Avviso di fine del supporto: il 15 dicembre 2025, AWS terminerà il supporto per AWS IoT Analytics. Dopo il 15 dicembre 2025, non potrai più accedere alla AWS IoT Analytics console o AWS IoT Analytics alle risorse. Per ulteriori informazioni, consulta [AWS IoT Analytics Fine del supporto](https://docs.aws.amazon.com/iotanalytics/latest/userguide/iotanalytics-end-of-support.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS IoT Analytics esempi di politiche basate sull'identità
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse AWS IoT Analytics . Inoltre, non possono eseguire attività utilizzando l' AWS API Console di gestione AWS AWS CLI, o. Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore devi quindi collegare queste policy a utenti o gruppi che richiedono tali autorizzazioni.
*Per scoprire come creare una policy basata sull'identità IAM utilizzando questi esempi di documenti di policy JSON, consulta [Creazione di policy nella scheda JSON nella](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) IAM User Guide*
**Topics**
+ [Best practice per le policy](#iam-policy-best-practices)
+ [Utilizzo della console AWS IoT Analytics](#iam-id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#iam-view-permissions)
+ [Accedere a un input AWS IoT Analytics](#iam-access-one-input)
+ [Visualizzazione dei canali in base ai tag AWS IoT Analytics](#iam-view-input-tags)
## Best practice per le policy
Le policy basate su identità sono molto efficaci. Determinano se qualcuno può creare, accedere o eliminare AWS IoT Analytics risorse nel tuo account. Queste operazioni possono comportare costi aggiuntivi per l'account AWS . Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia a utilizzare le politiche AWS gestite**: per iniziare a utilizzare AWS IoT Analytics rapidamente, utilizza le politiche AWS gestite per concedere ai dipendenti le autorizzazioni di cui hanno bisogno. Queste politiche sono già disponibili nel tuo account e vengono gestite e aggiornate da AWS. Per ulteriori informazioni, consulta [Introduzione all'utilizzo delle autorizzazioni con policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies) nella *Guida per l'utente IAM*.
+ **Concedi il privilegio minimo**: quando crei politiche personalizzate, concedi solo le autorizzazioni necessarie per eseguire un'attività. Inizia con un set di autorizzazioni minimo e concedi autorizzazioni aggiuntive quando necessario. Questo è più sicuro che iniziare con autorizzazioni che siano troppo permissive e cercare di limitarle in un secondo momento. Per ulteriori informazioni, consulta [Assegnare il privilegio minimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) nella *Guida per l'utente IAM*.
+ **Abilita l'MFA per operazioni sensibili**: per una maggiore sicurezza, richiedi agli utenti di utilizzare l'autenticazione a più fattori (MFA) per accedere a risorse sensibili o operazioni API. Per ulteriori informazioni, consulta [Utilizzo dell'autenticazione a più fattori (MFA) in AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) nella *Guida per l'utente IAM*.
+ **Utilizza le condizioni delle policy per una maggiore sicurezza**: nella misura in cui è pratico, definisci le condizioni in base alle quali le policy basate sull'identità consentono l'accesso a una risorsa. Ad esempio, puoi scrivere una condizione per specificare un intervallo di indirizzi IP consentiti da cui deve provenire una richiesta. Puoi anche scrivere condizioni per consentire le richieste solo entro un intervallo di data o orario specificato o per richiedere l'uso di SSL o MFA. Per ulteriori informazioni, consulta [Elementi delle policy JSON di IAM: Condizioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente IAM*.
## Utilizzo della console AWS IoT Analytics
Per accedere alla AWS IoT Analytics console, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle AWS IoT Analytics risorse del tuo. Account AWS Se crei una politica basata sull'identità che è più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per le entità (utenti o ruoli) con quella politica.
Per garantire che tali entità possano ancora utilizzare la AWS IoT Analytics console, allega anche la seguente AWS politica gestita alle entità. Per maggiori informazioni, consultare [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iotanalytics:BatchPutMessage",
"iotanalytics:CancelPipelineReprocessing",
"iotanalytics:CreateChannel",
"iotanalytics:CreateDataset",
"iotanalytics:CreateDatasetContent",
"iotanalytics:CreateDatastore",
"iotanalytics:CreatePipeline",
"iotanalytics:DeleteChannel",
"iotanalytics:DeleteDataset",
"iotanalytics:DeleteDatasetContent",
"iotanalytics:DeleteDatastore",
"iotanalytics:DeletePipeline",
"iotanalytics:DescribeChannel",
"iotanalytics:DescribeDataset",
"iotanalytics:DescribeDatastore",
"iotanalytics:DescribeLoggingOptions",
"iotanalytics:DescribePipeline",
"iotanalytics:GetDatasetContent",
"iotanalytics:ListChannels",
"iotanalytics:ListDatasetContents",
"iotanalytics:ListDatasets",
"iotanalytics:ListDatastores",
"iotanalytics:ListPipelines",
"iotanalytics:ListTagsForResource",
"iotanalytics:PutLoggingOptions",
"iotanalytics:RunPipelineActivity",
"iotanalytics:SampleChannelData",
"iotanalytics:StartPipelineReprocessing",
"iotanalytics:TagResource",
"iotanalytics:UntagResource",
"iotanalytics:UpdateChannel",
"iotanalytics:UpdateDataset",
"iotanalytics:UpdateDatastore",
"iotanalytics:UpdatePipeline"
],
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:channel/your-channel-name",
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:dataset/your-datasetName",
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:datastore/your-datastoreName",
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:pipeline/your-pipelineName"
}
]
}
```
------
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è possibile accedere solo alle operazioni che soddisfano l'operazione API che stai cercando di eseguire.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": [
"arn:aws:iam:*:*:user/username"
]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
------
## Accedere a un input AWS IoT Analytics
In questo esempio, vuoi concedere a un tuo utente Account AWS l'accesso a uno dei tuoi AWS IoT Analytics canali,`exampleChannel`. Desideri inoltre consentirne l'uso per aggiungere, aggiornare ed eliminare canali.
La politica concede le `iotanalytics:ListChannels, iotanalytics:DescribeChannel, iotanalytics:CreateChannel, iotanalytics:DeleteChannel, and iotanalytics:UpdateChannel` autorizzazioni all'utente. Per un esempio di procedura dettagliata per il servizio Amazon S3 che concede le autorizzazioni agli utenti e le verifica utilizzando la console, [consulta Un esempio di procedura dettagliata: Using user policy to control access to your bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListChannelsInConsole",
"Effect":"Allow",
"Action":[
"iotanalytics:ListChannels"
],
"Resource":"arn:aws:iotanalytics:*:*:*"
},
{
"Sid":"ViewSpecificChannelInfo",
"Effect":"Allow",
"Action":[
"iotanalytics:DescribeChannel"
],
"Resource":"arn:aws:iotanalytics:*:*:exampleChannel"
},
{
"Sid":"ManageChannels",
"Effect":"Allow",
"Action":[
"iotanalytics:CreateChannel",
"iotanalytics:DeleteChannel",
"iotanalytics:DescribeChannel",
"iotanalytics:ListChannels",
"iotanalytics:UpdateChannel"
],
"Resource":"arn:aws:iotanalytics:*:*:exampleChannel/*"
}
]
}
```
------
## Visualizzazione dei canali in base ai tag AWS IoT Analytics
Puoi utilizzare le condizioni della tua politica basata sull'identità per controllare l'accesso alle AWS IoT Analytics risorse in base ai tag. Questo esempio mostra come creare una policy che consente di visualizzare una `channel`. Tuttavia, le autorizzazioni vengono concesse solo se il `channel` tag `Owner` ha il valore del nome utente di quell'utente. Questa policy concede anche le autorizzazioni necessarie per completare questa operazione nella console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListChannelsInConsole",
"Effect": "Allow",
"Action": "iotanalytics:ListChannels",
"Resource": "*"
},
{
"Sid": "ViewChannelsIfOwner",
"Effect": "Allow",
"Action": "iotanalytics:ListChannels",
"Resource": "arn:aws:iotanalytics:*:*:channel/*",
"Condition": {
"StringEquals": {"iotanalytics:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
È possibile collegare questa policy agli utenti nell'account. Se un utente denominato `richard-roe` tenta di visualizzarne uno AWS IoT Analytics `channel`, `channel` deve essere taggato`Owner=richard-roe or owner=richard-roe`. In caso contrario, gli viene negato l'accesso. La chiave di tag di condizione `Owner` corrisponde sia a `Owner` che a `owner` perché i nomi delle chiavi di condizione non distinguono tra maiuscole e minuscole. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente IAM*.