Contrôle de l'accès aux tunnels - AWS IoT Core

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle de l'accès aux tunnels

Le tunneling sécurisé fournit des actions, des ressources et des clés de contexte de condition spécifiques au service, à utiliser dans les politiques de permissions IAM.

Conditions préalables à l'accès au tunnel

Politiques d'accès aux tunnels

Vous devez utiliser les politiques suivantes pour autoriser les autorisations d'utilisation de l'API de tunneling sécurisé. Pour plus d'informations sur AWS IoT la sécurité, voirGestion des identités et des accès pour AWS IoT.

L'action iot:OpenTunnel politique accorde une autorisation principale d'appel OpenTunnel.

Dans l'Resourceélément de la déclaration de politique IAM :

  • Spécifiez l'ARN du tunnel générique :

    arn:aws:iot:aws-region:aws-account-id:tunnel/*

  • Spécifiez un objet ARN pour gérer les OpenTunnel autorisations pour des objets IoT spécifiques :

    arn:aws:iot:aws-region:aws-account-id:thing/thing-name

Par exemple, la déclaration de stratégie suivante vous permet d'ouvrir un tunnel vers l'objet IoT nommé TestDevice.

{ "Effect": "Allow", "Action": "iot:OpenTunnel", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*", "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice" ] }

L'action de stratégie iot:OpenTunnel prend en charge les clés de condition suivantes :

  • iot:ThingGroupArn

  • iot:TunnelDestinationService

  • aws:RequestTag/clé-balise

  • aws:SecureTransport

  • aws:TagKeys

La déclaration de politique suivante vous permet d'ouvrir un tunnel vers l'objet si l'objet appartient à un groupe d'objets dont le nom commence par et TestGroup si le service de destination configuré sur le tunnel est SSH.

{ "Effect": "Allow", "Action": "iot:OpenTunnel", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*" ], "Condition": { "ForAnyValue:StringLike": { "iot:ThingGroupArn": [ "arn:aws:iot:aws-region:aws-account-id:thinggroup/TestGroup*" ] }, "ForAllValues:StringEquals": { "iot:TunnelDestinationService": [ "SSH" ] } } }

Vous pouvez également utiliser des balises de ressources pour contrôler l'autorisation d'ouvrir des tunnels. Par exemple, la déclaration de stratégie suivante permet d'ouvrir un tunnel si la clé de balise Owner est présente et que sa valeur est Admin et qu'aucune autre balise n'est spécifiée. Pour obtenir des informations sur comment utiliser les , consultez Marquer vos ressources AWS IoT.

{ "Effect": "Allow", "Action": "iot:OpenTunnel", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*" ], "Condition": { "StringEquals": { "aws:RequestTag/Owner": "Admin" }, "ForAllValues:StringEquals": { "aws:TagKeys": "Owner" } } }

L'action iot:RotateTunnelAccessToken politique accorde une autorisation principale d'appel RotateTunnelAccessToken.

Dans l'Resourceélément de la déclaration de politique IAM :

  • Spécifiez un ARN de tunnel entièrement qualifié :

    arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

    Vous pouvez également utiliser l'ARN du tunnel générique :

    arn:aws:iot:aws-region:aws-account-id:tunnel/*

  • Spécifiez un objet ARN pour gérer les RotateTunnelAccessToken autorisations pour des objets IoT spécifiques :

    arn:aws:iot:aws-region:aws-account-id:thing/thing-name

Par exemple, la déclaration de politique suivante vous permet de faire pivoter le jeton d'accès source d'un tunnel ou le jeton d'accès de destination d'un client pour l'objet IoT nommé TestDevice.

{ "Effect": "Allow", "Action": "iot:RotateTunnelAccessToken", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*", "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice" ] }

L'action de stratégie iot:RotateTunnelAccessToken prend en charge les clés de condition suivantes :

  • iot:ThingGroupArn

  • iot:TunnelDestinationService

  • iot:ClientMode

  • aws:SecureTransport

La déclaration de politique générale suivante vous permet de faire pivoter le jeton d'accès de destination vers l'objet si l'objet appartient à un groupe d'objets dont le nom commence par TestGroup, le service de destination configuré sur le tunnel est SSH, et le client est en DESTINATION mode.

{ "Effect": "Allow", "Action": "iot:RotateTunnelAccessToken", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*" ], "Condition": { "ForAnyValue:StringLike": { "iot:ThingGroupArn": [ "arn:aws:iot:aws-region:aws-account-id:thinggroup/TestGroup*" ] }, "ForAllValues:StringEquals": { "iot:TunnelDestinationService": [ "SSH" ], "iot:ClientMode": "DESTINATION" } } }

L'action iot:DescribeTunnel politique accorde une autorisation principale d'appel DescribeTunnel.

Dans l'Resourceélément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Vous pouvez également utiliser le caractère générique ARN :

arn:aws:iot:aws-region:aws-account-id:tunnel/*

L'action de stratégie iot:DescribeTunnel prend en charge les clés de condition suivantes :

  • aws:ResourceTag/tag-key

  • aws:SecureTransport

La déclaration de stratégie suivante vous permet d'appeler DescribeTunnel si le tunnel demandé est marqué avec la clé Owner ayant la valeur Admin.

{ "Effect": "Allow", "Action": "iot:DescribeTunnel", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/Owner": "Admin" } } }

L'action iot:ListTunnels politique accorde une autorisation principale d'appel ListTunnels.

Dans l'Resourceélément de la déclaration de politique IAM :

  • Spécifiez l'ARN du tunnel générique :

    arn:aws:iot:aws-region:aws-account-id:tunnel/*

  • Spécifiez un objet ARN pour gérer les ListTunnels autorisations sur les objets IoT sélectionnés :

    arn:aws:iot:aws-region:aws-account-id:thing/thing-name

L'iot:ListTunnelsaction politique soutient la clé de condition aws:SecureTransport.

La déclaration de stratégie suivante vous permet de répertorier les tunnels pour l'objet nommé TestDevice.

{ "Effect": "Allow", "Action": "iot:ListTunnels", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*", "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice" ] }

L'action de stratégie iot:ListTagsForResource accorde à un mandataire l'autorisation d'appeler ListTagsForResource.

Dans l'Resourceélément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Vous pouvez également utiliser l'ARN du tunnel générique :

arn:aws:iot:aws-region:aws-account-id:tunnel/*

L'action iot:ListTagsForResource politique soutient la clé de condition aws:SecureTransport.

L'action iot:CloseTunnel politique accorde une autorisation principale d'appel CloseTunnel.

Dans l'Resourceélément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Vous pouvez également utiliser l'ARN du tunnel générique :

arn:aws:iot:aws-region:aws-account-id:tunnel/*

L'action de stratégie iot:CloseTunnel prend en charge les clés de condition suivantes :

  • iot:Delete

  • aws:ResourceTag/tag-key

  • aws:SecureTransport

La déclaration de stratégie suivante vous permet d'appeler CloseTunnel si le paramètre Delete de la demande est false et si le tunnel demandé est balisé avec une clé Owner ayant la valeur QATeam.

{ "Effect": "Allow", "Action": "iot:CloseTunnel", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*" ], "Condition": { "Bool": { "iot:Delete": "false" }, "StringEquals": { "aws:ResourceTag/Owner": "QATeam" } } }

L'action de stratégie iot:TagResource accorde à un mandataire l'autorisation d'appeler TagResource.

Dans l'Resourceélément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Vous pouvez également utiliser l'ARN du tunnel générique :

arn:aws:iot:aws-region:aws-account-id:tunnel/*

L'action iot:TagResource politique soutient la clé de condition aws:SecureTransport.

L'action de stratégie iot:UntagResource accorde à un mandataire l'autorisation d'appeler UntagResource.

Dans l'Resourceélément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Vous pouvez également utiliser l'ARN du tunnel générique :

arn:aws:iot:aws-region:aws-account-id:tunnel/*

L'action iot:UntagResource politique soutient la clé de condition aws:SecureTransport.