Variables de política de AWS IoT Core de certificado X.509 - AWS IoT Core
CertificateIdAtributos de emisorAtributos de sujetoAtributos de nombre alternativo del emisorAtributos de nombre alternativo de sujetoOtros atributos

Variables de política de AWS IoT Core de certificado X.509

Las variables de política de certificados X.509 ayudan a escribir las políticas de AWS IoT Core. Estas políticas conceden permisos en función de los atributos del certificado X.509. En las siguientes secciones se describe cómo se pueden utilizar estas variables de política de certificado.

importante

Si el certificado X.509 no incluye un atributo de certificado concreto, pero la variable de política de certificados correspondiente se utiliza en el documento de política, la evaluación de la política podría provocar un comportamiento inesperado.

CertificateId

En la API RegisterCertificate el certificateId aparece en el cuerpo de la respuesta. Para obtener más información sobre su certificado, puede usar el certificateId en DescribeCertificate.

Atributos de emisor

Las siguientes variables de política de AWS IoT Core le permiten autorizar o denegar permisos en función de atributos de certificado definidos por el emisor del certificado.

  • iot:Certificate.Issuer.DistinguishedNameQualifier

  • iot:Certificate.Issuer.Country

  • iot:Certificate.Issuer.Organization

  • iot:Certificate.Issuer.OrganizationalUnit

  • iot:Certificate.Issuer.State

  • iot:Certificate.Issuer.CommonName

  • iot:Certificate.Issuer.SerialNumber

  • iot:Certificate.Issuer.Title

  • iot:Certificate.Issuer.Surname

  • iot:Certificate.Issuer.GivenName

  • iot:Certificate.Issuer.Initials

  • iot:Certificate.Issuer.Pseudonym

  • iot:Certificate.Issuer.GenerationQualifier

Atributos de sujeto

Las siguientes variables de política de AWS IoT Core le permiten conceder o denegar permisos en función de atributos de sujeto de certificado definidos por el emisor del certificado.

  • iot:Certificate.Subject.DistinguishedNameQualifier

  • iot:Certificate.Subject.Country

  • iot:Certificate.Subject.Organization

  • iot:Certificate.Subject.OrganizationalUnit

  • iot:Certificate.Subject.State

  • iot:Certificate.Subject.CommonName

  • iot:Certificate.Subject.SerialNumber

  • iot:Certificate.Subject.Title

  • iot:Certificate.Subject.Surname

  • iot:Certificate.Subject.GivenName

  • iot:Certificate.Subject.Initials

  • iot:Certificate.Subject.Pseudonym

  • iot:Certificate.Subject.GenerationQualifier

Los certificados X.509 permiten que estos atributos contengan uno o varios valores. De forma predeterminada, las variables de política de cada atributo de varios valores devuelven el primer valor. Por ejemplo, el atributo Certificate.Subject.Country podría contener una lista de nombres de países, pero cuando se evalúa en una política, iot:Certificate.Subject.Country se reemplaza por el nombre del primer país.

Puede solicitar un valor de atributo específico distinto del primero mediante un índice de base uno. Por ejemplo, iot:Certificate.Subject.Country.1 se sustituye por el nombre del segundo país en el atributo Certificate.Subject.Country. Si especifica un valor de índice que no existe (por ejemplo, si pide un tercer valor cuando el atributo solo tiene dos valores asignados), no se realizará ninguna sustitución y la autorización dará un resultado erróneo. Puede utilizar el sufijo .List en el nombre de la variable de política para especificar todos los valores del atributo.

Atributos de nombre alternativo del emisor

Las variables de política de AWS IoT Core siguientes le permiten conceder o denegar permisos en función de los atributos de nombre alternativo del emisor definidos por el emisor del certificado.

  • iot:Certificate.Issuer.AlternativeName.RFC822Name

  • iot:Certificate.Issuer.AlternativeName.DNSName

  • iot:Certificate.Issuer.AlternativeName.DirectoryName

  • iot:Certificate.Issuer.AlternativeName.UniformResourceIdentifier

  • iot:Certificate.Issuer.AlternativeName.IPAddress

Atributos de nombre alternativo de sujeto

Las variables de política de AWS IoT Core siguientes le permiten conceder o denegar permisos en función de los atributos de nombre alternativo de sujeto definidos por el emisor del certificado.

  • iot:Certificate.Subject.AlternativeName.RFC822Name

  • iot:Certificate.Subject.AlternativeName.DNSName

  • iot:Certificate.Subject.AlternativeName.DirectoryName

  • iot:Certificate.Subject.AlternativeName.UniformResourceIdentifier

  • iot:Certificate.Subject.AlternativeName.IPAddress

Otros atributos

Puede utilizar iot:Certificate.SerialNumber para permitir o denegar el acceso a recursos de AWS IoT Core en función del número de serie de un certificado. La variable de política iot:Certificate.AvailableKeys contiene el nombre de todas las variables de política de certificado que contienen valores.