Avis de fin de support : le 15 décembre 2025, AWS le support de AWS IoT Analytics. Après le 15 décembre 2025, vous ne pourrez plus accéder à la AWS IoT Analytics console ni aux AWS IoT Analytics ressources. Pour plus d'informations, voir [AWS IoT Analytics fin du support](https://docs.aws.amazon.com/iotanalytics/latest/userguide/iotanalytics-end-of-support.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AWS IoT Analytics exemples de politiques basées sur l'identité
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier les ressources AWS IoT Analytics . Ils ne peuvent pas non plus effectuer de tâches à l'aide de l' AWS API AWS Management Console AWS CLI, ou. Un administrateur IAM doit créer des politiques IAM autorisant les utilisateurs et les rôles à exécuter des opérations d’API spécifiques sur les ressources spécifiées dont ils ont besoin. Il doit ensuite attacher ces stratégies aux utilisateurs ou aux groupes ayant besoin de ces autorisations.
*Pour savoir comment créer une politique basée sur l'identité IAM à l'aide de ces exemples de documents de stratégie JSON, voir [Création de politiques dans l'onglet JSON du guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) de l'utilisateur IAM*
**Topics**
+ [Bonnes pratiques en matière de stratégies](#iam-policy-best-practices)
+ [Utilisation de la AWS IoT Analytics console](#iam-id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#iam-view-permissions)
+ [Accès à une AWS IoT Analytics entrée](#iam-access-one-input)
+ [Affichage des AWS IoT Analytics chaînes en fonction des tags](#iam-view-input-tags)
## Bonnes pratiques en matière de stratégies
Les politiques basées sur l'identité sont très puissantes. Ils déterminent si quelqu'un peut créer, accéder ou supprimer AWS IoT Analytics des ressources dans votre compte. Ces actions peuvent entraîner des frais pour votre compte AWS . Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez à utiliser les politiques AWS gérées** - Pour commencer à les utiliser AWS IoT Analytics rapidement, utilisez des politiques AWS gérées pour donner à vos employés les autorisations dont ils ont besoin. Ces politiques sont déjà disponibles dans votre compte et sont maintenues et mises à jour par AWS. Pour plus d'informations, voir [Commencer à utiliser les autorisations avec les politiques AWS gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies) dans le *Guide de l'utilisateur IAM*.
+ **Accorder le moindre privilège** : lorsque vous créez des politiques personnalisées, accordez uniquement les autorisations requises pour effectuer une tâche. Commencez avec un ensemble d'autorisations minimum et accordez-en d'autres si nécessaire. Cette méthode est plus sûre que de commencer avec des autorisations trop permissives et d'essayer de les restreindre plus tard. Pour plus d'informations, consultez [Accorder le moindre privilège possible](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) dans le *Guide de l'utilisateur IAM*.
+ **Activez l'authentification multifactorielle pour les opérations sensibles** : pour plus de sécurité, demandez aux utilisateurs d'utiliser l'authentification multifactorielle (MFA) pour accéder aux ressources sensibles ou aux opérations d'API. Pour plus d’informations, consultez [Utilisation de l’authentification multifactorielle (MFA) dans AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions de politique pour renforcer la sécurité** - Dans la mesure du possible, définissez les conditions dans lesquelles vos politiques basées sur l'identité autorisent l'accès à une ressource. Par exemple, vous pouvez écrire une condition pour spécifier une plage d'adresses IP autorisées d'où doit provenir une demande. Vous pouvez également rédiger des conditions pour autoriser les demandes uniquement dans un intervalle de date ou d'heure spécifié, ou pour exiger l'utilisation du protocole SSL ou MFA. Pour de plus amples informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l'utilisateur IAM*.
## Utilisation de la AWS IoT Analytics console
Pour accéder à la AWS IoT Analytics console, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les détails AWS IoT Analytics des ressources de votre Compte AWS. Si vous créez une politique basée sur l'identité qui est plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) dotées de cette politique.
Pour garantir que ces entités peuvent toujours utiliser la AWS IoT Analytics console, associez également la politique AWS gérée suivante aux entités. Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotanalytics:BatchPutMessage",
"iotanalytics:CancelPipelineReprocessing",
"iotanalytics:CreateChannel",
"iotanalytics:CreateDataset",
"iotanalytics:CreateDatasetContent",
"iotanalytics:CreateDatastore",
"iotanalytics:CreatePipeline",
"iotanalytics:DeleteChannel",
"iotanalytics:DeleteDataset",
"iotanalytics:DeleteDatasetContent",
"iotanalytics:DeleteDatastore",
"iotanalytics:DeletePipeline",
"iotanalytics:DescribeChannel",
"iotanalytics:DescribeDataset",
"iotanalytics:DescribeDatastore",
"iotanalytics:DescribeLoggingOptions",
"iotanalytics:DescribePipeline",
"iotanalytics:GetDatasetContent",
"iotanalytics:ListChannels",
"iotanalytics:ListDatasetContents",
"iotanalytics:ListDatasets",
"iotanalytics:ListDatastores",
"iotanalytics:ListPipelines",
"iotanalytics:ListTagsForResource",
"iotanalytics:PutLoggingOptions",
"iotanalytics:RunPipelineActivity",
"iotanalytics:SampleChannelData",
"iotanalytics:StartPipelineReprocessing",
"iotanalytics:TagResource",
"iotanalytics:UntagResource",
"iotanalytics:UpdateChannel",
"iotanalytics:UpdateDataset",
"iotanalytics:UpdateDatastore",
"iotanalytics:UpdatePipeline"
],
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:channel/your-channel-name",
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:dataset/your-datasetName",
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:datastore/your-datastoreName",
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:pipeline/your-pipelineName"
}
]
}
```
------
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API que vous tentez d’effectuer.
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une stratégie qui permet aux utilisateurs d'afficher les stratégies en ligne et gérées attachées à leur identité d'utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": [
"arn:aws:iam:*:*:user/username"
]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
------
## Accès à une AWS IoT Analytics entrée
Dans cet exemple, vous souhaitez accorder à un utilisateur l' Compte AWS accès à l'une de vos AWS IoT Analytics chaînes,`exampleChannel`. Vous souhaitez également autoriser l'utilisateur à ajouter, mettre à jour et supprimer des chaînes.
La politique accorde les `iotanalytics:ListChannels, iotanalytics:DescribeChannel, iotanalytics:CreateChannel, iotanalytics:DeleteChannel, and iotanalytics:UpdateChannel` autorisations à l'utilisateur. Pour un exemple de procédure pas à pas pour le service Amazon S3 qui accorde des autorisations aux utilisateurs et les teste à l'aide de la console, consultez [Un exemple de procédure pas à pas : utilisation de politiques utilisateur pour contrôler l'accès à votre](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html) compartiment.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListChannelsInConsole",
"Effect":"Allow",
"Action":[
"iotanalytics:ListChannels"
],
"Resource":"arn:aws:iotanalytics:*:*:*"
},
{
"Sid":"ViewSpecificChannelInfo",
"Effect":"Allow",
"Action":[
"iotanalytics:DescribeChannel"
],
"Resource":"arn:aws:iotanalytics:*:*:exampleChannel"
},
{
"Sid":"ManageChannels",
"Effect":"Allow",
"Action":[
"iotanalytics:CreateChannel",
"iotanalytics:DeleteChannel",
"iotanalytics:DescribeChannel",
"iotanalytics:ListChannels",
"iotanalytics:UpdateChannel"
],
"Resource":"arn:aws:iotanalytics:*:*:exampleChannel/*"
}
]
}
```
------
## Affichage des AWS IoT Analytics chaînes en fonction des tags
Vous pouvez utiliser des conditions dans votre politique basée sur l'identité pour contrôler l'accès aux AWS IoT Analytics ressources en fonction de balises. Cet exemple montre comment créer une stratégie qui permet d’afficher un élément `channel`. Toutefois, les autorisations ne sont accordées que si la `channel` balise `Owner` a la valeur du nom d'utilisateur de cet utilisateur. Cette stratégie accorde également les autorisations nécessaires pour réaliser cette action sur la console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListChannelsInConsole",
"Effect": "Allow",
"Action": "iotanalytics:ListChannels",
"Resource": "*"
},
{
"Sid": "ViewChannelsIfOwner",
"Effect": "Allow",
"Action": "iotanalytics:ListChannels",
"Resource": "arn:aws:iotanalytics:*:*:channel/*",
"Condition": {
"StringEquals": {"iotanalytics:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
Vous pouvez attacher cette stratégie aux utilisateurs de votre compte. Si un utilisateur nommé `richard-roe` tente de consulter un AWS IoT Analytics `channel`, celui-ci `channel` doit être balisé`Owner=richard-roe or owner=richard-roe`. Dans le cas contraire, l’utilisateur se voit refuser l'accès. La clé de condition de balise `Owner` correspond à la fois à `Owner` et à `owner`, car les noms de clé de condition ne sont pas sensibles à la casse. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.