Acesso entre contas com IAM

AWS IoT Core permite que você permita que um diretor publique ou assine um tópico definido em um Conta da AWS não pertencente ao diretor. Você configura o acesso entre contas criando uma IAM política e uma IAM função e, em seguida, anexando a política à função.

Primeiro, crie uma IAM política gerenciada pelo cliente conforme descrito em Criação de IAM políticas, assim como você faria com outros usuários e certificados em seu Conta da AWS.

Para dispositivos registrados em AWS IoT Core registro, a política a seguir concede permissão para dispositivos se conectarem a AWS IoT Core usando um ID de cliente que corresponda ao nome do item do dispositivo e para publicar no my/topic/thing-name local thing-name é o nome da coisa do dispositivo:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": ["arn:aws:iot:us-east-1:123456789012:client/${iot:Connection.Thing.ThingName}"]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": ["arn:aws:iot:us-east-1:123456789012:topic/my/topic/${iot:Connection.Thing.ThingName}"],
        }
    ]
}

Para dispositivos não registrados em AWS IoT Core registro, a política a seguir concede permissão a um dispositivo para usar o nome da coisa client1 registrado na sua conta (123456789012) AWS IoT Core registro ao qual se conectar AWS IoT Core e para publicar em um tópico específico do ID do cliente cujo nome esteja prefixado com: my/topic/


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:Connect"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:client/client1"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iot:Publish"
            ],
            "Resource": [
                "arn:aws:iot:us-east-1:123456789012:topic/my/topic/${iot:ClientId}"
            ]
        }
    ]
}

Em seguida, siga as etapas em Criar uma função para delegar permissões a um IAM usuário. Insira o ID da conta do Conta da AWS com o qual você deseja compartilhar o acesso. Em seguida, na etapa final, anexe a política recém-criada à função. Se, posteriormente, você precisar modificar o AWS ID da conta à qual você está concedendo acesso, você pode usar o seguinte formato de política de confiança para fazer isso:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": { 
                "AWS": "arn:aws:iam:us-east-1:567890123456:user/MyUser"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Autorizando chamadas diretas para AWS serviços usando AWS IoT Core provedor de credencial

Proteção de dados