Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôle de l'accès aux tunnels
Le tunneling sécurisé fournit des actions, des ressources et des clés de contexte de condition spécifiques au service, à utiliser dans les politiques de permissions IAM.
Conditions préalables à l'accès au tunnel
-
Découvrez comment sécuriser les AWS ressources à l'aide des politiques IAM.
-
Découvrez comment créer et évaluer des conditions IAM.
-
Découvrez comment sécuriser les AWS ressources à l'aide de balises de ressources.
Politiques d'accès aux tunnels
Vous devez utiliser les politiques suivantes pour autoriser les autorisations d'utilisation de l'API de tunneling sécurisé. Pour plus d'informations sur AWS IoT la sécurité, voirGestion des identités et des accès pour AWS IoT.
L'action iot:OpenTunnel
politique accorde une autorisation principale d'appel OpenTunnel.
Dans l'Resource
élément de la déclaration de politique IAM :
-
Spécifiez l'ARN du tunnel générique :
arn:aws:iot:
aws-region
:aws-account-id
:tunnel/* -
Spécifiez un objet ARN pour gérer les
OpenTunnel
autorisations pour des objets IoT spécifiques :arn:aws:iot:
aws-region
:aws-account-id
:thing/thing-name
Par exemple, la déclaration de stratégie suivante vous permet d'ouvrir un tunnel vers l'objet IoT nommé TestDevice
.
{ "Effect": "Allow", "Action": "iot:OpenTunnel", "Resource": [ "arn:aws:iot:
aws-region
:aws-account-id
:tunnel/*", "arn:aws:iot:aws-region
:aws-account-id
:thing/TestDevice" ] }
L'action de stratégie iot:OpenTunnel
prend en charge les clés de condition suivantes :
-
iot:ThingGroupArn
-
iot:TunnelDestinationService
-
aws:RequestTag
/clé-balise
-
aws:SecureTransport
-
aws:TagKeys
La déclaration de politique suivante vous permet d'ouvrir un tunnel vers l'objet si l'objet appartient à un groupe d'objets dont le nom commence par et TestGroup
si le service de destination configuré sur le tunnel est SSH.
{ "Effect": "Allow", "Action": "iot:OpenTunnel", "Resource": [ "arn:aws:iot:
aws-region
:aws-account-id
:tunnel/*" ], "Condition": { "ForAnyValue:StringLike": { "iot:ThingGroupArn": [ "arn:aws:iot:aws-region
:aws-account-id
:thinggroup/TestGroup
*" ] }, "ForAllValues:StringEquals": { "iot:TunnelDestinationService": [ "SSH" ] } } }
Vous pouvez également utiliser des balises de ressources pour contrôler l'autorisation d'ouvrir des tunnels. Par exemple, la déclaration de stratégie suivante permet d'ouvrir un tunnel si la clé de balise Owner
est présente et que sa valeur est Admin
et qu'aucune autre balise n'est spécifiée. Pour obtenir des informations sur comment utiliser les , consultez Marquer vos ressources AWS IoT.
{ "Effect": "Allow", "Action": "iot:OpenTunnel", "Resource": [ "arn:aws:iot:
aws-region
:aws-account-id
:tunnel/*" ], "Condition": { "StringEquals": { "aws:RequestTag/Owner": "Admin" }, "ForAllValues:StringEquals": { "aws:TagKeys": "Owner" } } }
L'action iot:RotateTunnelAccessToken
politique accorde une autorisation principale d'appel RotateTunnelAccessToken.
Dans l'Resource
élément de la déclaration de politique IAM :
-
Spécifiez un ARN de tunnel entièrement qualifié :
arn:aws:iot:
aws-region
:aws-account-id
:tunnel/tunnel-id
Vous pouvez également utiliser l'ARN du tunnel générique :
arn:aws:iot:
aws-region
:aws-account-id
:tunnel/* -
Spécifiez un objet ARN pour gérer les
RotateTunnelAccessToken
autorisations pour des objets IoT spécifiques :arn:aws:iot:
aws-region
:aws-account-id
:thing/thing-name
Par exemple, la déclaration de politique suivante vous permet de faire pivoter le jeton d'accès source d'un tunnel ou le jeton d'accès de destination d'un client pour l'objet IoT nommé TestDevice
.
{ "Effect": "Allow", "Action": "iot:RotateTunnelAccessToken", "Resource": [ "arn:aws:iot:
aws-region
:aws-account-id
:tunnel/*", "arn:aws:iot:aws-region
:aws-account-id
:thing/TestDevice" ] }
L'action de stratégie iot:RotateTunnelAccessToken
prend en charge les clés de condition suivantes :
-
iot:ThingGroupArn
-
iot:TunnelDestinationService
-
iot:ClientMode
-
aws:SecureTransport
La déclaration de politique générale suivante vous permet de faire pivoter le jeton d'accès de destination vers l'objet si l'objet appartient à un groupe d'objets dont le nom commence par TestGroup
, le service de destination configuré sur le tunnel est SSH, et le client est en DESTINATION
mode.
{ "Effect": "Allow", "Action": "iot:RotateTunnelAccessToken", "Resource": [ "arn:aws:iot:
aws-region
:aws-account-id
:tunnel/*" ], "Condition": { "ForAnyValue:StringLike": { "iot:ThingGroupArn": [ "arn:aws:iot:aws-region
:aws-account-id
:thinggroup/TestGroup
*" ] }, "ForAllValues:StringEquals": { "iot:TunnelDestinationService": [ "SSH" ], "iot:ClientMode": "DESTINATION" } } }
L'action iot:DescribeTunnel
politique accorde une autorisation principale d'appel DescribeTunnel.
Dans l'Resource
élément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :
arn:aws:iot:
aws-region
:
aws-account-id
:tunnel/tunnel-id
Vous pouvez également utiliser le caractère générique ARN :
arn:aws:iot:
aws-region
:aws-account-id
:tunnel/*
L'action de stratégie iot:DescribeTunnel
prend en charge les clés de condition suivantes :
-
aws:ResourceTag/
tag-key
-
aws:SecureTransport
La déclaration de stratégie suivante vous permet d'appeler DescribeTunnel
si le tunnel demandé est marqué avec la clé Owner
ayant la valeur Admin
.
{ "Effect": "Allow", "Action": "iot:DescribeTunnel", "Resource": [ "arn:aws:iot:
aws-region
:aws-account-id
:tunnel/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/Owner": "Admin" } } }
L'action iot:ListTunnels
politique accorde une autorisation principale d'appel ListTunnels.
Dans l'Resource
élément de la déclaration de politique IAM :
-
Spécifiez l'ARN du tunnel générique :
arn:aws:iot:
aws-region
:aws-account-id
:tunnel/* -
Spécifiez un objet ARN pour gérer les
ListTunnels
autorisations sur les objets IoT sélectionnés :arn:aws:iot:
aws-region
:aws-account-id
:thing/thing-name
L'iot:ListTunnels
action politique soutient la clé de condition aws:SecureTransport
.
La déclaration de stratégie suivante vous permet de répertorier les tunnels pour l'objet nommé TestDevice
.
{ "Effect": "Allow", "Action": "iot:ListTunnels", "Resource": [ "arn:aws:iot:
aws-region
:aws-account-id
:tunnel/*", "arn:aws:iot:aws-region
:aws-account-id
:thing/TestDevice" ] }
L'action de stratégie iot:ListTagsForResource
accorde à un mandataire l'autorisation d'appeler ListTagsForResource
.
Dans l'Resource
élément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :
arn:aws:iot:
aws-region
:
aws-account-id
:tunnel/tunnel-id
Vous pouvez également utiliser l'ARN du tunnel générique :
arn:aws:iot:
aws-region
:aws-account-id
:tunnel/*
L'action iot:ListTagsForResource
politique soutient la clé de condition aws:SecureTransport
.
L'action iot:CloseTunnel
politique accorde une autorisation principale d'appel CloseTunnel.
Dans l'Resource
élément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :
arn:aws:iot:
aws-region
:
aws-account-id
:tunnel/tunnel-id
Vous pouvez également utiliser l'ARN du tunnel générique :
arn:aws:iot:
aws-region
:aws-account-id
:tunnel/*
L'action de stratégie iot:CloseTunnel
prend en charge les clés de condition suivantes :
-
iot:Delete
-
aws:ResourceTag/
tag-key
-
aws:SecureTransport
La déclaration de stratégie suivante vous permet d'appeler CloseTunnel
si le paramètre Delete
de la demande est false
et si le tunnel demandé est balisé avec une clé Owner
ayant la valeur QATeam
.
{ "Effect": "Allow", "Action": "iot:CloseTunnel", "Resource": [ "arn:aws:iot:
aws-region
:aws-account-id
:tunnel/*" ], "Condition": { "Bool": { "iot:Delete": "false" }, "StringEquals": { "aws:ResourceTag/Owner": "QATeam" } } }
L'action de stratégie iot:TagResource
accorde à un mandataire l'autorisation d'appeler TagResource
.
Dans l'Resource
élément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :
arn:aws:iot:
aws-region
:
aws-account-id
:tunnel/tunnel-id
Vous pouvez également utiliser l'ARN du tunnel générique :
arn:aws:iot:
aws-region
:aws-account-id
:tunnel/*
L'action iot:TagResource
politique soutient la clé de condition aws:SecureTransport
.
L'action de stratégie iot:UntagResource
accorde à un mandataire l'autorisation d'appeler UntagResource
.
Dans l'Resource
élément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :
arn:aws:iot:
aws-region
:
aws-account-id
:tunnel/tunnel-id
Vous pouvez également utiliser l'ARN du tunnel générique :
arn:aws:iot:
aws-region
:aws-account-id
:tunnel/*
L'action iot:UntagResource
politique soutient la clé de condition aws:SecureTransport
.