Pemberitahuan akhir dukungan: Pada 15 Desember 2025, AWS akan mengakhiri dukungan untuk AWS IoT Analytics. Setelah 15 Desember 2025, Anda tidak akan lagi dapat mengakses AWS IoT Analytics konsol, atau AWS IoT Analytics sumber daya. Untuk informasi selengkapnya, lihat [AWS IoT Analytics akhir dukungan](https://docs.aws.amazon.com/iotanalytics/latest/userguide/iotanalytics-end-of-support.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS IoT Analytics contoh kebijakan berbasis identitas
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau mengubah sumber daya AWS IoT Analytics . Mereka juga tidak dapat melakukan tugas menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API. Administrator IAM harus membuat kebijakan IAM yang memberikan izin kepada pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya yang diperlukan. Administrator kemudian harus melampirkan kebijakan tersebut ke pengguna atau grup yang memerlukan izin tersebut.
*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan pada tab JSON di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) IAM*
**Topics**
+ [Praktik terbaik kebijakan](#iam-policy-best-practices)
+ [Menggunakan AWS IoT Analytics konsol](#iam-id-based-policy-examples-console)
+ [Izinkan para pengguna untuk melihat izin mereka sendiri](#iam-view-permissions)
+ [Mengakses satu masukan AWS IoT Analytics](#iam-access-one-input)
+ [Melihat AWS IoT Analytics saluran berdasarkan tag](#iam-view-input-tags)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas adalah pilihan yang sangat tepat. Mereka menentukan apakah seseorang dapat membuat, mengakses, atau menghapus AWS IoT Analytics sumber daya di akun Anda. Tindakan ini dapat menimbulkan biaya untuk akun AWS Anda. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulai menggunakan kebijakan AWS terkelola** - Untuk mulai menggunakan AWS IoT Analytics dengan cepat, gunakan kebijakan AWS terkelola untuk memberi karyawan Anda izin yang mereka butuhkan. Kebijakan ini sudah tersedia di akun Anda dan dikelola serta diperbarui oleh AWS. Untuk informasi selengkapnya, lihat [Memulai menggunakan izin dengan kebijakan AWS terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies) di *Panduan Pengguna IAM*.
+ **Berikan hak istimewa paling sedikit** - Saat Anda membuat kebijakan khusus, berikan hanya izin yang diperlukan untuk melakukan tugas. Mulai dengan satu set izin minimum dan berikan izin tambahan sesuai kebutuhan. Melakukan hal tersebut lebih aman daripada memulai dengan izin yang terlalu fleksibel, lalu mencoba memperketatnya nanti. Untuk informasi selengkapnya, lihat [Pemberian hak istimewa terendah](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) dalam *Panduan Pengguna IAM*.
+ **Aktifkan MFA untuk operasi sensitif** - Untuk keamanan ekstra, pengguna harus menggunakan otentikasi multi-faktor (MFA) untuk mengakses sumber daya sensitif atau operasi API. Untuk informasi selengkapnya, lihat [Menggunakan autentikasi multifaktor (MFA) dalam AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi kebijakan untuk keamanan ekstra** - Sejauh praktis, tentukan kondisi di mana kebijakan berbasis identitas Anda mengizinkan akses ke sumber daya. Misalnya, Anda dapat menulis kondisi untuk menentukan rentang alamat IP yang diijinkan yang harus berasal dari permintaan. Anda juga dapat menulis persyaratan untuk mengizinkan permintaan hanya dalam rentang tanggal atau waktu tertentu, atau untuk mewajibkan penggunaan SSL atau autentikasi multifaktor (MFA). Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
## Menggunakan AWS IoT Analytics konsol
Untuk mengakses AWS IoT Analytics konsol, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang AWS IoT Analytics sumber daya di Anda Akun AWS. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan. konsol tidak akan berfungsi sebagaimana dimaksud untuk entitas (pengguna atau peran) dengan kebijakan tersebut.
Untuk memastikan bahwa entitas tersebut masih dapat menggunakan AWS IoT Analytics konsol, lampirkan juga kebijakan AWS terkelola berikut ke entitas. Untuk informasi selengkapnya, lihat [Menambah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotanalytics:BatchPutMessage",
"iotanalytics:CancelPipelineReprocessing",
"iotanalytics:CreateChannel",
"iotanalytics:CreateDataset",
"iotanalytics:CreateDatasetContent",
"iotanalytics:CreateDatastore",
"iotanalytics:CreatePipeline",
"iotanalytics:DeleteChannel",
"iotanalytics:DeleteDataset",
"iotanalytics:DeleteDatasetContent",
"iotanalytics:DeleteDatastore",
"iotanalytics:DeletePipeline",
"iotanalytics:DescribeChannel",
"iotanalytics:DescribeDataset",
"iotanalytics:DescribeDatastore",
"iotanalytics:DescribeLoggingOptions",
"iotanalytics:DescribePipeline",
"iotanalytics:GetDatasetContent",
"iotanalytics:ListChannels",
"iotanalytics:ListDatasetContents",
"iotanalytics:ListDatasets",
"iotanalytics:ListDatastores",
"iotanalytics:ListPipelines",
"iotanalytics:ListTagsForResource",
"iotanalytics:PutLoggingOptions",
"iotanalytics:RunPipelineActivity",
"iotanalytics:SampleChannelData",
"iotanalytics:StartPipelineReprocessing",
"iotanalytics:TagResource",
"iotanalytics:UntagResource",
"iotanalytics:UpdateChannel",
"iotanalytics:UpdateDataset",
"iotanalytics:UpdateDatastore",
"iotanalytics:UpdatePipeline"
],
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:channel/your-channel-name",
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:dataset/your-datasetName",
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:datastore/your-datastoreName",
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:pipeline/your-pipelineName"
}
]
}
```
------
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai alternatif, hanya izinkan akses ke tindakan yang cocok dengan operasi API yang sedang Anda coba lakukan.
## Izinkan para pengguna untuk melihat izin mereka sendiri
Contoh ini menunjukkan cara Anda membuat kebijakan yang memungkinkan pengguna melihat kebijakan sebaris dan terkelola yang dilampirkan pada identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": [
"arn:aws:iam:*:*:user/username"
]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
------
## Mengakses satu masukan AWS IoT Analytics
Dalam contoh ini, Anda ingin memberi pengguna Akun AWS akses ke salah satu AWS IoT Analytics saluran Anda`exampleChannel`. Anda juga ingin mengizinkan penggunaan untuk menambah, memperbarui, dan menghapus saluran.
Kebijakan memberikan `iotanalytics:ListChannels, iotanalytics:DescribeChannel, iotanalytics:CreateChannel, iotanalytics:DeleteChannel, and iotanalytics:UpdateChannel` izin kepada pengguna. Untuk contoh panduan untuk layanan Amazon S3 yang memberikan izin kepada pengguna dan mengujinya menggunakan konsol, [lihat Contoh panduan: Menggunakan kebijakan pengguna](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html) untuk mengontrol akses ke bucket Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListChannelsInConsole",
"Effect":"Allow",
"Action":[
"iotanalytics:ListChannels"
],
"Resource":"arn:aws:iotanalytics:*:*:*"
},
{
"Sid":"ViewSpecificChannelInfo",
"Effect":"Allow",
"Action":[
"iotanalytics:DescribeChannel"
],
"Resource":"arn:aws:iotanalytics:*:*:exampleChannel"
},
{
"Sid":"ManageChannels",
"Effect":"Allow",
"Action":[
"iotanalytics:CreateChannel",
"iotanalytics:DeleteChannel",
"iotanalytics:DescribeChannel",
"iotanalytics:ListChannels",
"iotanalytics:UpdateChannel"
],
"Resource":"arn:aws:iotanalytics:*:*:exampleChannel/*"
}
]
}
```
------
## Melihat AWS IoT Analytics saluran berdasarkan tag
Anda dapat menggunakan kondisi dalam kebijakan berbasis identitas untuk mengontrol akses ke AWS IoT Analytics sumber daya berdasarkan tag. Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan yang memungkinkan melihat`channel`. Namun, izin diberikan hanya jika `channel` tag `Owner` memiliki nilai nama pengguna pengguna tersebut. Kebijakan ini juga memberikan izin yang diperlukan untuk menyelesaikan tindakan ini di konsol.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListChannelsInConsole",
"Effect": "Allow",
"Action": "iotanalytics:ListChannels",
"Resource": "*"
},
{
"Sid": "ViewChannelsIfOwner",
"Effect": "Allow",
"Action": "iotanalytics:ListChannels",
"Resource": "arn:aws:iotanalytics:*:*:channel/*",
"Condition": {
"StringEquals": {"iotanalytics:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
Anda dapat melampirkan kebijakan ini ke pengguna di akun Anda. Jika pengguna bernama `richard-roe` mencoba untuk melihat AWS IoT Analytics `channel`, `channel` harus ditandai`Owner=richard-roe or owner=richard-roe`. Jika tidak, aksesnya akan ditolak. Kunci tag kondisi `Owner` cocok dengan keduanya `Owner` dan `owner` karena nama kunci kondisi tidak peka huruf besar/kecil. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.