Autorisation - AWS IoT Core

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisation

L'autorisation est le processus d'octroi d'autorisations à une identité authentifiée. Vous accordez des autorisations lors de AWS IoT Core l'utilisation AWS IoT Core des politiques IAM. Cette rubrique couvre les stratégies AWS IoT Core . Pour plus d'informations sur les politiques IAM, consultez Gestion des identités et des accès pour AWS IoT et Comment AWS IoT fonctionne avec IAM.

AWS IoT Core les politiques déterminent ce que peut faire une identité authentifiée. Une identité authentifiée peut être utilisée par des appareils, des applications mobiles, des applications web et des applications de bureau. Une identité authentifiée peut même être celle d'un utilisateur qui saisit des commandes AWS IoT Core CLI. Une identité ne peut exécuter AWS IoT Core des opérations que si elle dispose d'une politique qui lui accorde l'autorisation de ces opérations.

Les AWS IoT Core politiques et les politiques IAM sont utilisées AWS IoT Core pour contrôler les opérations qu'une identité (également appelée principal) peut effectuer. Le type de politique que vous utilisez dépend du type d'identité que vous utilisez pour vous authentifier. AWS IoT Core

AWS IoT Core les opérations sont divisées en deux groupes :

  • L'API de plan de contrôle vous permet d'effectuer des tâches administratives telles que la création ou la mise à jour de certificats, d'objets, de règles, etc.

  • L'API du plan de données vous permet d'envoyer des données vers et de recevoir des données depuis AWS IoT Core.

Le type de stratégie que vous utilisez varie selon que vous utilisez l'API de plan de contrôle ou l'API de plan de données.

Le tableau suivant présente les différents types d'identité, les protocoles qu'ils utilisent, ainsi que les types de stratégie qui peuvent être utilisés à des fins d'autorisation.

AWS IoT Core API de plan de données et types de politiques
Protocole et mécanisme d'authentification SDK Type d'identité Type de stratégie
MQTT sur TLS/TCP, authentification mutuelle TLS (port 8883 ou 443)) AWS IoT SDK de l'appareil Certificats X.509 AWS IoT Core politique
MQTT sur HTTPS/WebSocket, authentification AWS SigV4 (port 443) AWS SDK mobile Identité Amazon Cognito authentifiée IAM et politiques AWS IoT Core
Identité Amazon Cognito non authentifiée Politique IAM
IAM, ou identité fédérée Politique IAM
HTTPS, authentification par AWS signature version 4 (port 443) AWS CLI Amazon Cognito, IAM ou identité fédérée Politique IAM
HTTPS, authentification mutuelle TLS (port 8443) Pas de prise en charge SDK Certificats X.509 AWS IoT Core politique
HTTPS sur authentification personnalisée (Port 443) AWS IoT SDK de l'appareil Mécanisme d’autorisation personnalisé Stratégie d'autorisation personnalisée
AWS IoT Core API et types de politiques du plan de contrôle
Protocole et mécanisme d'authentification SDK Type d'identité Type de stratégie
Authentification par AWS signature HTTPS version 4 (port 443) AWS CLI Identité Amazon Cognito Politique IAM
IAM, ou identité fédérée Politique IAM

AWS IoT Core les politiques sont associées aux certificats X.509, aux identités Amazon Cognito ou aux groupes d'objets. Les politiques IAM sont attachées à un utilisateur, un groupe ou un rôle IAM. Si vous utilisez la AWS IoT console ou la AWS IoT Core CLI pour associer la politique (à un certificat, à Amazon Cognito Identity ou à un groupe d'objets), vous utilisez une AWS IoT Core stratégie. Dans le cas contraire, vous utilisez une politique IAM. AWS IoT Core les politiques associées à un groupe d'objets s'appliquent à tout élément de ce groupe d'objets. Pour que la AWS IoT Core politique entre en vigueur, le nom clientId et le nom de l'objet doivent correspondre.

L'autorisation basée sur la stratégie est un outil puissant. Elle vous permet de contrôler entièrement ce qu'un appareil, un utilisateur ou une application peut faire dans AWS IoT Core. Prenons l'exemple d'un appareil qui se connecte à l' AWS IoT Core aide d'un certificat. Vous pouvez autoriser l'appareil à accéder à toutes les rubriques MQTT ou limiter son accès à une seule rubrique. Autre exemple : imaginons le cas d'un utilisateur qui tape des commandes CLI dans la ligne de commande. En utilisant une politique, vous pouvez autoriser ou refuser l'accès à n'importe quelle commande ou AWS IoT Core ressource pour l'utilisateur. Vous pouvez également contrôler l'accès d'une application aux ressources AWS IoT Core .

Les modifications apportées à une stratégie peuvent prendre quelques minutes pour être effectives en raison de la façon dont AWS IoT met en cache les documents de stratégie. Autrement dit, l'accès à une ressource à laquelle l'accès a récemment été accordé peut prendre quelques minutes, et une ressource peut être accessible pendant plusieurs minutes après la révocation de son accès.

AWS formation et certification

Pour plus d'informations sur l'autorisation AWS IoT Core, suivez le cours Deep Dive into AWS IoT Core Authentication and Authorization sur le site Web de AWS formation et de certification.