Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Funzionamento di AWS IoT Eventscon IAM
Prima di utilizzare IAM per gestire l'accesso a AWS IoT Events, è necessario comprendere quali caratteristiche IAM sono disponibili per l'uso con AWS IoT Events. Per ottenere un quadro generale del funzionamento di AWS IoT Events e altri servizi AWS con IAM, consulta la sezione Servizi AWS supportati da IAM nella Guida per l'utente di IAM.
Argomenti
Policy AWS IoT Events basate su identità
Con le policy basate su identità IAM, puoi specificare operazioni e risorse consentite o rifiutate, nonché le condizioni in base alle quali le operazioni sono consentite o rifiutate. AWS IoT Events supporta operazioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta Documentazione di riferimento degli elementi delle policy JSON IAM nella Guida per l'utente IAM.
Azioni
L'elemento Action di una policy basata su identità IAM descrive l'operazione o le operazioni specifiche che saranno concesse o rifiutate dalla policy. Le operazioni della policy hanno spesso lo stesso nome dell'operazione API AWS. L'operazione viene utilizzata in una policy per concedere le autorizzazioni di eseguire l'operazione associata.
Le operazioni delle policy in AWS IoT Events utilizzano il seguente prefisso prima dell'operazione: iotevents:. Ad esempio, per concedere a qualcuno l'autorizzazione a creare un AWS IoT Events input con l'operazione AWS IoT Events CreateInput API, includi l'iotevents:CreateInputazione nella sua politica. Per concedere a qualcuno l'autorizzazione a inviare un input con l'operazione AWS IoT Events BatchPutMessage API, includi l'iotevents-data:BatchPutMessageazione nella sua politica. Le istruzioni delle policy devono includere un elemento Action o NotAction. AWS IoT Eventsdefinisce un proprio set di operazioni che descrivono le attività che puoi eseguire con questo servizio.
Per specificare più operazioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
"Action": [ "iotevents:action1", "iotevents:action2"
È possibile specificare più operazioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le operazioni che iniziano con la parola Describe, includi la seguente operazione:
"Action": "iotevents:Describe*"
Per un elenco di operazioni di AWS IoT Events, consulta Operazioni definite da AWS IoT Events nella Guida per l'utente IAM.
Risorse
L'elemento Resource specifica l'oggetto o gli oggetti ai quali si applica l'operazione. Le istruzioni devono includere un elemento Resource o un elemento NotResource. Specifica una risorsa utilizzando un ARN o il carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.
La risorsa del modello del AWS IoT Events rilevatore ha il seguente ARN:
arn:${Partition}:iotevents:${Region}:${Account}:detectorModel/${detectorModelName}
Per ulteriori informazioni sul formato di ARN, consulta Amazon Resource Name (ARN) e spazi dei nomi del servizio AWS.
Ad esempio, per specificare il modello del Foobar rilevatore nella dichiarazione, utilizzate il seguente ARN:
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/Foobar"
Per specificare tutti le istanze che appartengono ad un account specifico, utilizza il carattere jolly (*):
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/*"
Alcune operazioni AWS IoT Events, ad esempio quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).
"Resource": "*"
Molte operazioni API AWS IoT Events coinvolgono più risorse. Ad esempio, CreateDetectorModel fa riferimento agli input nelle sue istruzioni di condizione, quindi un utente deve disporre delle autorizzazioni per utilizzare l'input e il modello del rilevatore. Per specificare più risorse in una singola istruzione, separa gli ARN con le virgole.
"Resource": [ "resource1", "resource2"
Per un elenco di tipi di risorse di AWS IoT Events e i relativi ARN, consulta Risorse definite da AWS IoT Events nella Guida per l'utente IAM. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta Operazioni definite da AWS IoT Events.
Chiavi di condizione
L'elemento Condition (o blocco Condition) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento Condition è facoltativo. Puoi compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.
Se specifichi più elementi Condition in un'istruzione o più chiavi in un singolo elemento Condition, questi vengono valutati da AWS utilizzando un'operazione AND logica. Se specifichi più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione OR logica. Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.
Puoi anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, puoi concedere a un utente l’autorizzazione per accedere a una risorsa solo se è stata taggata con il proprio nome utente. Per ulteriori informazioni, consulta Elementi delle policy IAM: variabili e tag nella Guida per l'utente di IAM.
AWS IoT Events non fornisce chiavi di condizione specifiche del servizio, ma supporta l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'utente IAM.»
Esempi
Per visualizzare esempi di policy basate su identità AWS IoT Events, consulta Esempi di policy di AWS IoT Events basate su identità.
Policy di AWS IoT Events basate sulle risorse
AWS IoT Events non supporta policy basate su risorse." Per visualizzare un esempio di una pagina di policy basata su risorse dettagliata, consulta https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html.
Autorizzazione basata su tag AWS IoT Events
Puoi collegare i tag alle risorse AWS IoT Events o passare i tag in una richiesta a AWS IoT Events. Per controllare l'accesso basato su tag, fornisci informazioni sui tag nell'elemento condizione di una policy utilizzando le chiavi di condizione iotevents:ResourceTag/, key-nameaws:RequestTag/ o key-nameaws:TagKeys. Per ulteriori informazioni sul tagging delle risorse di AWS IoT Events, consulta Tagging delle risorse AWS IoT Events.
Per visualizzare una policy basata sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta Visualizzazione degli input in base ai tag AWS IoT Events.
Ruoli IAM di AWS IoT Events
Un ruolo IAM è un'entità all'interno di Account AWS che dispone di autorizzazioni specifiche.
Utilizzo di credenziali temporanee con AWS IoT Events
È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. È possibile ottenere credenziali di sicurezza temporanee chiamando operazioni API AWS Security Token Service (AWS STS) come AssumeRoleo GetFederationToken.
AWS IoT Events non supporta l'utilizzo di credenziali temporanee.
Ruoli collegati ai servizi
Ruoli collegati al servizio consentono ai servizi AWS di accedere a risorse in altri servizi per completare un'operazione a tuo nome. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.
AWS IoT Events attualmente non supporta i ruoli collegati ai servizi.
Ruoli dei servizi
Questa caratteristica consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'operazione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questo potrebbe pregiudicare la funzionalità del servizio.
AWS IoT Events supporta i ruoli dei servizi.
