AWS IoT Core 策略 - AWS IoT Core

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS IoT Core 策略

AWS IoT Core 策略就是JSON文档。它们遵循与IAM政策相同的惯例。 AWS IoT Core 支持命名策略,因此许多身份可以引用同一个策略文档。命名策略采用版本化,以便可以轻松回滚。

AWS IoT Core 策略允许您控制对的访问权限 AWS IoT Core 数据平面。这些区域有: AWS IoT Core 数据平面由允许您连接到 AWS IoT Core 消息代理,发送和接收MQTT消息,以及获取或更新事物的 Device Shadow。

网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的 AWS IoT Core policy 是一个包含一个或多个政策声明的JSON文档。每个语句包含:

  • Effect,指定是允许还是拒绝该操作。

  • Action,用于指定策略允许或拒绝的操作。

  • Resource,用于指定允许或拒绝对其执行操作的资源。

由于以下原因,对政策所做的更改可能需要 6 到 8 分钟才能生效 AWS IoT 缓存策略文档。也就是说,访问最近被授予访问权限的资源可能需要几分钟时间,并且资源可能在撤销访问权限后几分钟内仍可访问。

AWS IoT Core 策略可以附加到 X.509 证书、Amazon Cognito 身份和事物组。附加到事物组的策略适用于该组中的任何事物。要使策略生效,clientId和事物名称必须匹配。 AWS IoT Core 策略遵循与策略相同的策略评估逻辑。IAM默认情况下,所有策略都被隐式拒绝。任何基于身份或基于资源的策略中的显式允许将覆盖此默认行为。任何策略中的显式拒绝将覆盖任何允许。有关更多信息,请参阅《》中的策略评估逻辑 AWS Identity and Access Management 用户指南