Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazione
L'autorizzazione è il processo di concessione delle autorizzazioni a un'identità autenticata. Concedi le autorizzazioni per AWS IoT Core l'utilizzo AWS IoT Core delle politiche IAM. In questo argomento vengono illustrate le policy AWS IoT Core . Per ulteriori informazioni sulla creazione di policy IAM, consulta Gestione delle identità e degli accessi per AWS IoT e Come AWS IoT funziona con IAM.
AWS IoT Core le politiche determinano cosa può fare un'identità autenticata. Un'identità autenticata viene usata da dispositivi, applicazioni per dispositivi mobili, applicazioni Web e applicazioni desktop. Un'identità autenticata può anche essere un utente che digita i comandi CLI AWS IoT Core . Un'identità può eseguire AWS IoT Core operazioni solo se dispone di una politica che le concede l'autorizzazione per tali operazioni.
Sia AWS IoT Core le policy che le policy IAM vengono utilizzate AWS IoT Core per controllare le operazioni che un'identità (chiamata anche principale) può eseguire. Il tipo di policy utilizzato dipende dal tipo di identità con AWS IoT Core cui si effettua l'autenticazione.
AWS IoT Core le operazioni sono suddivise in due gruppi:
-
L'API control-plane ti permette di eseguire attività di amministrazione come la creazione o l'aggiornamento di certificati, oggetti, regole e così via.
-
L'API Data Plane consente di inviare e ricevere dati da AWS IoT Core.
Il tipo di policy usato dipende dall'API in uso, control-plane o data-plane.
La tabella seguente mostra i tipi di identità, i protocolli usati da ciascuno e i tipi di policy che possono essere usati per l'autorizzazione.
AWS IoT Core API del piano dati e tipi di policy | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Protocollo e meccanismo di autenticazione | SDK | Tipo di identità | Tipo di policy | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| MQTT su TLS/TCP, autenticazione reciproca TLS (porta 8883 o 443)†) | AWS IoT SDK per dispositivi | Certificati X.509 | AWS IoT Core politica | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| MQTT su HTTPS/WebSocket, autenticazione AWS SigV4 (porta 443) | AWS SDK per dispositivi mobili | Amazon Cognito Identity autenticato | IAM e politiche AWS IoT Core | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Cognito Identity non autenticato | Policy IAM | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Identità IAM o federata | Policy IAM | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| HTTPS, autenticazione AWS Signature versione 4 (porta 443) | AWS CLI | Amazon Cognito, IAM o identità federata | Policy IAM | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Autenticazione reciproca HTTPS, TLS (porta 8443) | Nessun SDK supportato | Certificati X.509 | AWS IoT Core politica | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| HTTPS tramite autenticazione personalizzata (porta 443) | AWS IoT SDK del dispositivo | Autorizzatore personalizzato | Policy dell’autorizzatore personalizzato | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWS IoT Core API e tipi di policy del piano di controllo | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Protocollo e meccanismo di autenticazione | SDK | Tipo di identità | Tipo di policy | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Autenticazione HTTPS AWS Signature versione 4 (porta 443) | AWS CLI | Identità Amazon Cognito | Policy IAM | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Identità IAM o federata | Policy IAM | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWS IoT Core le politiche sono allegate ai certificati X.509, alle identità di Amazon Cognito o ai gruppi di oggetti. Le policy IAM sono collegate a un utente, un gruppo o un ruolo IAM. Se utilizzi la AWS IoT console o la AWS IoT Core CLI per allegare la policy (a un certificato, Amazon Cognito Identity o Thing Group), utilizzi una policy. AWS IoT Core Altrimenti, utilizzi una policy IAM. AWS IoT Core le politiche allegate a un gruppo di cose si applicano a qualsiasi cosa all'interno di quel gruppo di cose. Affinché la AWS IoT Core policy abbia effetto, il nome clientId e il nome dell'oggetto devono corrispondere.
L'autorizzazione basata sulle policy è uno strumento potente Ti offre il controllo completo sulle operazioni che dispositivi, utenti o applicazioni possono eseguire in AWS IoT Core. Ad esempio, si consideri un dispositivo a cui si AWS IoT Core connette un certificato. Puoi permettere al dispositivo di accedere a tutti gli argomenti MQTT oppure puoi limitarne l'accesso a un singolo argomento. In un altro esempio supponi che un utente digiti comandi nella riga di comando. Utilizzando una policy, è possibile consentire o negare l'accesso a qualsiasi comando o AWS IoT Core risorsa per l'utente. Puoi inoltre controllare l'accesso di un'applicazione alle risorse AWS IoT Core .
Le modifiche apportate a una policy possono richiedere alcuni minuti per diventare effettive a causa della modalità in cui AWS IoT memorizza nella cache i documenti delle policy. In particolare, potrebbero essere necessari alcuni minuti per accedere a una risorsa a cui è stato concesso l'accesso di recente e una risorsa potrebbe essere accessibile per alcuni minuti dopo la revoca dell'accesso.
AWS formazione e certificazione
Per informazioni sull'autorizzazione AWS IoT Core, segui il corso Deep Dive into AWS IoT Core
Authentication and Authorization
