As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Autorização
Autorização é o processo de concessão de permissões a uma identidade autenticada. Você concede permissões no AWS IoT Core uso AWS IoT Core e nas IAM políticas. Este tópico aborda políticas do AWS IoT Core . Para obter mais informações sobre IAM políticas, consulte Gerenciamento de identidade e acesso para AWS IoT Como AWS IoT funciona com IAM e.
AWS IoT Core as políticas determinam o que uma identidade autenticada pode fazer. A identidade autenticada é usada por dispositivos, aplicativos móveis, aplicativos web e aplicativos de desktop. Uma identidade autenticada pode até mesmo ser um usuário digitando comandos AWS IoT Core CLI. Uma identidade só pode executar AWS IoT Core operações se tiver uma política que conceda permissão para essas operações.
Tanto AWS IoT Core as IAM políticas quanto as políticas são usadas AWS IoT Core para controlar as operações que uma identidade (também chamada de principal) pode realizar. O tipo de política que você usa depende do tipo de identidade com AWS IoT Core a qual você está usando para se autenticar.
AWS IoT Core as operações são divididas em dois grupos:
-
O plano de controle API permite que você execute tarefas administrativas, como criar ou atualizar certificados, itens, regras e assim por diante.
-
O plano de dados API permite que você envie e receba dados de AWS IoT Core.
O tipo de política que você usa depende se você está usando o plano de controle ou o plano de dadosAPI.
A tabela a seguir mostra os tipos de identidade, os protocolos usados e os tipos de política que podem ser usados para a autorização.
AWS IoT Core plano de dados API e tipos de políticas | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Mecanismo de protocolo e autenticação | SDK | Tipo de identidade | Tipo de política | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| MQTTsobreTLS/TCP, autenticação TLS mútua (porta 8883 ou 443) †) | AWS IoT Dispositivo SDK | Certificados X.509 | AWS IoT Core política | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| MQTTporHTTPS/WebSocket, autenticação AWS SigV4 (porta 443) | AWS Móvel SDK | Identidade autenticada do Amazon Cognito | IAMe AWS IoT Core políticas | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Identidade não autenticada do Amazon Cognito | IAMpolítica | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| IAM, ou identidade federada | IAMpolítica | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| HTTPS, Autenticação AWS Signature versão 4 (porta 443) | AWS CLI | Amazon CognitoIAM, ou identidade federada | IAMpolítica | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| HTTPS, autenticação TLS mútua (porta 8443) | Sem SDK suporte | Certificados X.509 | AWS IoT Core política | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| HTTPSsobre autenticação personalizada (porta 443) | AWS IoT Dispositivo SDK | Autorizador personalizado | Política do autorizador personalizado | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWS IoT Core plano de controle API e tipos de políticas | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Mecanismo de protocolo e autenticação | SDK | Tipo de identidade | Tipo de política | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| HTTPS AWS Autenticação Signature versão 4 (porta 443) | AWS CLI | Identidade do Amazon Cognito | IAMpolítica | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| IAM, ou identidade federada | IAMpolítica | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWS IoT Core as políticas são anexadas a certificados X.509, identidades do Amazon Cognito ou grupos de coisas. IAMas políticas são anexadas a um IAM usuário, grupo ou função. Se você usa o AWS IoT console ou o AWS IoT Core CLI para anexar a política (a um certificado, ao Amazon Cognito Identity ou a um grupo de coisas), você usa uma AWS IoT Core política. Caso contrário, você usa uma IAM política. AWS IoT Core as políticas associadas a um grupo de coisas se aplicam a qualquer coisa dentro desse grupo de coisas. Para que a AWS IoT Core política entre em vigor, o nome clientId e o nome da coisa devem corresponder.
A autorização com base em políticas é uma ferramenta poderosa. Ela oferece controle total sobre o que um dispositivo, um usuário ou um aplicativo pode fazer no AWS IoT Core. Por exemplo, considere um dispositivo conectado AWS IoT Core a um certificado. Você pode permitir que o dispositivo acesse todos os MQTT tópicos ou restringir o acesso a um único tópico. Em outro exemplo, considere um usuário digitando CLI comandos na linha de comando. Ao usar uma política, você pode permitir ou negar o acesso a qualquer comando ou AWS IoT Core recurso para o usuário. Você também pode controlar o acesso de um aplicativo aos recursos do AWS IoT Core .
As alterações feitas em uma política podem levar alguns minutos para entrarem em vigor devido à forma como o AWS IoT armazena em cache os documentos de política. Ou seja, pode levar alguns minutos para acessar um recurso que recebeu acesso recentemente, e um recurso pode ficar acessível por vários minutos após seu acesso ter sido revogado.
AWS treinamento e certificação
Para obter informações sobre autorização AWS IoT Core, faça o curso Deep Dive into AWS IoT Core
Authentication and Authorization
