Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Autorisieren von Benutzern und Cloud-Diensten zur Nutzung von Jobs AWS IoT
Um Ihre Benutzer und Cloud-Services zu autorisieren, müssen Sie IAM-Richtlinien sowohl auf der Steuerebene als auch auf der Datenebene verwenden. Die Richtlinien müssen mit dem HTTPS-Protokoll verwendet werden und müssen die AWS Signature Version 4-Authentifizierung (Port 443) verwenden, um Benutzer zu authentifizieren.
**Anmerkung**
AWS IoT Core Richtlinien dürfen nicht auf der Steuerungsebene verwendet werden. Für die Autorisierung von Benutzern oder Cloud-Services werden nur IAM-Richtlinien verwendet. Weitere Informationen über die Verwendung der erforderlichen Richtlinie finden Sie unter [Erforderlicher Richtlinientyp für Jobs AWS IoT](iot-jobs-security.md#jobs-required-policy).
IAM-Richtlinien sind JSON-Dokumente, die Richtlinienanweisungen enthalten. Richtlinienanweisungen verwenden die Elemente *Effekt*, *Aktion* und *Ressource*, um Ressourcen festzulegen, Aktionen zuzulassen oder abzulehnen und Bedingungen, bei denen Aktionen zugelassen oder abgelehnt werden. Weitere Informationen finden Sie in der [Referenz zu IAM-JSON-Richtlinienelementen](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
**Warnung**
Wir empfehlen, dass Sie keine Platzhalterberechtigungen verwenden, z. B. `"Action": ["iot:*"]` in Ihren IAM-Richtlinien oder AWS IoT Core Richtlinien. Die Verwendung von Platzhalterberechtigungen ist keine empfohlene, bewährte Sicherheitsmethode. Weitere Informationen finden Sie unter Zu [AWS IoT freizügige Richtlinie.](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-iot-policy-permissive.html)
## IAM-Richtlinien auf der Steuerebene
Auf der Steuerebene verwenden IAM-Richtlinien das Präfix `iot:` mit der Aktion, um den entsprechenden API-Vorgang für Aufträge zu autorisieren. Beispielsweise gewährt die Richtlinienaktion `iot:CreateJob` dem Benutzer die Erlaubnis, die [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html)-API zu verwenden.
### Richtlinienaktionen
In der folgenden Tabelle wird eine Liste der IAM-Richtlinienaktionen und Berechtigungen für die Verwendung der API-Aktionen dargestellt. Informationen zu Ressourcentypen finden Sie unter [Ressourcentypen, definiert von](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html#awsiot-job). AWS IoT Weitere Informationen zu AWS IoT Aktionen finden Sie unter [Aktionen definiert von AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html).
**IAM-Richtlinienaktionen auf Steuerebene**
| Richtlinienaktionen | API-Operation | Ressourcentypen | Description |
| --- | --- | --- | --- |
| iot:AssociateTargetsWithJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_AssociateTargetsWithJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_AssociateTargetsWithJob.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/iot/latest/developerguide/iam-policy-users-jobs.html) | Steht für die Erlaubnis zum Verknüpfen einer Gruppe mit einem kontinuierlichen Auftrag. Die Berechtigung iot:AssociateTargetsWithJob wird jedes Mal überprüft, wenn eine Anforderung zur Verknüpfung eines Auftrags gestellt wird. |
| iot:CancelJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJob.html) | Auftrag | Stellt die Berechtigung zum Abbrechen eines Auftrags dar. Die Berechtigung iot:CancelJob wird jedes Mal überprüft, wenn eine Anforderung zum Abbrechen eines Auftrags gestellt wird. |
| iot:CancelJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJobExecution.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/iot/latest/developerguide/iam-policy-users-jobs.html) | Stellt die Berechtigung zum Abbruch einer Auftragsausführung dar. Die Berechtigung iot: CancelJobExecution wird jedes Mal überprüft, wenn eine Anforderung zum Abbrechen einer Auftragsausführung gestellt wird. |
| iot:CreateJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/iot/latest/developerguide/iam-policy-users-jobs.html) | Stellt die Berechtigung zum Erstellen eines Auftrags dar. Die Berechtigung iot: CreateJob wird jedes Mal überprüft, wenn eine Anforderung zum Erstellen eines Auftrags gestellt wird. |
| iot:CreateJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/iot/latest/developerguide/iam-policy-users-jobs.html) | Stellt die Berechtigung zum Erstellen einer Auftragsvorlage dar. Die Berechtigung iot: CreateJobTemplate wird jedes Mal überprüft, wenn eine Anforderung zum Erstellen einer Auftragsvorlage gestellt wird. |
| iot:DeleteJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJob.html) | Auftrag | Stellt die Berechtigung zum Löschen eines Auftrags dar. Die Berechtigung iot: DeleteJob wird jedes Mal überprüft, wenn eine Anforderung zum Löschen eines Auftrags gestellt wird. |
| iot:DeleteJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobTemplate.html) | jobtemplate | Stellt die Berechtigung zum Löschen einer Auftragsvorlage dar. Die Berechtigung iot: CreateJobTemplate wird jedes Mal überprüft, wenn eine Anforderung zum Löschen einer Auftragsvorlage gestellt wird. |
| iot:DeleteJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobExecution.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/iot/latest/developerguide/iam-policy-users-jobs.html) | Stellt die Berechtigung zum Löschen einer Auftragsausführung dar. Die Berechtigung iot: DeleteJobExecution wird jedes Mal überprüft, wenn eine Anforderung zum Löschen eines Auftragsausführung gestellt wird. |
| iot:DescribeJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJob.html) | Auftrag | Stellt die Berechtigung zum Beschreiben eines Auftrags dar. Die Berechtigung iot: DescribeJob wird jedes Mal überprüft, wenn eine Anforderung zum Beschreiben eines Auftrags gestellt wird. |
| iot:DescribeJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobExecution.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/iot/latest/developerguide/iam-policy-users-jobs.html) | Stellt die Berechtigung zum Beschreiben einer Auftragsausführung dar. Die Berechtigung iot: DescribeJobExecution wird jedes Mal überprüft, wenn eine Anforderung zum Beschreiben einer Auftragsausführung gestellt wird. |
| iot:DescribeJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobTemplate.html) | jobtemplate | Stellt die Berechtigung zum Beschreiben einer Auftragsvorlage dar. Die Berechtigung iot: DescribeJobTemplate wird jedes Mal überprüft, wenn eine Anforderung zum Beschreiben einer Auftragsvorlage gestellt wird. |
| iot:DescribeManagedJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeManagedJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeManagedJobTemplate.html) | jobtemplate | Stellt die Berechtigung zum Beschreiben einer verwalteten Auftragsvorlage dar. Die Berechtigung iot: DescribeManagedJobTemplate wird jedes Mal überprüft, wenn eine Anfrage zur Beschreibung einer verwalteten Auftragsvorlage gestellt wird. |
| iot:GetJobDocument | [https://docs.aws.amazon.com/iot/latest/apireference/API_GetJobDocument.html](https://docs.aws.amazon.com/iot/latest/apireference/API_GetJobDocument.html) | Auftrag | Stellt die Berechtigung zum Abrufen eines Auftragsdokuments für einen Auftrag dar. Die Berechtigung iot:GetJobDocument wird jedes Mal überprüft, wenn eine Anforderung zum Abrufen eines Auftragsdokuments gestellt wird. |
| iot:ListJobExecutionsForJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForJob.html) | Auftrag | Stellt die Berechtigung zum Auflisten von Auftragsausführungen für einen Auftrag dar. Die Berechtigung iot:ListJobExecutionsForJob wird jedes Mal überprüft, wenn eine Anforderung zum Auflisten der Auftragsausführungen für einen Auftrag gestellt wird. |
| iot:ListJobExecutionsForThing | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForThing.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForThing.html) | Objekt | Stellt die Berechtigung zum Auflisten von Auftragsausführungen für einen Auftrag dar. Die Berechtigung iot:ListJobExecutionsForThing wird jedes Mal überprüft, wenn eine Anforderung zum Auflisten der Auftragsausführungen für ein Objekt gestellt wird. |
| iot:ListJobs | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobs.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobs.html) | Keine | Stellt die Berechtigung zum Auflisten der Aufträge dar. Die Berechtigung iot:ListJobs wird jedes Mal überprüft, wenn eine Anforderung zum Auflisten der Aufträge gestellt wird. |
| iot:ListJobTemplates | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobTemplates.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobTemplates.html) | Keine | Stellt die Berechtigung zum Auflisten der Auftragsvorlagen dar. Die Berechtigung iot:ListJobTemplates wird jedes Mal überprüft, wenn eine Anforderung zum Auflisten der Auftragsvorlagen gestellt wird. |
| iot:ListManagedJobTemplates | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListManagedJobTemplates.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListManagedJobTemplates.html) | Keine | Stellt die Berechtigung zum Auflisten der verwalteten Jobvorlagen dar. Die Berechtigung iot:ListManagedJobTemplates wird jedes Mal überprüft, wenn eine Anforderung zum Auflisten der verwalteten Auftragsvorlagen gestellt wird. |
| iot:UpdateJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateJob.html) | Auftrag | Stellt die Berechtigung zum Aktualisieren eines Auftrags dar. Die Berechtigung iot:UpdateJob wird jedes Mal überprüft, wenn eine Anforderung zum Aktualisieren des Auftrags gestellt wird. |
| iot:TagResource | [https://docs.aws.amazon.com/iot/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot/latest/apireference/API_TagResource.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/iot/latest/developerguide/iam-policy-users-jobs.html) | Gewährt die Berechtigung zum Markieren einer bestimmten Ressource. |
| iot:UntagResource | [https://docs.aws.amazon.com/iot/latest/apireference/API_UntagResource.html](https://docs.aws.amazon.com/iot/latest/apireference/API_UntagResource.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/iot/latest/developerguide/iam-policy-users-jobs.html) | Gewährt die Berechtigung zum Aufheben der Markierung einer bestimmten Ressource. |
### Grundlegendes Beispiel für IAM-Richtlinien
Das folgende Beispiel zeigt eine IAM-Richtlinie, die dem Benutzer die Berechtigung erteilt, die folgenden Aktionen für Ihr IoT-Objekt und Ihre Objektgruppe auszuführen.
Ersetzen Sie im Beispiel:
+ *region*mit Ihrem AWS-Region, wie zum Beispiel`us-east-1`.
+ *account-id*mit deiner AWS-Konto Nummer, wie`57EXAMPLE833`.
+ *thing-group-name*mit dem Namen Ihrer IoT-Dinggruppe, für die Sie Jobs anstreben, wie `FirmwareUpdateGroup` z.
+ *thing-name*mit dem Namen Ihres IoT-Dings, für das Sie Jobs anstreben, wie `MyIoTThing` z.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iot:CreateJobTemplate",
"iot:CreateJob"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:us-east-1:123456789012:thinggroup/thing-group-name"
},
{
"Action": [
"iot:DescribeJob",
"iot:CancelJob",
"iot:DeleteJob"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:us-east-1:123456789012:job/*"
},
{
"Action": [
"iot:DescribeJobExecution",
"iot:CancelJobExecution",
"iot:DeleteJobExecution"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:us-east-1:123456789012:thing/thing-123",
"arn:aws:iot:us-east-1:123456789012:job/*"
]
}
]
}
```
### Beispiel für eine IAM-Richtlinie für eine IP-basierte Autorisierung
Sie können *Prinzipale* daran hindern, von bestimmten IP-Adressen aus API-Aufrufe an den Endpunkt Ihrer Steuerebene zu tätigen. Um die IP-Adressen anzugeben, die zugelassen werden können, verwenden Sie im Condition-Element Ihrer IAM-Richtlinie den globalen Bedingungsschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip).
Die Verwendung dieses Bedingungsschlüssels kann auch dazu führen, dass andere AWS-Service Benutzer diese API-Aufrufe in Ihrem Namen nicht ausführen können, z. AWS CloudFormation B. Um den Zugriff auf diese Dienste zu ermöglichen, verwenden Sie den [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice)globalen Bedingungsschlüssel mit dem SourceIp Schlüssel aws:. Dadurch wird sichergestellt, dass die Zugriffsbeschränkung für die Quell-IP-Adresse nur für Anforderungen gilt, die direkt von einem Prinzipal stammen. Weitere Informationen finden Sie unter [AWS: Verweigert den Zugriff auf AWS basierend auf der Quell-IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html).
Das folgende Beispiel zeigt, wie nur eine bestimmte IP-Adresse zugelassen wird, die API-Aufrufe an den Endpunkt der Steuerebene tätigen kann. Der Schlüssel `aws:ViaAWSService` ist auf `true` eingestellt, sodass andere Services API-Aufrufe in Ihrem Namen tätigen können.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:CreateJobTemplate",
"iot:CreateJob"
],
"Resource": [
"*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": "123.45.167.89"
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}]
}
```
## IAM-Richtlinien auf der Datenebene
IAM-Richtlinien auf der Datenebene verwenden das Präfix `iotjobsdata:` zum Autorisieren von API-Vorgängen, die Benutzer ausführen können. Auf der Datenebene können Sie einem Benutzer die Berechtigung zur Verwendung der [https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html)-API mithilfe der Richtlinienaktion `iotjobsdata:DescribeJobExecution` erteilen.
**Warnung**
Die Verwendung von IAM-Richtlinien auf der Datenebene wird nicht empfohlen, wenn Sie AWS IoT -Jobs für Ihre Geräte vergeben möchten. Wir empfehlen, dass Sie IAM-Richtlinien auf der Steuerebene verwenden, damit Benutzer Aufträge erstellen und verwalten können. Verwenden Sie auf der Datenebene [AWS IoT Core Richtlinien für das HTTPS-Protokoll](iot-data-plane-jobs.md#iot-jobs-data-http), um Geräte zum Abrufen von Auftragsausführungen und zum Aktualisieren des Ausführungsstatus zu autorisieren.
### Grundlegendes Beispiel für IAM-Richtlinien
Die API-Operationen, die autorisiert werden müssen, werden normalerweise ausgeführt, indem Sie CLI-Befehle eingeben. Nachfolgend wird ein Beispiel für einen Benutzer gezeigt, der eine Operation `DescribeJobExecution` ausführt.
Ersetzen Sie im Beispiel:
+ *region*mit Ihrem AWS-Region, wie `us-east-1` zum Beispiel.
+ *account-id*mit deiner AWS-Konto Nummer, wie`57EXAMPLE833`.
+ *thing-name*mit dem Namen Ihres IoT-Dings, für das Sie Jobs anstreben, wie `myRegisteredThing` z.
+ `job-id` ist die eindeutige Kennung für den zu vergebenden Auftrag, für den die API verwendet wird.
```
aws iot-jobs-data describe-job-execution \
--endpoint-url "https://account-id.jobs.iot.region.amazonaws.com" \
--job-id jobID --thing-name thing-name
```
Nachfolgend wird das Beispiel einer IAM-Richtlinie angezeigt, mit der diese Aktion autorisiert wird:
****
```
{
"Version":"2012-10-17",
"Statement": {
"Action": [
"iotjobsdata:DescribeJobExecution"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:us-east-1:123456789012:thing/thing-123"
}
}
```
### Beispiele für IAM-Richtlinien mit IP-basierter Autorisierung
Sie können den Zugriff der *Prinzipale* einschränken, von bestimmten IP-Adressen aus API-Aufrufe an den Endpunkt Ihrer Datenebene zu vergeben. Um die IP-Adressen anzugeben, die zugelassen werden können, verwenden Sie im Condition-Element Ihrer IAM-Richtlinie den globalen Bedingungsschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip).
Die Verwendung dieses Bedingungsschlüssels kann auch dazu führen, dass andere AWS-Service Benutzer diese API-Aufrufe in Ihrem Namen nicht ausführen können, z. AWS CloudFormation B. Um den Zugriff auf diese Services zu ermöglichen, verwenden Sie den globalen Bedingungsschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice) zusammen mit dem Bedingungsschlüssel `aws:SourceIp`. Dadurch wird sichergestellt, dass die Zugriffsbeschränkung für IP-Adressen nur für Anfragen gilt, die direkt vom Prinzipal gestellt werden. Weitere Informationen finden Sie unter [AWS: Verweigert den Zugriff auf AWS basierend auf der Quell-IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html).
Das folgende Beispiel zeigt, wie nur eine bestimmte IP-Adresse zugelassen wird, die API-Aufrufe an den Endpunkt der Datenebene vergeben kann.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"iotjobsdata:*"
],
"Resource": [
"*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": "123.45.167.89"
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}]
}
```
Das folgende Beispiel zeigt, wie Sie für bestimmte IP-Adressen oder Adressbereiche das Vergeben von API-Aufrufen an den Endpunkt der Datenebene einschränken können.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"iotjobsdata:*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"123.45.167.89",
"192.0.2.0/24",
"203.0.113.0/24"
]
}
},
"Resource": [
"*"
]
}
]
}
```
### Beispiel einer IAM-Richtlinie für Steuerebene und Datenebene
Wenn Sie eine API-Operation sowohl auf der Steuerebene als auch auf der Datenebene ausführen, muss Ihre Richtlinienaktion auf der Steuerebene das Präfix `iot:` verwenden, und Ihre Richtlinienaktion auf der Datenebene muss das Präfix `iotjobsdata:` verwenden.
Beispielsweise kann die API `DescribeJobExecution` sowohl auf der Steuerebene als auch auf der Datenebene verwendet werden. Auf der Steuerungsebene wird die [DescribeJobExecution](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobExecution.html)API verwendet, um die Ausführung eines Jobs zu beschreiben. Auf der Datenebene wird die [ DescribeJobExecution](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html)API verwendet, um Details einer Jobausführung abzurufen.
Die folgende IAM-Richtlinie autorisiert einen Benutzer, die API `DescribeJobExecution` sowohl auf der Steuerebene als auch auf der Datenebene zu verwenden.
Ersetzen Sie im Beispiel:
+ *region*mit deinem AWS-Region, wie zum Beispiel`us-east-1`.
+ *account-id*mit deiner AWS-Konto Nummer, wie`57EXAMPLE833`.
+ *thing-name*mit dem Namen Ihres IoT-Dings, für das Sie Jobs anstreben, wie `MyIoTThing` z.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iotjobsdata:DescribeJobExecution"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:us-east-1:123456789012:thing/thing-123"
},
{
"Action": [
"iot:DescribeJobExecution",
"iot:CancelJobExecution",
"iot:DeleteJobExecution"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:us-east-1:123456789012:thing/thing-123",
"arn:aws:iot:us-east-1:123456789012:job/*"
]
}
]
}
```
## Das Markieren von IoT-Ressourcen autorisieren
Um eine bessere Kontrolle über Aufträge und Auftragsvorlagen zu erhalten, die Sie erstellen, ändern oder verwenden können, haben Sie die Möglichkeit, Markierungen an die Aufträge oder Auftragsvorlagen anzuhängen. Markierungen helfen Ihnen außerdem bei der Unterscheidung von Eigentumsrechten, der Zuweisung und Zuordnung von Kosten, indem Sie diese Abrechnungsgruppen zuordnen und mit Markierungen versehen.
Wenn ein Benutzer seine Jobs oder Jobvorlagen, die er mit oder dem erstellt hat, AWS-Managementkonsole taggen möchte AWS CLI, muss Ihre IAM-Richtlinie dem Benutzer Berechtigungen zum Taggen gewähren. Zum Erteilen von Berechtigungen muss Ihre IAM-Richtlinie die Aktion `iot:TagResource` verwenden.
**Anmerkung**
Wenn Ihre IAM-Richtlinie die Aktion `iot:TagResource` nicht beinhaltet, wird jede Aktion [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html) oder [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html) mit einer Markierung einen Fehler `AccessDeniedException` zurückgeben.
Wenn Sie Ihre Jobs oder Jobvorlagen, die Sie mithilfe von oder erstellt haben, taggen möchten AWS CLI, muss Ihre IAM-Richtlinie die Erlaubnis gewähren, sie zu taggen. AWS-Managementkonsole Zum Erteilen von Berechtigungen muss Ihre IAM-Richtlinie die Aktion `iot:TagResource` verwenden.
Allgemeine Informationen zum Tagging von Ressourcen finden Sie unter [Verschlagworten Sie Ihre Ressourcen AWS IoT](tagging-iot.md).
### Beispiel für IAM-Richtlinien
Sehen Sie sich die folgenden Beispiele für IAM-Richtlinien zur Gewährung von Berechtigungen zum Markieren an:
*Beispiel 1*
Ein Benutzer, der den folgenden Befehl ausführt, um einen Auftrag zu erstellen und ihn einer bestimmten Umgebung zuzuordnen.
Ersetzen Sie in diesem Beispiel:
+ *region*mit Ihrem AWS-Region, wie `us-east-1` zum Beispiel.
+ *account-id*mit deiner AWS-Konto Nummer, wie`57EXAMPLE833`.
+ *thing-name*mit dem Namen Ihres IoT-Dings, für das Sie Jobs anstreben, wie `MyIoTThing` z.
```
aws iot create-job
--job-id test_job
--targets "arn:aws:iot:region:account-id:thing/thingOne"
--document-source "https://s3.amazonaws.com/amzn-s3-demo-bucket/job-document.json"
--description "test job description"
--tags Key=environment,Value=beta
```
In diesem Beispiel müssen Sie die folgende IAM-Richtlinie verwenden:
****
```
{
"Version":"2012-10-17",
"Statement": {
"Action": [
"iot:CreateJob",
"iot:CreateJobTemplate",
"iot:TagResource"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:us-east-1:123456789012:job/*",
"arn:aws:iot:us-east-1:123456789012:jobtemplate/*"
]
}
}
```