本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 创建 OTA 用户策略 您必须向您的用户授予执行 over-the-air更新的权限。 用户必须具备以下权限: + 访问存储固件更新的 S3 存储桶。 + 访问存储在中的证书 AWS Certificate Manager。 + 访问 AWS IoT 基于 MQTT 的文件传输功能。 + 访问 FreeRTOS OTA 更新。 + 访问 AWS IoT 职位。 + 访问 IAM。 + 的访问代码签名 AWS IoT。请参阅[授予对代码签名的访问权限 AWS IoT](code-sign-policy.md)。 + 列出 FreeRTOS 硬件平台。 + 标记和取消标记 AWS IoT 资源。 要为您的用户授予所需的权限,请参阅 [IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。另请参阅[授权用户和云服务使用作 AWS IoT 业](https://docs.aws.amazon.com/iot/latest/developerguide/iam-policy-users-jobs.html)。 要提供访问权限,请为您的用户、组或角色添加权限: + 中的用户和群组 AWS IAM Identity Center: 创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。 + 通过身份提供商在 IAM 中托管的用户: 创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供商创建角色(联合身份验证)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。 + IAM 用户: + 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。 + (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限(控制台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。