本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
授權
授權是授與許可給已驗證身分的程序。您可以在 AWS IoT Core 使用 AWS IoT Core 和 IAM 政策中授予許可。本主題涵蓋 AWS IoT Core 政策。如需建立 IAM 政策的詳細資訊,請參閱 的身分識別與存取管理 AWS IoT 和 如何與 IAM AWS IoT 搭配使用。
AWS IoT Core 原則會決定已驗證身分可執行的動作。裝置、行動應用程式、Web 應用程式和桌面應用程式,都會使用未驗證的身分,經過身份驗證的身份甚至可以是輸入 AWS IoT Core CLI 命令的用戶。身分識別只有在具有授與這些 AWS IoT Core 作業權限的原則時,才能執行作業。
AWS IoT Core 政策和 IAM 政策都可搭配使用 AWS IoT Core 來控制身分識別 (也稱為主體) 可執行的作業。您使用的原則類型取決於您用來進行驗證的身分識別類型 AWS IoT Core。
AWS IoT Core 操作分為兩組:
-
控制平面 API 可讓您執行管理任務,例如建立或更新憑證、物件、規則等。
-
資料平面 API 可讓您將資料傳送至資料,並從中接收資料 AWS IoT Core。
您使用的政策類型,取決於您正使用控制平面或資料平面 API。
下表說明身分類型、其使用的通訊協定以及可用於授權的政策類型。
AWS IoT Core 資料平面 API 和政策類型 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 通訊協定和身分驗證機制 | SDK | 身分類型 | Policy type (政策類型) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| MQTT over TLS/TCP、TLS 相互授權 (連接埠 8883 或 443)†) | AWS IoT 裝置 SDK | X.509 憑證 | AWS IoT Core 政策 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| MQTT 透過網址/WebSocket、 AWS 簽署 V4 驗證 (連接埠 443) | AWS 行動 SDK | 已驗證的 Amazon Cognito 身分 | IAM 和 AWS IoT Core 政策 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 未驗證的 Amazon Cognito 身分 | IAM 政策 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| IAM 或聯合身分 | IAM 政策 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| HTTPS, AWS 簽章版本 4 驗證 (連接埠 443) | AWS CLI | Amazon Cognito、IAM 或聯合身分 | IAM 政策 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| HTTPS、TLS 相互授權 (通訊埠 8443) | 無 SDK 支援項目 | X.509 憑證 | AWS IoT Core 政策 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 透過自訂身分驗證的 HTTPS(連接埠 443) | AWS IoT 裝置 SDK | 自訂授權方 | 自訂授權方政策 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWS IoT Core 控制平面 API 和政策類型 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 通訊協定和身分驗證機制 | SDK | 身分類型 | Policy type (政策類型) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| HTTPS AWS 簽章版本 4 驗證 (連接埠 443) | AWS CLI | Amazon Cognito 身分 | IAM 政策 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| IAM 或聯合身分 | IAM 政策 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWS IoT Core 政策會附加至 X.509 憑證、Amazon Cognito 可身分或物群組。IAM 政策會連接至 IAM 使用者、群組或角色。如果您使用 AWS IoT 主控台或 AWS IoT Core CLI 附加政策 (至憑證、Amazon Cognito 身分或物群組),則使用 AWS IoT Core 政策。否則,您可以使用 IAM 政策。 AWS IoT Core 附加至物件群組的原則會套用至該物件群組內的任何物件。若要使 AWS IoT Core 原則生效,clientId與物件名稱必須相符。
政策型授權是一項強大工具。能夠讓您完全控制裝置、使用者或應用程式可在 AWS IoT Core執行的動作。例如,假設使用憑證連線到 AWS IoT Core 的裝置。您可以允許該裝置存取所有 MQTT 主題,或者限制其存取單一主題。以另一個範例而言,假設一名使用者於命令列輸入 CLI 命令。透過使用策略,您可以允許或拒絕使用者存取任何命令或 AWS IoT Core 資源。您也可以控制應用程式存取 AWS IoT Core 資源。
由於 AWS IoT 快取政策文件的方式,對政策所做的變更可能需要幾分鐘的時間才能生效。亦即,存取最近已授與存取權的資源可能需要幾分鐘的時間,而且在撤銷資源的存取權之後,可能仍有數分鐘的時間可存取該資源。
AWS 培訓和認證
如需中授權的相關資訊 AWS IoT Core,請參閱 AWS 訓練與認證網站上的深入探討 AWS IoT Core
驗證與授權
