Ações, recursos e chaves de condição para o AWS IoT Greengrass V2 - Referência de autorização do serviço

Ações, recursos e chaves de condição para o AWS IoT Greengrass V2

O AWS IoT Greengrass V2 (prefixo de serviço: greengrass) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em políticas de permissão do IAM.

Referências:

Ações definidas pelo AWS IoT Greengrass V2

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Resource types (Tipos de recursos) indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
AssociateServiceRoleToAccount Concede permissão para associar uma função à conta. O AWS IoT Greengrass usa essa função para acessar as funções Lambda e os recursos do AWS IoT Permissions management

iam:PassRole

BatchAssociateClientDeviceWithCoreDevice Concede permissão para associar uma lista de dispositivos clientes a um dispositivo principal Write

coreDevice*

BatchDisassociateClientDeviceFromCoreDevice Concede permissão para desassociar uma lista de dispositivos clientes de um dispositivo principal Write

coreDevice*

CancelDeployment Concede permissão para cancelar uma implantação Write

deployment*

iot:CancelJob

iot:DeleteThingShadow

iot:DescribeJob

iot:DescribeThing

iot:DescribeThingGroup

iot:GetThingShadow

iot:UpdateJob

iot:UpdateThingShadow

CreateComponentVersion Concede permissão para criar um componente Write

component*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDeployment Concede permissão para criar uma implantação Write

aws:RequestTag/${TagKey}

aws:TagKeys

iot:CancelJob

iot:CreateJob

iot:DeleteThingShadow

iot:DescribeJob

iot:DescribeThing

iot:DescribeThingGroup

iot:GetThingShadow

iot:UpdateJob

iot:UpdateThingShadow

DeleteComponent Concede permissão para excluir um componente Write

componentVersion*

DeleteCoreDevice Concede permissão para excluir um dispositivo de núcleo do AWS IoT Greengrass, que é uma coisa do AWS IoT. Esta operação remove o dispositivo principal da lista de dispositivos principais. Essa operação não exclui a coisa do AWS IoT Write

coreDevice*

iot:DescribeJobExecution

DeleteDeployment Concede permissão para excluir uma implantação. Para excluir uma implantação ativa, primeiro ela precisa ser cancelada Write

deployment*

iot:DeleteJob

DescribeComponent Concede permissão para recuperar metadados para uma versão de um componente Read

componentVersion*

DisassociateServiceRoleFromAccount Concede permissão para desassociar a função de serviço de uma conta. Sem uma função de serviço, as implantações não funcionarão Write
GetComponent Concede permissão para obter a receita de uma versão de um componente Read

componentVersion*

GetComponentVersionArtifact Concede permissão para obter a URL pré-assinada para fazer download de um artefato de componente público Read

componentVersion*

GetConnectivityInfo Concede permissão para recuperar as informações de conectividade de um dispositivo de núcleo do Greengrass Read

connectivityInfo*

iot:GetThingShadow

GetCoreDevice Concede permissão para recuperar metadados para um dispositivo de núcleo do AWS IoT Greengrass Read

coreDevice*

GetDeployment Concede permissão para obter uma implantação Read

deployment*

iot:DescribeJob

iot:DescribeThing

iot:DescribeThingGroup

iot:GetThingShadow

GetServiceRoleForAccount Concede permissão para recuperar a função de serviço que está anexada a uma conta Read
ListClientDevicesAssociatedWithCoreDevice Concede permissão para recuperar uma lista paginada de dispositivos de cliente associados a um dispositivo principal do AWS IoT Greengrass List

coreDevice*

ListComponentVersions Concede permissão para recuperar uma lista paginada de todas as versões de um componente List

component*

ListComponents Concede permissão para recuperar uma lista paginada de resumos de componentes List
ListCoreDevices Concede permissão para recuperar uma lista paginada de dispositivos de núcleo do AWS IoT Greengrass List
ListDeployments Concede permissão para recuperar uma lista paginada de implantações List

iot:DescribeJob

iot:DescribeThing

iot:DescribeThingGroup

iot:GetThingShadow

ListEffectiveDeployments Concede permissão para recuperar uma lista paginada de trabalhos de implantação que o AWS IoT Greengrass envia para dispositivos de núcleo do AWS IoT Greengrass List

coreDevice*

iot:DescribeJob

iot:DescribeJobExecution

iot:DescribeThing

iot:DescribeThingGroup

iot:GetThingShadow

ListInstalledComponents Concede permissão para recuperar uma lista paginada dos componentes executados por um dispositivo de núcleo do AWS IoT Greengrass List

coreDevice*

ListTagsForResource Concede permissão para listar as etiquetas de um recurso Read

component

componentVersion

coreDevice

deployment

aws:RequestTag/${TagKey}

aws:TagKeys

ResolveComponentCandidates Concede permissão para listar componentes que atendem aos requisitos de componente, versão e plataforma de uma implantação List

componentVersion*

TagResource Concede permissão para adicionar etiquetas a um recurso Marcação

component

componentVersion

coreDevice

deployment

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Concede permissão para remover etiquetas de um recurso Marcação

component

componentVersion

coreDevice

deployment

aws:RequestTag/${TagKey}

aws:TagKeys

UpdateConnectivityInfo Concede permissão para atualizar as informações de conectividade de um núcleo do Greengrass. Todos os dispositivos pertencentes ao grupo que têm esse núcleo receberão essas informações para localizar o núcleo e conectar-se a ele Write

connectivityInfo*

iot:GetThingShadow

iot:UpdateThingShadow

Tipos de recursos definidos pelo AWS IoT Greengrass V2

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição
connectivityInfo arn:${Partition}:greengrass:${Region}:${Account}:/greengrass/things/${ThingName}/connectivityInfo
component arn:${Partition}:greengrass:${Region}:${Account}:components:${ComponentName}

aws:ResourceTag/${TagKey}

componentVersion arn:${Partition}:greengrass:${Region}:${Account}:components:${ComponentName}:versions:${ComponentVersion}

aws:ResourceTag/${TagKey}

coreDevice arn:${Partition}:greengrass:${Region}:${Account}:coreDevices:${CoreDeviceThingName}

aws:ResourceTag/${TagKey}

deployment arn:${Partition}:greengrass:${Region}:${Account}:deployments:${DeploymentId}

aws:ResourceTag/${TagKey}

Chaves de condição do AWS IoT Greengrass V2

O AWS IoT Greengrass V2 define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição Descrição Type
aws:RequestTag/${TagKey} Filtra o acesso verificando pares de chave-valor da etiqueta incluídos na solicitação String
aws:ResourceTag/${TagKey} Filtra o acesso verificando pares de chave-valor de tag associados a um recurso específico String
aws:TagKeys Filtra o acesso verificando as chaves de etiqueta que são transmitidas na solicitação ArrayOfString