Otorgar a una AWS IoT regla el acceso que requiere - AWS IoT Core
Revocación del acceso al motor de reglas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Otorgar a una AWS IoT regla el acceso que requiere

Utilice las funciones de IAM para controlar los AWS recursos a los que tiene acceso cada regla. Antes de crear una regla, debe crear un rol de IAM con una política que permita el acceso a los recursos necesarios AWS . AWS IoT asume esta función al implementar una regla.

Complete los siguientes pasos para crear la función y la AWS IoT política de IAM que concedan a una AWS IoT regla el acceso que necesita (AWS CLI).

  1. Guarde el siguiente documento de política de confianza, que otorga el AWS IoT permiso para asumir el rol, en un archivo denominadoiot-role-trust.json.

    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "iot.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:iot:us-east-1:123456789012:rule/rulename"
                }
            }
        }
    ]
}

    Utilice el comando create-role para crear un rol de IAM especificando el archivo iot-role-trust.json:

    aws iam create-role --role-name my-iot-role --assume-role-policy-document file://iot-role-trust.json

    El resultado de este comando tendrá un aspecto similar al siguiente.

    {
	"Role": {
		"AssumeRolePolicyDocument": "url-encoded-json",
		"RoleId": "AKIAIOSFODNN7EXAMPLE",
		"CreateDate": "2015-09-30T18:43:32.821Z",
		"RoleName": "my-iot-role",
		"Path": "/",
		"Arn": "arn:aws:iam::123456789012:role/my-iot-role"
	}
}

  2. Copie el siguiente JSON en un archivo denominado my-iot-policy.json.

    {
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": "dynamodb:*",
			"Resource": "*"
		}
	]
}

    Este JSON es un ejemplo de documento de política que otorga acceso de AWS IoT administrador a DynamoDB.

    Use el comando create-policy para conceder AWS IoT acceso a sus AWS recursos al asumir el rol, transfiriendo el archivo: my-iot-policy.json

    aws iam create-policy --policy-name my-iot-policy --policy-document file://my-iot-policy.json

    Para obtener más información sobre cómo conceder acceso a las políticas Servicios de AWS internas AWS IoT, consulte. Crear una AWS IoT regla

    La salida del comando create-policy contendrá el ARN de la política. Asociar la política a un rol.

    {
	"Policy": {
		"PolicyName": "my-iot-policy",
		"CreateDate": "2015-09-30T19:31:18.620Z",
		"AttachmentCount": 0,
		"IsAttachable": true,
		"PolicyId": "ZXR6A36LTYANPAI7NJ5UV",
		"DefaultVersionId": "v1",
		"Path": "/",
		"Arn": "arn:aws:iam::123456789012:policy/my-iot-policy",
		"UpdateDate": "2015-09-30T19:31:18.620Z"
	}
}

  3. Utilice el attach-role-policycomando para adjuntar la política a su función:

    aws iam attach-role-policy --role-name my-iot-role --policy-arn "arn:aws:iam::123456789012:policy/my-iot-policy"

Revocación del acceso al motor de reglas

Para revocar inmediatamente el acceso al motor de reglas, realice lo siguiente:

  1. Eliminar iot.amazonaws.com de la política de confianza

  2. Seguir los pasos para revocar las sesiones de roles de iot