AWS IoT SiteWise exemples de politiques basées sur l'identité - AWS IoT SiteWise
Bonnes pratiques en matière de politiquesUtilisation de la consoleAutoriser des utilisateurs à afficher leurs propres autorisationsAutoriser les utilisateurs à ingérer des données dans des actifs dans une hiérarchieAffichage des ressources AWS IoT SiteWise basées sur des balises

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS IoT SiteWise exemples de politiques basées sur l'identité

Par défaut, les entités (utilisateurs et rôles) ne sont pas autorisées à créer ou à modifier AWS IoT SiteWise des ressources. Ils ne peuvent pas non plus effectuer de tâches à l'aide de l'API AWS Management Console, AWS Command Line Interface (AWS CLI) ou de AWS l'API. Pour ajuster les autorisations, un administrateur AWS Identity and Access Management (IAM) doit effectuer les opérations suivantes :

  1. Créez des politiques IAM qui accordent aux utilisateurs et aux rôles l'autorisation d'effectuer des opérations d'API spécifiques sur les ressources dont ils ont besoin.

  2. Associez ces politiques aux utilisateurs ou aux groupes qui ont besoin de ces autorisations.

Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, veuillez consulter Création de politiques dans l’onglet JSON dans le Guide de l’utilisateur IAM.

Bonnes pratiques en matière de politiques

Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer AWS IoT SiteWise des ressources dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :

  • Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, utilisez les politiques AWS gérées qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour de plus amples informations, consultez Politiques gérées AWS ou Politiques gérées AWS pour les activités professionnelles dans le Guide de l’utilisateur IAM.

  • Accorder les autorisations de moindre privilège – Lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Pour plus d’informations sur l’utilisation de IAM pour appliquer des autorisations, consultez Politiques et autorisations dans IAM dans le Guide de l’utilisateur IAM.

  • Utiliser des conditions dans les politiques IAM pour restreindre davantage l’accès – Vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que AWS CloudFormation. Pour plus d’informations, consultez Conditions pour éléments de politique JSON IAM dans le Guide de l’utilisateur IAM.

  • Utilisez IAM Access Analyzer pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles – IAM Access Analyzer valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour de plus amples informations, consultez Validation de politique IAM Access Analyzer dans le Guide de l’utilisateur IAM.

  • Exiger l'authentification multifactorielle (MFA) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger le MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour de plus amples informations, consultez Configuration de l’accès aux API protégé par MFA dans le Guide de l’utilisateur IAM.

Pour plus d'informations sur les bonnes pratiques dans IAM, consultez Bonnes pratiques de sécurité dans IAM dans le Guide de l'utilisateur IAM.

Utilisation de la console AWS IoT SiteWise

Pour accéder à la AWS IoT SiteWise console, vous avez besoin d'un ensemble d'autorisations de base. Ces autorisations vous permettent de consulter et de gérer les informations relatives aux AWS IoT SiteWise ressources de votre Compte AWS.

Si vous définissez une politique trop restrictive, la console risque de ne pas fonctionner comme prévu pour les utilisateurs ou les rôles (entités) concernés par cette politique. Pour garantir que ces entités peuvent toujours utiliser la AWS IoT SiteWise console, associez-leur la politique AWSIoTSiteWiseConsoleFullAccessgérée ou définissez des autorisations équivalentes pour ces entités. Pour plus d’informations, consultez Ajout d’autorisations à un utilisateur dans le Guide de l’utilisateur IAM.

Si les entités utilisent uniquement la AWS Command Line Interface (CLI) ou l' AWS IoT SiteWise API, et non la console, elles n'ont pas besoin de ces autorisations minimales. Dans ce cas, donnez-leur simplement accès aux actions spécifiques dont ils ont besoin pour leurs tâches d'API.

Autoriser des utilisateurs à afficher leurs propres autorisations

Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Autoriser les utilisateurs à ingérer des données dans des actifs dans une hiérarchie

Dans cet exemple, vous souhaitez autoriser un utilisateur à écrire des données sur toutes les propriétés des actifs dans une hiérarchie d'actifs spécifique, en commençant par l'actif racinea1b2c3d4-5678-90ab-cdef-22222EXAMPLE. Compte AWS La stratégie accorde l'autorisation iotsitewise:BatchPutAssetPropertyValue à l'utilisateur. Cette stratégie utilise la clé de condition iotsitewise:assetHierarchyPath pour restreindre l'accès aux ressources dont le chemin hiérarchique correspond à l'actif ou à ses descendants.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PutAssetPropertyValuesForHierarchy",
      "Effect": "Allow",
      "Action": "iotsitewise:BatchPutAssetPropertyValue",
      "Resource": "arn:aws:iotsitewise:*:*:asset/*",
      "Condition": {
        "StringLike": {
          "iotsitewise:assetHierarchyPath": [
            "/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE",
            "/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/*"
          ]
        }
      }
    }
  ]
}

Affichage des ressources AWS IoT SiteWise basées sur des balises

Utilisez les conditions de votre politique basée sur l'identité pour contrôler l'accès aux AWS IoT SiteWise ressources en fonction des balises. Cet exemple montre comment créer une politique permettant de visualiser les actifs. Toutefois, l'autorisation est accordée uniquement si la balise de ressource Owner a pour valeur le nom d'utilisateur de cet utilisateur. Cette politique accorde également l'autorisation d'effectuer cette action sur la console.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ListAllAssets",
      "Effect": "Allow",
      "Action": [
        "iotsitewise:ListAssets",
        "iotsitewise:ListAssociatedAssets"
      ],
      "Resource": "*"
    },
    {
      "Sid": "DescribeAssetIfOwner",
      "Effect": "Allow",
      "Action": "iotsitewise:DescribeAsset",
      "Resource": "arn:aws:iotsitewise:*:*:asset/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Owner": "${aws:username}"
        }
      }
    }
  ]
}

Associez cette politique aux utilisateurs de votre compte. Si un utilisateur nommé richard-roe tente de consulter une AWS IoT SiteWise ressource, celle-ci doit être étiquetée Owner=richard-roe ouowner=richard-roe. Dans le cas contraire, Richard se voit refuser l'accès. Les noms des clés des balises de condition ne distinguent pas les majuscules et minuscules. Donc, Owner correspond aux deux Owner etowner. Pour plus d'informations, consultez Éléments de politique JSON IAM : Condition dans le Guide de l’utilisateur IAM.