Políticas do Amazon S3 para recursos AWS IoT Analytics - AWS IoT Analytics

Aviso de fim do suporte: em 15 de dezembro de 2025, AWS encerrará o suporte para AWS IoT Analytics. Depois de 15 de dezembro de 2025, você não poderá mais acessar o AWS IoT Analytics console ou os AWS IoT Analytics recursos. Para obter mais informações, consulte AWS IoT Analytics Fim do suporte.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas do Amazon S3 para recursos AWS IoT Analytics

Você pode armazenar mensagens processadas do armazenamento de dados em um bucket do Amazon S3 gerenciado por AWS IoT Analytics ou em um que você gerencia. Ao criar um datastore, selecione o bucket do Amazon S3 que você deseja usando o parâmetro da API datastoreStorage. O padrão é um bucket do Amazon S3 gerenciado pelo serviço.

Se você optar por ter as mensagens do armazenamento de dados armazenadas em um bucket do Amazon S3 que você gerencia, você deve conceder AWS IoT Analytics permissão para realizar essas ações em seu bucket do Amazon S3 para você:

  • s3:GetBucketLocation

  • s3:PutObject

  • s3:DeleteObject

Se você usar o armazenamento de dados como fonte para um conjunto de dados de consulta SQL, configure uma política de bucket do Amazon S3 que AWS IoT Analytics conceda permissão para invocar consultas do Amazon Athena no conteúdo do seu bucket.

nota

Recomendamos que você especifique aws:SourceArn em sua política de bucket para ajudar a evitar o problema de segurança substituto confuso. Essa ação restringe o acesso ao permitir somente as solicitações provenientes de uma conta específica. Para obter mais informações sobre o problema substituto confuso, consulte Prevenção contra o ataque do “substituto confuso” em todos os serviços.

Veja a seguir um exemplo de política de bucket que concede estas permissões necessárias.

{
    "Version": "2012-10-17",
    "Id": "MyPolicyID",
    "Statement": [
        {
            "Sid": "MyStatementSid",
            "Effect": "Allow",
            "Principal": {
                "Service": "iotanalytics.amazonaws.com"
            },
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload",
                "s3:PutObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ],
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:iotanalytics:us-east-1:123456789012:dataset/DOC-EXAMPLE-DATASET",
                        "arn:aws:iotanalytics:us-east-1:123456789012:datastore/DOC-EXAMPLE-DATASTORE"
                    ]
                }
            }
        }
    ]
}

Consulte Acesso entre contas no Guia do usuário do Amazon Athena para obter mais informações.

nota

Se você atualizar as opções ou permissões do datastore gerenciado pelo cliente, poderá ser necessário reprocessar os dados do canal para garantir que os dados ingeridos anteriormente estejam incluídos no conteúdo do conjunto de dados. Para obter mais informações, consulte Reprocessamento de dados do canal.