Autorização
Autorização é o processo de concessão de permissões a uma identidade autenticada. É possível conceder permissões no AWS IoT Core usando políticas do AWS IoT Core e do IAM. Este tópico aborda políticas do AWS IoT Core. Para obter mais informações sobre políticas do IAM, consulte Gerenciamento de identidade e acesso para o AWS IoT e Como o AWS IoT funciona com o IAM.
AWS IoT CoreAs políticas do determinam o que uma identidade autenticada pode fazer. A identidade autenticada é usada por dispositivos, aplicativos móveis, aplicativos web e aplicativos de desktop. Uma identidade autenticada pode até mesmo ser um usuário digitando comandos da CLI do AWS IoT Core. Uma identidade poderá executar operações do AWS IoT Core somente se ela tiver uma política que conceda permissão para essas operações.
Tanto as políticas do AWS IoT Core como as políticas do IAM são usadas com o AWS IoT Core para controlar as operações que uma identidade (também chamada de entidade principal) pode realizar. O tipo de política usada depende do tipo de identidade que você está usando para fazer a autenticação com o AWS IoT Core.
AWS IoT CoreAs operações do são divididas em dois grupos:
-
A API de plano de controle permite executar tarefas administrativas, como criar ou atualizar certificados, objetos, regras, e assim por diante.
-
A API de plano de dados permite enviar e receber dados do AWS IoT Core.
O tipo de política usada depende se você estiver usando a API de plano de controle ou de plano de dados.
A tabela a seguir mostra os tipos de identidade, os protocolos usados e os tipos de política que podem ser usados para a autorização.
| Mecanismo de protocolo e autenticação | SDK | Tipo de identidade | Tipo de política |
|---|---|---|---|
| MQTT por TLS/TCP, autenticação mútua TLS (porta 8883 ou 443)†) | SDK do dispositivo de AWS IoT | Certificados X.509 | AWS IoT CorePolítica de |
| MQTT por HTTPS/WebSocket, autenticação AWS SigV4 (porta 443) | SDK móvel da AWS | Identidade autenticada do Amazon Cognito | Políticas do IAM e do AWS IoT Core |
| Identidade não autenticada do Amazon Cognito | Política do IAM | ||
| Identidade do IAM ou federada | Política do IAM | ||
| HTTPS, autenticação do AWS Signature versão 4 (porta 443) | AWS CLI | Identidade do Amazon Cognito, IAM ou federada | Política do IAM |
| HTTPS, autenticação mútua TLS (porta 8443) | Não há suporte para o SDK | Certificados X.509 | AWS IoT CorePolítica de |
| HTTPS sobre autenticação personalizada (Porta 443) | SDK do dispositivo de AWS IoT | Autorizador personalizado | Política do autorizador personalizado |
| Mecanismo de protocolo e autenticação | SDK | Tipo de identidade | Tipo de política |
|---|---|---|---|
| HTTPS, autenticação do AWS Signature versão 4 (porta 443) | AWS CLI | Identidade do Amazon Cognito | Política do IAM |
| Identidade do IAM ou federada | Política do IAM |
As políticas do AWS IoT Core são anexadas a certificados X.509, a identidades do Amazon Cognito ou a grupos de objetos. As políticas do IAM são anexadas a um usuário, grupo ou perfil do IAM. Se você usar o console do AWS IoT ou a CLI do AWS IoT Core para anexar a política (a um certificado, à identidade do Amazon Cognito ou a um grupo de objetos), será usada uma política do AWS IoT Core. Caso contrário, será usada uma política do IAM. As políticas do AWS IoT Core associadas a um grupo de objetos se aplicam a qualquer objeto dentro desse grupo. Para que a política do AWS IoT Core entre em vigor, o clientId e o nome do objeto devem coincidir.
A autorização com base em políticas é uma ferramenta poderosa. Ela oferece controle total sobre o que um dispositivo, um usuário ou um aplicativo pode fazer no AWS IoT Core. Por exemplo, considere que um dispositivo que se conecta ao AWS IoT Core com um certificado. Você pode permitir que o dispositivo acesse todos os tópicos MQTT ou pode restringir seu acesso a um único tópico. Em outro exemplo, considere que um usuário digite comandos CLI na linha de comando. Ao usar uma política, você pode conceder ou negar acesso a qualquer comando ou recurso do AWS IoT Core ao usuário. Você também pode controlar o acesso de um aplicativo aos recursos do AWS IoT Core.
As alterações feitas em uma política podem levar alguns minutos para entrarem em vigor devido à forma como o AWS IoT armazena em cache os documentos de política. Ou seja, pode levar alguns minutos para acessar um recurso que recebeu acesso recentemente, e um recurso pode ficar acessível por vários minutos após seu acesso ter sido revogado.
AWSTreinamento e certificação da
Para obter mais informações sobre autorização no AWS IoT Core, faça o curso Análise aprofundada sobre autenticação e autorização do AWS IoT Core
