Conditions préalables à l'accès au tunnel Politiques d'accès aux tunnels

Contrôle de l'accès aux tunnels

Le tunneling sécurisé fournit des actions, des ressources et des clés de contexte de condition spécifiques au service, à utiliser dans les politiques de permissions IAM.

Conditions préalables à l'accès au tunnel

Découvrez comment sécuriser les AWS ressources à l'aide des politiques IAM.
Découvrez comment créer et évaluer des conditions IAM.
Découvrez comment sécuriser les AWS ressources à l'aide de balises de ressources.

Politiques d'accès aux tunnels

Vous devez utiliser les politiques suivantes pour autoriser les autorisations d'utilisation de l'API de tunneling sécurisé. Pour plus d'informations sur AWS IoT la sécurité, voirGestion des identités et des accès pour AWS IoT.

L'action de stratégie iot:OpenTunnel accorde à un mandataire l'autorisation d'appeler OpenTunnel.

Dans l'Resourceélément de la déclaration de politique IAM :

Spécifiez l'ARN du tunnel générique :

arn:aws:iot:aws-region:aws-account-id:tunnel/*
Spécifiez un objet ARN pour gérer les OpenTunnel autorisations pour des objets IoT spécifiques :

arn:aws:iot:aws-region:aws-account-id:thing/thing-name

Par exemple, la déclaration de stratégie suivante vous permet d'ouvrir un tunnel vers l'objet IoT nommé TestDevice.


{
    "Effect": "Allow",
    "Action": "iot:OpenTunnel",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*",
        "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice"
    ]
}

L'action de stratégie iot:OpenTunnel prend en charge les clés de condition suivantes :

iot:ThingGroupArn
iot:TunnelDestinationService
aws:RequestTag/tag-key
aws:SecureTransport
aws:TagKeys

La déclaration de politique suivante vous permet d'ouvrir un tunnel vers l'objet si l'objet appartient à un groupe d'objets dont le nom commence par et TestGroup si le service de destination configuré sur le tunnel est SSH.


{
    "Effect": "Allow",
    "Action": "iot:OpenTunnel",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*"
    ],
    "Condition": {
        "ForAnyValue:StringLike": {
            "iot:ThingGroupArn": [
                "arn:aws:iot:aws-region:aws-account-id:thinggroup/TestGroup*"
            ]
        },
        "ForAllValues:StringEquals": {
            "iot:TunnelDestinationService": [
                "SSH"
            ]
        }
    }
}

Vous pouvez également utiliser des balises de ressources pour contrôler l'autorisation d'ouvrir des tunnels. Par exemple, la déclaration de stratégie suivante permet d'ouvrir un tunnel si la clé de balise Owner est présente et que sa valeur est Admin et qu'aucune autre balise n'est spécifiée. Pour obtenir des informations sur comment utiliser les , consultez Marquer vos ressources AWS IoT.


{
    "Effect": "Allow",
    "Action": "iot:OpenTunnel",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*"
    ],
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Owner": "Admin"
        },
        "ForAllValues:StringEquals": {
            "aws:TagKeys": "Owner"
        }
    }
}

L'action de stratégie iot:RotateTunnelAccessToken accorde à un mandataire l'autorisation d'appeler RotateTunnelAccessToken.

Dans l'Resourceélément de la déclaration de politique IAM :

Spécifiez un ARN de tunnel entièrement qualifié :

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Vous pouvez également utiliser l'ARN du tunnel générique :

arn:aws:iot:aws-region:aws-account-id:tunnel/*
Spécifiez un objet ARN pour gérer les RotateTunnelAccessToken autorisations pour des objets IoT spécifiques :

arn:aws:iot:aws-region:aws-account-id:thing/thing-name

Par exemple, la déclaration de politique suivante vous permet de faire pivoter le jeton d'accès source d'un tunnel ou le jeton d'accès de destination d'un client pour l'objet IoT nommé TestDevice.


{
    "Effect": "Allow",
    "Action": "iot:RotateTunnelAccessToken",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*",
        "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice"
    ]
}

L'action de stratégie iot:RotateTunnelAccessToken prend en charge les clés de condition suivantes :

iot:ThingGroupArn
iot:TunnelDestinationService
iot:ClientMode
aws:SecureTransport

La déclaration de politique générale suivante vous permet de faire pivoter le jeton d'accès de destination vers l'objet si l'objet appartient à un groupe d'objets dont le nom commence par TestGroup, le service de destination configuré sur le tunnel est SSH, et le client est en DESTINATION mode.


{
    "Effect": "Allow",
    "Action": "iot:RotateTunnelAccessToken",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*"
    ],
    "Condition": {
        "ForAnyValue:StringLike": {
            "iot:ThingGroupArn": [
                "arn:aws:iot:aws-region:aws-account-id:thinggroup/TestGroup*"
            ]
        },
        "ForAllValues:StringEquals": {
            "iot:TunnelDestinationService": [
                "SSH"
            ],
            "iot:ClientMode": "DESTINATION"
        }
    }
}

L'action de stratégie iot:DescribeTunnel accorde à un mandataire l'autorisation d'appeler DescribeTunnel.

Dans l'Resourceélément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Vous pouvez également utiliser le caractère générique ARN :

arn:aws:iot:aws-region:aws-account-id:tunnel/*

L'action de stratégie iot:DescribeTunnel prend en charge les clés de condition suivantes :

aws:ResourceTag/tag-key
aws:SecureTransport

La déclaration de stratégie suivante vous permet d'appeler DescribeTunnel si le tunnel demandé est marqué avec la clé Owner ayant la valeur Admin.


{
    "Effect": "Allow",
    "Action": "iot:DescribeTunnel",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*"
    ],
    "Condition": {
        "StringEquals": {
            "aws:ResourceTag/Owner": "Admin"
        }
    }
}

L'action de stratégie iot:ListTunnels accorde à un mandataire l'autorisation d'appeler ListTunnels.

Dans l'Resourceélément de la déclaration de politique IAM :

Spécifiez l'ARN du tunnel générique :

arn:aws:iot:aws-region:aws-account-id:tunnel/*
Spécifiez un objet ARN pour gérer les ListTunnels autorisations sur les objets IoT sélectionnés :

arn:aws:iot:aws-region:aws-account-id:thing/thing-name

L'iot:ListTunnelsaction politique soutient la clé de condition aws:SecureTransport.

La déclaration de stratégie suivante vous permet de répertorier les tunnels pour l'objet nommé TestDevice.


{
    "Effect": "Allow",
    "Action": "iot:ListTunnels",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*",
        "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice"
    ]
}

L'action de stratégie iot:CloseTunnel accorde à un mandataire l'autorisation d'appeler CloseTunnel.

Dans l'Resourceélément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Vous pouvez également utiliser l'ARN du tunnel générique :

arn:aws:iot:aws-region:aws-account-id:tunnel/*

L'action de stratégie iot:CloseTunnel prend en charge les clés de condition suivantes :

iot:Delete
aws:ResourceTag/tag-key
aws:SecureTransport

La déclaration de stratégie suivante vous permet d'appeler CloseTunnel si le paramètre Delete de la demande est false et si le tunnel demandé est balisé avec une clé Owner ayant la valeur QATeam.


{
    "Effect": "Allow",
    "Action": "iot:CloseTunnel",
    "Resource": [
        "arn:aws:iot:aws-region:aws-account-id:tunnel/*"
    ],
    "Condition": {
        "Bool": {
            "iot:Delete": "false"
        },
        "StringEquals": {
            "aws:ResourceTag/Owner": "QATeam"
        }
    }
}

L'action de stratégie iot:TagResource accorde à un mandataire l'autorisation d'appeler TagResource.

Dans l'Resourceélément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Vous pouvez également utiliser l'ARN du tunnel générique :

arn:aws:iot:aws-region:aws-account-id:tunnel/*

L'action iot:TagResource politique soutient la clé de condition aws:SecureTransport.

L'action de stratégie iot:UntagResource accorde à un mandataire l'autorisation d'appeler UntagResource.

Dans l'Resourceélément de la déclaration de politique IAM, spécifiez un ARN de tunnel entièrement qualifié :

arn:aws:iot:aws-region: aws-account-id:tunnel/tunnel-id

Vous pouvez également utiliser l'ARN du tunnel générique :

arn:aws:iot:aws-region:aws-account-id:tunnel/*

L'action iot:UntagResource politique soutient la clé de condition aws:SecureTransport.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration d'un appareil distant et utilisation de l'agent IoT

Résolution des problèmes de connectivité liés au tunneling sécurisé