As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Concedendo um AWS IoT governe o acesso que ele requer
Use as funções do IAM para controlar os AWS recursos aos quais cada regra tem acesso. Antes de criar uma regra, você deve criar uma função do IAM com uma política que permita o acesso aos AWS recursos necessários. AWS IoT assume essa função ao implementar uma regra.
**Conclua as etapas a seguir para criar a função do IAM e AWS IoT política que concede um AWS IoT governe o acesso que ele requer (AWS CLI).**
1. Salve o seguinte documento de política de confiança, que concede AWS IoT permissão para assumir a função, em um arquivo chamado`iot-role-trust.json`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "iot.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{123456789012}}"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:iot:{{us-east-1:123456789012}}:{{rule/rulename}}"
}
}
}
]
}
```
Use o comando [criar-função](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) para criar um perfil do IAM especificando o arquivo `iot-role-trust.json`:
```
aws iam create-role --role-name {{my-iot-role}} --assume-role-policy-document file://{{iot-role-trust.json}}
```
A saída desse comando é semelhante à seguinte:
```
{
"Role": {
"AssumeRolePolicyDocument": "url-encoded-json",
"RoleId": "AKIAIOSFODNN7EXAMPLE",
"CreateDate": "2015-09-30T18:43:32.821Z",
"RoleName": "my-iot-role",
"Path": "/",
"Arn": "{{arn:aws:iam::123456789012:role/my-iot-role}}"
}
}
```
1. Salve o seguinte JSON em um arquivo chamado `my-iot-policy.json`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "dynamodb:*",
"Resource": "*"
}
]
}
```
Esse JSON é um exemplo de documento de política que concede acesso de AWS IoT administrador ao DynamoDB.
Use o comando [create-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy.html) para conceder AWS IoT acesso aos seus AWS recursos ao assumir a função, transmitindo o arquivo: `my-iot-policy.json`
```
aws iam create-policy --policy-name {{my-iot-policy}} --policy-document file://{{my-iot-policy.json}}
```
Para obter mais informações sobre como conceder acesso às Serviços da AWS políticas do AWS IoT, consulte[Criando um AWS IoT regra](iot-create-rule.md).
A saída do comando [criar-política](https://docs.aws.amazon.com/cli/latest/reference/iam/create-policy.html) contém o ARN da política. Anexar uma política a uma função.
```
{
"Policy": {
"PolicyName": "my-iot-policy",
"CreateDate": "2015-09-30T19:31:18.620Z",
"AttachmentCount": 0,
"IsAttachable": true,
"PolicyId": "ZXR6A36LTYANPAI7NJ5UV",
"DefaultVersionId": "v1",
"Path": "/",
"Arn": "{{arn:aws:iam::123456789012:policy/my-iot-policy}}",
"UpdateDate": "2015-09-30T19:31:18.620Z"
}
}
```
1. Use o comando [anexar-função-política](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html) para anexar a política à sua função:
```
aws iam attach-role-policy --role-name {{my-iot-role}} --policy-arn "{{arn:aws:iam::123456789012:policy/my-iot-policy}}"
```
## Revogar o acesso ao mecanismo de regras
Para revogar imediatamente o acesso ao mecanismo de regras, faça o seguinte:
1. Remova iot.amazonaws.com da [política de confiança](https://docs.aws.amazon.com/iot/latest/developerguide/iot-create-role.html).
1. Siga as etapas para [revogar as sessões do perfil de IoT](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html).