Autoriser vos appareils à utiliser AWS IoT Jobs en toute sécurité sur le plan de données - AWS IoT Core
AWS IoT Core politiques pour le protocole MQTTAWS IoT Core politiques pour le protocole HTTPS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autoriser vos appareils à utiliser AWS IoT Jobs en toute sécurité sur le plan de données

Pour autoriser vos appareils à interagir en toute sécurité avec AWS IoT Jobs sur le plan de données, vous devez utiliser AWS IoT Core des politiques. AWS IoT Core les politiques pour les tâches sont des documents JSON contenant des déclarations de politique. Ces politiques utilisent également des éléments Effet, Action et Ressource, et suivent une convention similaire à celle des politiques IAM. Pour de plus amples informations sur les éléments, veuillez consulter Références des éléments de politique JSON IAM dans le Guide de l’utilisateur IAM.

Les politiques peuvent être utilisées avec les protocoles MQTT et HTTPS et doivent utiliser l’authentification mutuelle TCP ou TLS pour authentifier les appareils. L’exemple suivant montre comment utiliser ces politiques dans les différents protocoles de communication.

Avertissement

Nous vous recommandons de ne pas utiliser d'autorisations génériques, comme "Action": ["iot:*"] dans vos politiques ou AWS IoT Core politiques IAM. L’utilisation d’autorisations génériques n’est pas une bonne pratique de sécurité recommandée. Pour plus d'informations, consultez AWS IoT la politique trop permissive.

AWS IoT Core politiques pour le protocole MQTT

AWS IoT Core les politiques du protocole MQTT vous accordent l'autorisation d'utiliser les actions de l'API MQTT du dispositif de tâches. Les opérations de l’API MQTT sont utilisées pour travailler avec des rubriques MQTT réservées aux commandes de tâches. Pour plus d'informations sur ces opérations d’API, veuillez consulter Opérations de l’API MQTT de l’appareil des tâches.

Les politiques MQTT utilisent des actions politiques telles que iot:Connect, iot:Publish, iot:Subscribe et iot:Receieve pour travailler avec les rubriques des tâches. Ces politiques vous permettent de vous connecter à l’agent de messages, de vous abonner aux sujets MQTT des jobs et d’envoyer et de recevoir des messages MQTT entre vos appareils et le cloud. Pour plus d'informations sur ces actions, consultez AWS IoT Core actions politiques.

Pour plus d'informations sur les rubriques relatives aux AWS IoT offres d'emploi, consultezRubriques de tâche.

L’exemple suivant montre comment vous pouvez utiliser iot:Publish et iot:Subscribe pour publier et vous abonner à des tâches et à des exécutions de tâches.

Dans l’exemple, remplacez :

  • regionavec votre Région AWS, par exempleus-east-1.

  • account-idavec votre Compte AWS numéro, par exemple57EXAMPLE833.

  • thing-nameavec le nom de l'objet IoT pour lequel vous ciblez des emplois, par exempleMyIoTThing.

JSON
{
    "Statement": [
        {
           "Effect": "Allow",
           "Action": [
                "iot:Publish",
                "iot:Subscribe"
            ],
            "Resource": [
                "arn:aws:iot:region:account-id:topic/$aws/events/job/*",
                "arn:aws:iot:region:account-id:topic/$aws/events/jobExecution/*",
                "arn:aws:iot:region:account-id:topic/$aws/things/thing-name/jobs/*"
            ]
        }
    ],
    "Version": "2012-10-17"
}

AWS IoT Core politiques pour le protocole HTTPS

AWS IoT Core les politiques du plan de données peuvent également utiliser le protocole HTTPS avec le mécanisme d'authentification TLS pour autoriser vos appareils. Sur le plan de données, les politiques utilisent le préfixe iotjobsdata: pour autoriser les opérations d’API de tâches que vos appareils peuvent effectuer. Par exemple, l’action de politique iotjobsdata:DescribeJobExecution accorde à l’utilisateur l’autorisation d’utiliser l’API DescribeJobExecution.

Note

Les actions de politique du plan de données doivent utiliser le préfixe iotjobsdata:. Sur le plan de contrôle, les actions doivent utiliser le préfixe iot:. Pour un exemple de politique IAM lorsque des actions de politique du plan de contrôle et du plan de données sont utilisées à la fois, veuillez consulter Exemple de politique IAM pour le plan de contrôle et le plan de données.

Le tableau suivant présente une liste des actions AWS IoT Core politiques et des autorisations permettant d'autoriser les appareils à utiliser les actions de l'API. Pour obtenir la liste des opérations d’API que vous pouvez effectuer dans le plan de données, veuillez consulter API HTTP de l’appareil de tâches.

Note

Ces actions de stratégie d’exécution de tâche s’appliquent uniquement pour le point de terminaison HTTP TLS. Si vous utilisez le point de terminaison MQTT, vous devez utiliser les actions de politique MQTT précédemment.

AWS IoT Core actions politiques sur le plan de données
Actions de politique Opération API Types de ressources Description
iotjobsdata:DescribeJobExecution DescribeJobExecution

  • tâche

  • thing

 Représente l’autorisation de récupérer une exécution de tâch. L'autorisation iotjobsdata:DescribeJobExecution est vérifiée chaque fois qu'une demande est faite de récupérer une exécution de tâche.
iotjobsdata:GetPendingJobExecutions GetPendingJobExecutions thing Représente l'autorisation de récupérer la liste des tâches qui ne sont pas à un statut terminal pour un objet. L'autorisation iotjobsdata:GetPendingJobExecutions est vérifiée chaque fois qu'une demande est faite de récupérer la liste.
iotjobsdata:StartNextPendingJobExecution StartNextPendingJobExecution thing Représente l'autorisation d'obtenir et de démarrer l'exécution de tâche en attente suivante pour un objet. C’est-à-dire de mettre à jour une exécution de tâche en la faisant passer du statut QUEUED au statut IN_PROGRESS.) L'autorisation iotjobsdata:StartNextPendingJobExecution est vérifiée chaque fois qu'une demande est faite de démarrer l'exécution de tâche en attente suivante.
iotjobsdata:UpdateJobExecution UpdateJobExecution thing Représente l'autorisation de mettre à jour une exécution de tâche. L'autorisation iotjobsdata:UpdateJobExecution est vérifiée chaque fois qu'une demande est faite de mettre à jour l'état d'une exécution de tâche.

Vous trouverez ci-dessous un exemple de AWS IoT Core politique qui autorise l'exécution des actions sur les opérations de l'API du plan de données pour n'importe quelle ressource. Vous pouvez étendre votre politique à une ressource spécifique, telle qu’un objet IoT. Dans votre exemple, remplacez :

  • regionavec votre Région AWS tel queus-east-1.

  • account-idavec votre Compte AWS numéro, par exemple57EXAMPLE833.

  • thing-nameavec le nom de l'IoT, tel queMyIoTthing.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "iotjobsdata:GetPendingJobExecutions",
                "iotjobsdata:StartNextPendingJobExecution",
                "iotjobsdata:DescribeJobExecution",
                "iotjobsdata:UpdateJobExecution"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iot:region:account-id:thing/thing-name"
        }
    ]
}

Par exemple, vous devez utiliser ces politiques lorsque vos appareils IoT utilisent une politique AWS IoT Core pour accéder à l’une de ces opérations d’API, comme dans l’exemple d’API DescribeJobExecution suivant :

GET /things/thingName/jobs/jobId?executionNumber=executionNumber&includeJobDocument=includeJobDocument&namespaceId=namespaceId HTTP/1.1