As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como controlar o acesso aos túneis
O encapsulamento seguro fornece ações, recursos e chaves de contexto de condição específicos do serviço para uso em políticas de permissões do IAM.
Pré-requisitos de acesso ao túnel
-
Saiba como proteger os AWS recursos usando políticas do IAM.
-
Saiba como criar e avaliar as condições do IAM.
-
Saiba como proteger AWS recursos usando tags de recursos.
Políticas de acesso ao túnel
Você deve usar as políticas a seguir para autorizar as permissões de uso da API de encapsulamento seguro. Para obter mais informações sobre a AWS IoT segurança consulte Gerenciamento de identidade e acesso para AWS IoT.
A iot:OpenTunnel ação de política concede permissão a uma entidade principal para chamar o OpenTunnel.
No Resource elemento da declaração de política do IAM:
-
Especifique o ARN do túnel curinga:
arn:aws:iot:aws-region:aws-account-id:tunnel/* -
Especifique um ARN de item para gerenciar a
OpenTunnelpermissão para itens específicos de IoT:arn:aws:iot:aws-region:aws-account-id:thing/thing-name
Por exemplo, a instrução da política a seguir permite abrir um túnel para o item da IoT chamado TestDevice.
{ "Effect": "Allow", "Action": "iot:OpenTunnel", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*", "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice" ] }
A iot:OpenTunnel ação da política oferece suporte às seguintes chaves de condição:
-
iot:ThingGroupArn -
iot:TunnelDestinationService -
aws:RequestTag/tag-key -
aws:SecureTransport -
aws:TagKeys
A instrução de política a seguir permite abrir um túnel para o item caso ele pertença a um grupo de itens com um nome que comece com TestGroup e o serviço de destino configurado no túnel seja SSH.
{ "Effect": "Allow", "Action": "iot:OpenTunnel", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*" ], "Condition": { "ForAnyValue:StringLike": { "iot:ThingGroupArn": [ "arn:aws:iot:aws-region:aws-account-id:thinggroup/TestGroup*" ] }, "ForAllValues:StringEquals": { "iot:TunnelDestinationService": [ "SSH" ] } } }
Também é possível usar tags de recurso para controlar a permissão para abrir túneis. Por exemplo, a instrução de política a seguir permite que um túnel seja aberto caso a chave de tag Owner esteja presente com um valor de Admin e nenhuma outra tag for especificada. Para obter informações gerais sobre o uso de tags, consulte Marcando seus recursos AWS IoT.
{ "Effect": "Allow", "Action": "iot:OpenTunnel", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*" ], "Condition": { "StringEquals": { "aws:RequestTag/Owner": "Admin" }, "ForAllValues:StringEquals": { "aws:TagKeys": "Owner" } } }
A iot:RotateTunnelAccessToken ação de política concede permissão a entidade principal para chamar AlternarTokenAcessoTúnel.
No Resource elemento da declaração de política do IAM:
-
Especifique um ARN de túnel totalmente qualificado:
arn:aws:iot:aws-region:aws-account-id:tunnel/tunnel-idVocê também pode usar o ARN do túnel curinga:
arn:aws:iot:aws-region:aws-account-id:tunnel/* -
Especifique um ARN de item para gerenciar a
RotateTunnelAccessTokenpermissão para itens específicos de IoT:arn:aws:iot:aws-region:aws-account-id:thing/thing-name
Por exemplo, a instrução de política a seguir permite que você alterne o token de acesso de origem de um túnel ou o token de acesso de destino de um cliente para o item de IoT chamado TestDevice.
{ "Effect": "Allow", "Action": "iot:RotateTunnelAccessToken", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*", "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice" ] }
A iot:RotateTunnelAccessToken ação da política oferece suporte às seguintes chaves de condição:
-
iot:ThingGroupArn -
iot:TunnelDestinationService -
iot:ClientMode -
aws:SecureTransport
A instrução de política a seguir permite alternar o token de acesso de destino para o item se o item pertencer a um grupo de objetos com um nome que começa com TestGroup, o serviço de destino configurado no túnel for SSH e o cliente estiver no modo DESTINATION.
{ "Effect": "Allow", "Action": "iot:RotateTunnelAccessToken", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*" ], "Condition": { "ForAnyValue:StringLike": { "iot:ThingGroupArn": [ "arn:aws:iot:aws-region:aws-account-id:thinggroup/TestGroup*" ] }, "ForAllValues:StringEquals": { "iot:TunnelDestinationService": [ "SSH" ], "iot:ClientMode": "DESTINATION" } } }
A iot:DescribeTunnel ação de política concede permissão a uma entidade principal para chamar o DescribeTunnel.
No Resource elemento da declaração de política do IAM, especifique um ARN de túnel totalmente qualificado:
arn:aws:iot:aws-region:
aws-account-id:tunnel/tunnel-id
Você também pode usar o ARN curinga:
arn:aws:iot:aws-region:aws-account-id:tunnel/*
A iot:DescribeTunnel ação da política oferece suporte às seguintes chaves de condição:
-
aws:ResourceTag/tag-key -
aws:SecureTransport
A instrução de política a seguir permite que você chame DescribeTunnel caso o túnel solicitado esteja marcado com a chave Owner com um valor de Admin.
{ "Effect": "Allow", "Action": "iot:DescribeTunnel", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/Owner": "Admin" } } }
A iot:ListTunnels ação de política concede permissão a uma entidade principal para chamar o ListTunnels.
No Resource elemento da declaração de política do IAM:
-
Especifique o ARN do túnel curinga:
arn:aws:iot:aws-region:aws-account-id:tunnel/* -
Especifique um ARN de item para gerenciar a
ListTunnelspermissão para itens de IoT selecionados:arn:aws:iot:aws-region:aws-account-id:thing/thing-name
A iot:ListTunnels ação de política oferece suporte à seguinte chave de condição aws:SecureTransport.
A instrução de política a seguir permite listar túneis para o item chamado TestDevice.
{ "Effect": "Allow", "Action": "iot:ListTunnels", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*", "arn:aws:iot:aws-region:aws-account-id:thing/TestDevice" ] }
A iot:ListTagsForResource ação de política concede permissão a uma entidade principal para chamar ListTagsForResource.
No Resource elemento da declaração de política do IAM, especifique um ARN de túnel totalmente qualificado:
arn:aws:iot:aws-region:
aws-account-id:tunnel/tunnel-id
Você também pode usar o ARN do túnel curinga:
arn:aws:iot:aws-region:aws-account-id:tunnel/*
A iot:ListTagsForResource ação de política oferece suporte à seguinte chave de condição aws:SecureTransport.
A iot:CloseTunnel ação de política concede permissão a uma entidade principal para chamar o CloseTunnel.
No Resource elemento da declaração de política do IAM, especifique um ARN de túnel totalmente qualificado:
arn:aws:iot:aws-region:
aws-account-id:tunnel/tunnel-id
Você também pode usar o ARN do túnel curinga:
arn:aws:iot:aws-region:aws-account-id:tunnel/*
A iot:CloseTunnel ação da política oferece suporte às seguintes chaves de condição:
-
iot:Delete -
aws:ResourceTag/tag-key -
aws:SecureTransport
A instrução de política a seguir permite chamar CloseTunnel se o parâmetro Delete da solicitação for false e a solicitação estiver marcada com a chave Owner com um valor de QATeam.
{ "Effect": "Allow", "Action": "iot:CloseTunnel", "Resource": [ "arn:aws:iot:aws-region:aws-account-id:tunnel/*" ], "Condition": { "Bool": { "iot:Delete": "false" }, "StringEquals": { "aws:ResourceTag/Owner": "QATeam" } } }
A iot:TagResource ação de política concede permissão a uma entidade principal para chamar TagResource.
No Resource elemento da declaração de política do IAM, especifique um ARN de túnel totalmente qualificado:
arn:aws:iot:aws-region:
aws-account-id:tunnel/tunnel-id
Você também pode usar o ARN do túnel curinga:
arn:aws:iot:aws-region:aws-account-id:tunnel/*
A iot:TagResource ação de política oferece suporte à seguinte chave de condição aws:SecureTransport.
A iot:UntagResource ação de política concede permissão a uma entidade principal para chamar UntagResource.
No Resource elemento da declaração de política do IAM, especifique um ARN de túnel totalmente qualificado:
arn:aws:iot:aws-region:
aws-account-id:tunnel/tunnel-id
Você também pode usar o ARN do túnel curinga:
arn:aws:iot:aws-region:aws-account-id:tunnel/*
A iot:UntagResource ação de política oferece suporte à seguinte chave de condição aws:SecureTransport.
