Accesso su più account con IAM

AWS IoT Core consente di consentire a un principale di pubblicare o sottoscrivere un argomento definito in un Account AWS non di proprietà del committente. È possibile configurare l'accesso tra più account creando una IAM politica e un IAM ruolo e quindi allegando la politica al ruolo.

Innanzitutto, crea una IAM politica gestita dai clienti come descritto in Creazione IAM di politiche, proprio come faresti per gli altri utenti e certificati del tuo Account AWS.

Per i dispositivi registrati in AWS IoT Core registro, la seguente politica concede l'autorizzazione ai dispositivi di connettersi a AWS IoT Core utilizzando un ID client che corrisponda al nome dell'oggetto del dispositivo e da pubblicare nel luogo in cui my/topic/thing-name thing-name è il nome dell'oggetto del dispositivo:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": ["arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": ["arn:aws:iot:us-east-1:123456789012:topic/my/topic/${iot:Connection.Thing.ThingName}"],
        }
    ]
}

Per i dispositivi non registrati in AWS IoT Core registro, la seguente politica concede l'autorizzazione a un dispositivo di utilizzare il nome dell'oggetto client1 registrato nel tuo account (123456789012) AWS IoT Core registro a cui connettersi AWS IoT Core e per pubblicare su un argomento specifico dell'ID client il cui nome è preceduto da: my/topic/


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/client1"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/my/topic/${iot:ClientId}"
            ]
        }
    ]
}

Quindi, segui i passaggi descritti in Creazione di un ruolo per delegare le autorizzazioni a un utente. IAM Inserisci l'ID dell'account di Account AWS con cui desideri condividere l'accesso. Quindi, nella fase finale, collega la policy appena creata al ruolo. Se, in un secondo momento, è necessario modificare il AWS L'ID dell'account a cui si concede l'accesso, a tale scopo è possibile utilizzare il seguente formato di politica di fiducia:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": { 
                "AWS": "arn:aws:iam:us-east-1:567890123456:user/MyUser"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Autorizzazione di chiamate dirette a AWS servizi che utilizzano AWS IoT Core fornitore di credenziali

Protezione dei dati