Autorización
Autorización es el proceso de concesión de permisos a una identidad autenticada. Concede permisos en AWS IoT Core usando políticas de AWS IoT Core e IAM. En este tema se abordan las políticas de AWS IoT Core. Para obtener más información sobre las políticas de IAM, consulte Administración de identidades y accesos para AWS IoT y Cómo AWS IoT funciona con IAM.
AWS IoT CoreLas políticas de determinan lo que puede hacer una identidad autenticada. Los dispositivos y las aplicaciones móviles, web y de escritorio utilizan identidades autenticadas. Una identidad autenticada puede ser incluso un usuario que ejecute comandos de la CLI de AWS IoT Core. Una identidad puede ejecutar operaciones de AWS IoT Core solo si cuenta con una política que le conceda permiso para dichas operaciones.
Tanto las políticas de AWS IoT Core como las de IAM se utilizan con AWS IoT Core para controlar las operaciones que una identidad (también denominada entidad principal) puede realizar. El tipo de política que utilice depende del tipo de identidad que esté utilizando para autenticarse en AWS IoT Core.
AWS IoT CoreLas operaciones de se dividen en dos grupos:
-
La API del plano de control le permite realizar tareas administrativas, como crear o actualizar certificados, objetos, reglas, etc.
-
La API del plano de datos le permite enviar datos a y recibir datos de este servicio AWS IoT Core.
El tipo de política que utilice depende de si utiliza la API del plano de control o la del plano de datos.
En la tabla siguiente se muestran los tipos de identidad, los protocolos que utilizan y los tipos de políticas que se pueden utilizar para la autorización.
| Protocolo y mecanismo de autenticación | SDK | Tipo de identidad | Tipo de política |
|---|---|---|---|
| MQTT a través de TLS/TCP, autenticación mutua TLS (puerto 8883 o 443)†) | SDK de dispositivos AWS IoT | Certificados X.509 | AWS IoT CorePolítica de |
| MQTT a través de HTTPS/WebSocket, autenticaciónAWS SigV4 (puerto 443) | SDK para móviles de AWS | Identidad sin autenticar de Amazon Cognito | Políticas de IAM y de AWS IoT Core |
| Entidad autenticada de Amazon Cognito | Política de IAM | ||
| Identidad federada o de IAM | Política de IAM | ||
| Autenticación HTTPS con AWS Signature Version 4 (puerto 443) | AWS CLI | Identidad de Amazon Cognito, de IAM o federada | Política de IAM |
| HTTPS, autenticación mutua TLS (puerto 8443) | Sin compatibilidad de SDK | Certificados X.509 | AWS IoT CorePolítica de |
| HTTPS sobre autenticación personalizada (Puerto 443) | SDK de dispositivos AWS IoT | Autorizador personalizado | Política de autorizador personalizada |
| Protocolo y mecanismo de autenticación | SDK | Tipo de identidad | Tipo de política |
|---|---|---|---|
| Autenticación HTTPS con AWS Signature Version 4 (puerto 443) | AWS CLI | Identidad de Amazon Cognito | Política de IAM |
| Identidad federada o de IAM | Política de IAM |
Las políticas de AWS IoT Core están asociadas a certificados X.509, identidades de Amazon Cognito o grupos de objetos. Las políticas de IAM están asociadas a un usuario, grupo o rol de IAM. Si utiliza la consola de AWS IoT o la CLI de AWS IoT Core para asociar la política (a un certificado, a Amazon Cognito Identity o a un grupo de objetos), utilice una política de AWS IoT Core. De lo contrario, utilice una política de IAM. Las políticas de AWS IoT Core asociadas a un grupo de objetos se aplican a cualquier cosa dentro de ese grupo de objetos. Para que la política de AWS IoT Core surta efecto, el clientId y el nombre de la cosa deben coincidir.
Las autorizaciones basadas en políticas son una herramienta muy eficaz. Le dan un control completo sobre lo que un dispositivo, usuario o aplicación puede hacer en AWS IoT Core. Por ejemplo, tomemos el caso de un dispositivo que se conecte con AWS IoT Core mediante un certificado. Puede permitir que el dispositivo tenga acceso a todos los temas MQTT, o bien puede restringir su acceso a un único tema. O tomemos, por ejemplo, el caso de un usuario que ejecute comandos de la CLI en una línea de comandos. Si aplica una política, puede permitirle o denegarle el acceso a cualquier comando o recurso de AWS IoT Core. También puede controlar el acceso de una aplicación a los recursos de AWS IoT Core.
Los cambios realizados en una política pueden tardar unos minutos en hacerse efectivos debido a la forma en que se almacenan en caché en AWS IoT los documentos de la política. Es decir, es posible que el acceso a un recurso al que se haya concedido acceso recientemente tarde unos minutos y que se pueda acceder a un recurso durante varios minutos después de que se haya revocado su acceso.
AWS Training and Certification
Para obtener información acerca de la autorización en AWS IoT Core, realice el curso Deep Dive into AWS IoT Core Authentication and Authorization
