS IoT Things Graph - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para AWS IoT Things Graph

AWS IoT Things Graph (prefijo de servicio: iotthingsgraph) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para usarse en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS IoT Things Graph

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AssociateEntityToThing Asocia un dispositivo con un objeto concreto que se encuentra en el registro del usuario. Los objetos se pueden asociar solo a un tipo de dispositivo a la vez. Si asocia un objeto a un nuevo ID de dispositivo, se eliminará su asociación anterior Write

iot:DescribeThing

iot:DescribeThingGroup

CreateFlowTemplate Crea una plantilla de flujo de trabajo. Los flujos de trabajo se pueden crear solo en el espacio de nombres del usuario. (El espacio de nombres público contiene únicamente las entidades). El flujo de trabajo solo puede contener entidades en el espacio de nombres especificado. El flujo de trabajo se valida frente a las entidades en la versión más reciente del espacio de nombres del usuario a menos que se especifique otra versión del espacio nombres en la solicitud Write
CreateSystemInstance Crea una instancia de un sistema con las configuraciones y objetos especificados Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSystemTemplate Crea un sistema. El sistema se valida frente a las entidades en la versión más reciente del espacio de nombres del usuario a menos que se especifique otra versión del espacio nombres en la solicitud Write
DeleteFlowTemplate Elimina un flujo de trabajo. Cualquier sistema o instancia del sistema nuevo que contenga este flujo de trabajo no se podrá actualizar o implementar. Las instancias del sistema existentes que contienen el flujo de trabajo seguirán ejecutándose (ya que utilizan una instantánea del flujo de trabajo tomado en el momento de implementar la instancia del sistema) Write

Workflow*

DeleteNamespace Elimina el espacio de nombres especificado. Esta acción elimina todas las entidades del espacio de nombres. Elimine los sistemas y flujos del espacio de nombres antes de realizar esta acción Write
DeleteSystemInstance Elimina una instancia del sistema. Solo se pueden eliminar las instancias que nunca se han implementado o que se han retirado del destino. Los usuarios pueden crear una nueva instancia del sistema que tenga el mismo ID que una instancia del sistema eliminada Write

SystemInstance*

DeleteSystemTemplate Elimina un sistema. Las nuevas instancias del sistema no pueden contener el sistema después de su eliminación. Las instancias del sistema existentes que contienen el sistema seguirán funcionando porque utilizan una instantánea del sistema que se toma cuando se implementa Write

System*

DeploySystemInstance Implementa la instancia del sistema en el destino especificado en CreateSystemInstance Write

SystemInstance*

DeprecateFlowTemplate Descarta el flujo de trabajo especificado. Esta acción marca el flujo de trabajo para su eliminación. Los flujos obsoletos no se pueden implementar, pero las instancias del sistema existentes que utilizan el flujo seguirán ejecutándose Write

Workflow*

DeprecateSystemTemplate Descarta el sistema especificado Write

System*

DescribeNamespace Obtiene la última versión del espacio de nombres del usuario y la versión pública de la que está realizando el seguimiento Read
DissociateEntityFromThing Disocia una entidad de dispositivo de un objeto concreto. La acción toma solo el tipo de entidad que necesita disociar, ya que solo se puede asociar a un objeto una entidad de un determinado tipo Write

iot:DescribeThing

iot:DescribeThingGroup

GetEntities Obtiene descripciones de las entidades especificadas. Utiliza de forma predeterminada la última versión del espacio de nombres del usuario Read
GetFlowTemplate Obtiene la última versión de DefinitionDocument y FlowTemplateSummary para el flujo de trabajo especificado Read

Workflow*

GetFlowTemplateRevisions Obtiene revisiones del flujo de trabajo especificado. Solo se almacenan las últimas 100 revisiones. Si el flujo de trabajo se ha quedado obsoleto, esta acción devolverá las revisiones que se produjeron antes de la obsolescencia. Esta acción no funcionará para flujos de trabajo que se hayan eliminado Read

Workflow*

GetNamespaceDeletionStatus Obtiene el estado de una tarea de eliminación de espacio de nombres Read
GetSystemInstance Obtiene una instancia del sistema Read

SystemInstance*

GetSystemTemplate Obtiene un sistema Read

System*

GetSystemTemplateRevisions Obtiene las revisiones realizadas en la plantilla de sistema especificada. Solo se almacenan las 100 revisiones anteriores. Si el sistema se ha quedado obsoleto, esta acción devolverá las revisiones que se produjeron antes de su obsolescencia. Esta acción no funcionará con sistemas que se hayan eliminado Read

System*

GetUploadStatus Obtiene el estado de la carga especificada Read
ListFlowExecutionMessages Muestra los detalles de una única ejecución de flujo de trabajo. List
ListTagsForResource Muestra una lista de todas las etiquetas de un recurso determinado. List

SystemInstance

SearchEntities Busca entidades del tipo especificado. Puede buscar entidades en su espacio de nombres y en el espacio de nombres público al que está realizando el seguimiento Read
SearchFlowExecutions Busca ejecuciones de flujo de trabajo de una instancia del sistema Read

SystemInstance*

SearchFlowTemplates Busca información resumida sobre los flujos de trabajo Read
SearchSystemInstances Busca instancias del sistema en la cuenta del usuario Read
SearchSystemTemplates Busca información resumida sobre los sistemas de la cuenta del usuario. Puede filtrar por ID de flujo de trabajo para devolver solo los sistemas que utilizan el flujo de trabajo especificado Read
SearchThings Busca objetos asociados a la entidad especificada. Puede buscar por dispositivo y modelo de dispositivo Read
TagResource Etiqueta un recurso específico. Etiquetado

SystemInstance

aws:RequestTag/${TagKey}

aws:TagKeys

UndeploySystemInstance Elimina del destino la instancia del sistema y los disparadores asociados Write

SystemInstance*

UntagResource Elimina la etiqueta de un recurso especificado. Etiquetado

SystemInstance

aws:TagKeys

UpdateFlowTemplate Actualiza el flujo de trabajo especificado. Todos los sistemas implementados e instancias del sistema que utilizan el flujo de trabajo verán los cambios en el flujo cuando se vuelva a implementar. El flujo de trabajo solo puede contener entidades en el espacio de nombres especificado Write

Workflow*

UpdateSystemTemplate Actualiza el sistema especificado. No es necesario ejecutar esta acción después de actualizar un flujo de trabajo. Cualquier instancia del sistema que utilice el sistema verá los cambios en el sistema cuando se vuelva a implementar Write

System*

UploadEntityDefinitions Carga de forma asíncrona una o varias definiciones de entidad en el espacio de nombres del usuario Write

Tipos de recursos definidos por AWS IoT Things Graph

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
Workflow arn:${Partition}:iotthingsgraph:${Region}:${Account}:Workflow/${NamespacePath}
System arn:${Partition}:iotthingsgraph:${Region}:${Account}:System/${NamespacePath}
SystemInstance arn:${Partition}:iotthingsgraph:${Region}:${Account}:Deployment/${NamespacePath}

aws:ResourceTag/${TagKey}

Claves de condición para AWS IoT Things Graph

AWS IoT Things Graph define las siguientes claves de condición que pueden utilizarse en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso por una clave que está presente en la solicitud que el usuario realiza al servicio thingsgraph Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por par de clave y valor de etiqueta. Cadena
aws:TagKeys Filtra el acceso por la lista de todos los nombres de clave de etiqueta presentes en la solicitud que el usuario realiza al servicio thingsgraph Cadena