As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Autorizando seus dispositivos a usar AWS IoT Jobs com segurança no plano de dados
<a name="iot-data-plane-jobs"></a>

Para autorizar seus dispositivos a interagir de forma segura com AWS IoT Jobs no plano de dados, você deve usar políticas. AWS IoT Core AWS IoT Core políticas para trabalhos são documentos JSON contendo declarações de políticas. Essas políticas também usam elementos *Efeito*, *Ação* e *Recurso* e seguem uma convenção semelhante às políticas do IAM. Para obter mais informações sobre os elementos, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html) no *Guia do usuário do IAM*.

As políticas podem ser usadas com os protocolos MQTT e HTTPS e devem usar a autenticação mútua TCP ou TLS para autenticar os dispositivos. Veja a seguir como usar essas políticas nos diferentes protocolos de comunicação.

**Atenção**  
Recomendamos que você não use permissões curinga, como `"Action": ["iot:*"]` em suas políticas ou AWS IoT Core políticas do IAM. Usar permissões curinga não é uma prática recomendada de segurança. Para obter mais informações, consulte [Política de AWS IoT excessivamente permissiva](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-iot-policy-permissive.html). 

## AWS IoT Core políticas para o protocolo MQTT
<a name="iot-jobs-data-mqtt"></a>

AWS IoT Core as políticas do protocolo MQTT concedem a você permissões para usar as ações da API MQTT do dispositivo de tarefas. As operações da API MQTT são usadas para trabalhar com tópicos do MQTT reservados para comandos de trabalho. Para obter mais informações sobre essas operações de API, consulte [Operações da API MQTT do dispositivo de trabalhos](jobs-mqtt-api.md).

As políticas do MQTT usam ações de política como `iot:Connect`, `iot:Publish`, `iot:Subscribe` e `iot:Receieve` para trabalhar com os tópicos de trabalho. Essas políticas permitem que você se conecte ao agente de mensagens, assine os tópicos do MQTT de trabalhos e envie e receba mensagens do MQTT entre seus dispositivos e a nuvem. Para obter mais informações sobre essas ações, consulte [AWS IoT Core ações políticas](iot-policy-actions.md).

Para obter informações sobre tópicos para AWS IoT trabalhos, consulte[Tópicos de trabalhos](reserved-topics.md#reserved-topics-job).

### Exemplos básicos de políticas do MQTT
<a name="iot-jobs-mqtt-example"></a>

O exemplo a seguir mostra como você pode usar `iot:Publish` e `iot:Subscribe` para publicar e assinar trabalhos e execuções de trabalhos.

No exemplo, substitua:
+ {{region}}com o seu Região da AWS, como`us-east-1`.
+ {{account-id}}com seu Conta da AWS número, como`57EXAMPLE833`.
+ {{thing-name}}com o nome da sua coisa de IoT para a qual você está segmentando trabalhos, como. `MyIoTThing`

****  

```
{
    "Version":"2012-10-17",		 	 	 

    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iot:Publish",
                "iot:Subscribe"
            ],
            "Resource": [
            "arn:aws:iot:{{us-east-1}}:{{123456789012}}:topic/$aws/events/job/*",
    "arn:aws:iot:{{us-east-1}}:{{123456789012}}:topic/$aws/events/jobExecution/*",
    "arn:aws:iot:{{us-east-1}}:{{123456789012}}:topic/$aws/things/thing-123/jobs/*"
            ]
        }
    ]
}
```

## AWS IoT Core políticas para o protocolo HTTPS
<a name="iot-jobs-data-http"></a>

AWS IoT Core as políticas no plano de dados também podem usar o protocolo HTTPS com o mecanismo de autenticação TLS para autorizar seus dispositivos. No plano de dados, as políticas usam o prefixo `iotjobsdata:` para autorizar operações de API de trabalhos que os dispositivos podem realizar. Por exemplo, a ação de política `iotjobsdata:DescribeJobExecution` concede ao usuário permissão para usar a API [https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html).

**nota**  
As ações da política do plano de dados devem usar o prefixo `iotjobsdata:`. No ambiente de gerenciamento, as ações devem usar o prefixo `iot:`. Para ver um exemplo de política do IAM quando as ações de política do ambiente de gerenciamento e do plano de dados são usadas, consulte [Exemplo de política do IAM para ambiente de gerenciamento e plano de dados](iam-policy-users-jobs.md#iam-data-plane-example2). 

### Ações de políticas
<a name="iot-data-plane-actions"></a>

A tabela a seguir mostra uma lista de ações AWS IoT Core políticas e permissões para autorizar dispositivos a usar as ações da API. Para obter uma lista das operações de API que você pode realizar no plano de dados, consulte [API HTTP do dispositivo do Jobs](jobs-http-device-api.md).

**nota**  
Essas ações da política de execução de trabalhos se aplicam apenas ao endpoint HTTP TLS. Se você usar o endpoint MQTT, deverá usar as ações de política do MQTT definidas anteriormente.


**AWS IoT Core ações políticas no plano de dados**  

| Ação de política | Operação de API | Resource types | Description | 
| --- | --- | --- | --- | 
| iotjobsdata:DescribeJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html) |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/iot/latest/developerguide/iot-data-plane-jobs.html)  | Representa a permissão para recuperar uma execução de trabalho. A permissão iotjobsdata:DescribeJobExecution é verificada sempre que é feita uma solicitação para recuperar uma execução de trabalho. | 
| iotjobsdata:GetPendingJobExecutions | [https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_GetPendingJobExecutions.html](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_GetPendingJobExecutions.html) | objeto | Representa a permissão para recuperar a lista de trabalhos que não estão em status terminal para um objeto. A permissão iotjobsdata:GetPendingJobExecutions é verificada sempre que é feita uma solicitação para recuperar a lista. | 
| iotjobsdata:StartNextPendingJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_GetPendingJobExecutions.html](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_GetPendingJobExecutions.html) | objeto | Representa a permissão para obter e iniciar a próxima execução de trabalho pendente para um objeto. Isto é, para atualizar uma execução de trabalho com status QUEUED para IN\_PROGRESS. A permissão iotjobsdata:StartNextPendingJobExecution é verificada sempre que é feita uma solicitação para iniciar a próxima execução de trabalho pendente. | 
| iotjobsdata:UpdateJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_UpdateJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_UpdateJobExecution.html) | objeto | Representa a permissão para atualizar uma execução de trabalho. A permissão iotjobsdata:UpdateJobExecution é verificada sempre que é feita uma solicitação para atualizar o estado de uma execução de trabalho. | 

### Exemplo básico de política
<a name="iot-data-plane-example"></a>

Veja a seguir um exemplo de uma AWS IoT Core política que concede permissão para realizar as ações nas operações da API do plano de dados para qualquer recurso. Você pode definir o escopo de sua política para um recurso específico, como um objeto de IoT. No seu exemplo, substitua:
+ {{region}}com seus Região da AWS , como`us-east-1`.
+ {{account-id}}com seu Conta da AWS número, como`57EXAMPLE833`.
+ {{thing-name}}com o nome da coisa de IoT, como. `MyIoTthing`

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "iotjobsdata:GetPendingJobExecutions",
                "iotjobsdata:StartNextPendingJobExecution",
                "iotjobsdata:DescribeJobExecution",
                "iotjobsdata:UpdateJobExecution"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iot:{{us-east-1}}:{{123456789012}}:thing/thing-123"
        }
    ]
}
```

Um exemplo de quando você deve usar essas políticas pode ser quando seus dispositivos de IoT usam uma política AWS IoT Core para acessar uma dessas operações de API, como o exemplo a seguir da API `DescribeJobExecution`:

```
GET /things/thingName/jobs/jobId?executionNumber=executionNumber&includeJobDocument=includeJobDocument&namespaceId=namespaceId HTTP/1.1
```