AWS politiques gérées pour AWS IoT - AWS IoT Core

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour AWS IoT

Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l’expertise pour créer des politiques gérées par le client IAM qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent des cas d’utilisation courants et sont disponibles dans votre Compte AWS. Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS gérées dans le guide de l'utilisateur IAM.

AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent occasionnellement des autorisations à une politique gérée par AWS pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont très susceptibles de mettre à jour une politique gérée par AWS quand une nouvelle fonctionnalité est lancée ou quand de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.

En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique ReadOnlyAccess AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Quand un service lance une nouvelle fonctionnalité, AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page politiques gérées par AWS pour les fonctions de tâche dans le Guide de l’utilisateur IAM.

Note

AWS IoT fonctionne avec les deux politiques AWS IoT et avec les politiques IAM. Cette rubrique traite uniquement des politiques IAM, qui définissent une action de politique pour les opérations d'API du plan de contrôle et du plan de données. Voir aussi AWS IoT Core politiques.

AWS politique gérée : AWSIoTConfigAccess

Vous pouvez associer la politique AWSIoTConfigAccess à vos identités IAM.

Cette politique accorde les autorisations d'identité associées qui permettent d'accéder à toutes les opérations de configuration AWS IoT . Cette stratégie peut affecter le traitement et le stockage des données. Pour consulter cette politique dans le AWS Management Console, voir AWSIoTConfigAccess.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iot— Récupérez AWS IoT des données et effectuez des actions de configuration IoT.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:AcceptCertificateTransfer", "iot:AddThingToThingGroup", "iot:AssociateTargetsWithJob", "iot:AttachPolicy", "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CancelCertificateTransfer", "iot:CancelJob", "iot:CancelJobExecution", "iot:ClearDefaultAuthorizer", "iot:CreateAuthorizer", "iot:CreateCertificateFromCsr", "iot:CreateJob", "iot:CreateKeysAndCertificate", "iot:CreateOTAUpdate", "iot:CreatePolicy", "iot:CreatePolicyVersion", "iot:CreateRoleAlias", "iot:CreateStream", "iot:CreateThing", "iot:CreateThingGroup", "iot:CreateThingType", "iot:CreateTopicRule", "iot:DeleteAuthorizer", "iot:DeleteCACertificate", "iot:DeleteCertificate", "iot:DeleteJob", "iot:DeleteJobExecution", "iot:DeleteOTAUpdate", "iot:DeletePolicy", "iot:DeletePolicyVersion", "iot:DeleteRegistrationCode", "iot:DeleteRoleAlias", "iot:DeleteStream", "iot:DeleteThing", "iot:DeleteThingGroup", "iot:DeleteThingType", "iot:DeleteTopicRule", "iot:DeleteV2LoggingLevel", "iot:DeprecateThingType", "iot:DescribeAuthorizer", "iot:DescribeCACertificate", "iot:DescribeCertificate", "iot:DescribeDefaultAuthorizer", "iot:DescribeEndpoint", "iot:DescribeEventConfigurations", "iot:DescribeIndex", "iot:DescribeJob", "iot:DescribeJobExecution", "iot:DescribeRoleAlias", "iot:DescribeStream", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingRegistrationTask", "iot:DescribeThingType", "iot:DetachPolicy", "iot:DetachPrincipalPolicy", "iot:DetachThingPrincipal", "iot:DisableTopicRule", "iot:EnableTopicRule", "iot:GetEffectivePolicies", "iot:GetIndexingConfiguration", "iot:GetJobDocument", "iot:GetLoggingOptions", "iot:GetOTAUpdate", "iot:GetPolicy", "iot:GetPolicyVersion", "iot:GetRegistrationCode", "iot:GetTopicRule", "iot:GetV2LoggingOptions", "iot:ListAttachedPolicies", "iot:ListAuthorizers", "iot:ListCACertificates", "iot:ListCertificates", "iot:ListCertificatesByCA", "iot:ListIndices", "iot:ListJobExecutionsForJob", "iot:ListJobExecutionsForThing", "iot:ListJobs", "iot:ListOTAUpdates", "iot:ListOutgoingCertificates", "iot:ListPolicies", "iot:ListPolicyPrincipals", "iot:ListPolicyVersions", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListRoleAliases", "iot:ListStreams", "iot:ListTargetsForPolicy", "iot:ListThingGroups", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:ListThingRegistrationTaskReports", "iot:ListThingRegistrationTasks", "iot:ListThings", "iot:ListThingsInThingGroup", "iot:ListThingTypes", "iot:ListTopicRules", "iot:ListV2LoggingLevels", "iot:RegisterCACertificate", "iot:RegisterCertificate", "iot:RegisterThing", "iot:RejectCertificateTransfer", "iot:RemoveThingFromThingGroup", "iot:ReplaceTopicRule", "iot:SearchIndex", "iot:SetDefaultAuthorizer", "iot:SetDefaultPolicyVersion", "iot:SetLoggingOptions", "iot:SetV2LoggingLevel", "iot:SetV2LoggingOptions", "iot:StartThingRegistrationTask", "iot:StopThingRegistrationTask", "iot:TestAuthorization", "iot:TestInvokeAuthorizer", "iot:TransferCertificate", "iot:UpdateAuthorizer", "iot:UpdateCACertificate", "iot:UpdateCertificate", "iot:UpdateEventConfigurations", "iot:UpdateIndexingConfiguration", "iot:UpdateRoleAlias", "iot:UpdateStream", "iot:UpdateThing", "iot:UpdateThingGroup", "iot:UpdateThingGroupsForThing", "iot:UpdateAccountAuditConfiguration", "iot:DescribeAccountAuditConfiguration", "iot:DeleteAccountAuditConfiguration", "iot:StartOnDemandAuditTask", "iot:CancelAuditTask", "iot:DescribeAuditTask", "iot:ListAuditTasks", "iot:CreateScheduledAudit", "iot:UpdateScheduledAudit", "iot:DeleteScheduledAudit", "iot:DescribeScheduledAudit", "iot:ListScheduledAudits", "iot:ListAuditFindings", "iot:CreateSecurityProfile", "iot:DescribeSecurityProfile", "iot:UpdateSecurityProfile", "iot:DeleteSecurityProfile", "iot:AttachSecurityProfile", "iot:DetachSecurityProfile", "iot:ListSecurityProfiles", "iot:ListSecurityProfilesForTarget", "iot:ListTargetsForSecurityProfile", "iot:ListActiveViolations", "iot:ListViolationEvents", "iot:ValidateSecurityProfileBehaviors" ], "Resource": "*" } ] }

AWS politique gérée : AWSIoTConfigReadOnlyAccess

Vous pouvez associer la politique AWSIoTConfigReadOnlyAccess à vos identités IAM.

Cette politique accorde les autorisations d'identité associées qui permettent d'accéder en lecture seule à toutes les opérations de configuration AWS IoT . Pour consulter cette politique dans le AWS Management Console, voir AWSIoTConfigReadOnlyAccess.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iot – Effectuez des opérations en lecture seule sur les actions de configuration IoT.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:DescribeAuthorizer", "iot:DescribeCACertificate", "iot:DescribeCertificate", "iot:DescribeDefaultAuthorizer", "iot:DescribeEndpoint", "iot:DescribeEventConfigurations", "iot:DescribeIndex", "iot:DescribeJob", "iot:DescribeJobExecution", "iot:DescribeRoleAlias", "iot:DescribeStream", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingRegistrationTask", "iot:DescribeThingType", "iot:GetEffectivePolicies", "iot:GetIndexingConfiguration", "iot:GetJobDocument", "iot:GetLoggingOptions", "iot:GetOTAUpdate", "iot:GetPolicy", "iot:GetPolicyVersion", "iot:GetRegistrationCode", "iot:GetTopicRule", "iot:GetV2LoggingOptions", "iot:ListAttachedPolicies", "iot:ListAuthorizers", "iot:ListCACertificates", "iot:ListCertificates", "iot:ListCertificatesByCA", "iot:ListIndices", "iot:ListJobExecutionsForJob", "iot:ListJobExecutionsForThing", "iot:ListJobs", "iot:ListOTAUpdates", "iot:ListOutgoingCertificates", "iot:ListPolicies", "iot:ListPolicyPrincipals", "iot:ListPolicyVersions", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListRoleAliases", "iot:ListStreams", "iot:ListTargetsForPolicy", "iot:ListThingGroups", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:ListThingRegistrationTaskReports", "iot:ListThingRegistrationTasks", "iot:ListThings", "iot:ListThingsInThingGroup", "iot:ListThingTypes", "iot:ListTopicRules", "iot:ListV2LoggingLevels", "iot:SearchIndex", "iot:TestAuthorization", "iot:TestInvokeAuthorizer", "iot:DescribeAccountAuditConfiguration", "iot:DescribeAuditTask", "iot:ListAuditTasks", "iot:DescribeScheduledAudit", "iot:ListScheduledAudits", "iot:ListAuditFindings", "iot:DescribeSecurityProfile", "iot:ListSecurityProfiles", "iot:ListSecurityProfilesForTarget", "iot:ListTargetsForSecurityProfile", "iot:ListActiveViolations", "iot:ListViolationEvents", "iot:ValidateSecurityProfileBehaviors" ], "Resource": "*" } ] }

AWS politique gérée : AWSIoTDataAccess

Vous pouvez associer la politique AWSIoTDataAccess à vos identités IAM.

Cette politique accorde les autorisations d'identité associées qui permettent d'accéder à toutes les opérations de AWS IoT données. Les opérations sur les données envoient des données via les protocoles MQTT ou HTTP. Pour afficher cette politique dans AWS Management Console, veuillez consulter AWSIoTDataAccess.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iot— Récupérez AWS IoT les données et autorisez un accès complet aux actions AWS IoT de messagerie.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:Connect", "iot:Publish", "iot:Subscribe", "iot:Receive", "iot:GetThingShadow", "iot:UpdateThingShadow", "iot:DeleteThingShadow", "iot:ListNamedShadowsForThing" ], "Resource": "*" } ] }

AWS politique gérée : AWSIoTFullAccess

Vous pouvez associer la politique AWSIoTFullAccess à vos identités IAM.

Cette politique accorde les autorisations d'identité associées qui permettent d'accéder à toutes les opérations de configuration et de messagerie AWS IoT . Pour consulter cette politique dans le AWS Management Console, voir AWSIoTFullAccess.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iot— Récupérez AWS IoT les données et autorisez un accès complet aux actions AWS IoT de configuration et de messagerie.

  • iotjobsdata— Récupérez les données des AWS IoT tâches et autorisez un accès complet aux opérations de l'API du plan de données des AWS IoT tâches.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:*", "iotjobsdata:*" ], "Resource": "*" } ] }

AWS politique gérée : AWSIoTLogging

Vous pouvez associer la politique AWSIoTLogging à vos identités IAM.

Cette politique accorde les autorisations d'identité associées qui permettent d'accéder à la création de groupes Amazon CloudWatch Logs et à la diffusion des journaux vers les groupes. Cette politique est liée à votre rôle de CloudWatch journalisation. Pour consulter cette politique dans le AWS Management Console, voir AWSIoTLogging.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • logs— Récupère CloudWatch les journaux. Permet également de créer des groupes de CloudWatch journaux et de diffuser des journaux vers les groupes.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:PutMetricFilter", "logs:PutRetentionPolicy", "logs:GetLogEvents", "logs:DeleteLogStream" ], "Resource": [ "*" ] } ] }

AWS politique gérée : AWSIoTOTAUpdate

Vous pouvez associer la politique AWSIoTOTAUpdate à vos identités IAM.

Cette politique accorde les autorisations d'identité associées qui permettent d'accéder à la création de AWS IoT tâches, aux tâches de signature de AWS IoT code et à la description des tâches de signature de AWS code. Pour consulter cette politique dans le AWS Management Console, voir AWSIoTOTAUpdate.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iot— Créez des AWS IoT tâches et des tâches de signature de code.

  • signer— Réalise la création de tâches de signature de AWS code.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iot:CreateJob", "signer:DescribeSigningJob" ], "Resource": "*" } }

AWS politique gérée : AWSIoTRuleActions

Vous pouvez associer la politique AWSIoTRuleActions à vos identités IAM.

Cette politique accorde les autorisations d'identité associées qui permettent d'accéder à toutes les informations Service AWS prises en charge dans les actions de AWS IoT règles. Pour consulter cette politique dans le AWS Management Console, voir AWSIoTRuleActions.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iot - Effectuez des actions pour publier des messages d’action de la règle.

  • dynamodb - Insérez un message dans un tableau DynamoDB ou divisez un message en plusieurs colonnes dans un tableau DynamoDB.

  • s3 - Stockez un objet dans un compartiment Amazon S3.

  • kinesis - Envoyez un message à un objet de flux Amazon Kinesis.

  • firehose- Insérez un enregistrement dans un objet de flux Firehose.

  • cloudwatch- Modifiez l'état de l' CloudWatch alarme ou envoyez les données du message au CloudWatch système métrique.

  • sns - Effectuez une opération pour publier une notification à l'aide d'Amazon SNS. Cette opération est limitée aux rubriques AWS IoT SNS.

  • sqs - Insérez un message à ajouter à la file d'attente SQS.

  • es- Envoyez un message au OpenSearch service de service.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "dynamodb:PutItem", "kinesis:PutRecord", "iot:Publish", "s3:PutObject", "sns:Publish", "sqs:SendMessage*", "cloudwatch:SetAlarmState", "cloudwatch:PutMetricData", "es:ESHttpPut", "firehose:PutRecord" ], "Resource": "*" } }

AWS politique gérée : AWSIoTThingsRegistration

Vous pouvez associer la politique AWSIoTThingsRegistration à vos identités IAM.

Cette politique accorde les autorisations d'identité associées qui permettent d'enregistrer des éléments en masse à l'aide de l'API StartThingRegistrationTask. Cette stratégie peut affecter le traitement et le stockage des données. Pour consulter cette politique dans le AWS Management Console, voir AWSIoTThingsRegistration.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • iot - Effectuez des actions pour créer des éléments et joindre des politiques et des certificats lors d'un enregistrement groupé.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:AddThingToThingGroup", "iot:AttachPolicy", "iot:AttachPrincipalPolicy", "iot:AttachThingPrincipal", "iot:CreateCertificateFromCsr", "iot:CreatePolicy", "iot:CreateThing", "iot:DescribeCertificate", "iot:DescribeThing", "iot:DescribeThingGroup", "iot:DescribeThingType", "iot:DetachPolicy", "iot:DetachThingPrincipal", "iot:GetPolicy", "iot:ListAttachedPolicies", "iot:ListPolicyPrincipals", "iot:ListPrincipalPolicies", "iot:ListPrincipalThings", "iot:ListTargetsForPolicy", "iot:ListThingGroupsForThing", "iot:ListThingPrincipals", "iot:RegisterCertificate", "iot:RegisterThing", "iot:RemoveThingFromThingGroup", "iot:UpdateCertificate", "iot:UpdateThing", "iot:UpdateThingGroupsForThing", "iot:AddThingToBillingGroup", "iot:DescribeBillingGroup", "iot:RemoveThingFromBillingGroup" ], "Resource": [ "*" ] } ] }

AWS IoT mises à jour des politiques AWS gérées

Consultez les détails des mises à jour des politiques AWS gérées AWS IoT depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du AWS IoT document.

Modification Description Date

AWSIoTFullAccess – Mise à jour d’une stratégie existante

AWS IoT a ajouté de nouvelles autorisations pour permettre aux utilisateurs d'accéder aux opérations de l'API du plan de données AWS IoT Jobs à l'aide du protocole HTTP.

Un nouveau préfixe de politique IAM vous fournit un contrôle d'accès plus précis pour accéder aux points de terminaison du plan de données AWS IoT Jobs. iotjobsdata: Pour les opérations de l'API du plan de contrôle, vous utilisez toujours le préfixe iot:. Pour de plus amples informations, veuillez consulter AWS IoT Core politiques pour le protocole HTTPS.

11 mai 2022

AWS IoT a commencé à suivre les modifications

AWS IoT a commencé à suivre les modifications apportées AWS à ses politiques gérées.

11 mai 2022