本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS IoT SiteWise 基于身份的策略
IAM 策略支持您在 AWS IoT SiteWise中控制哪些人可以执行哪些操作。您可以决定允许或不允许哪些操作,并为这些操作设置具体条件。例如,您可以制定规则,规定谁可以查看或更改中的信息 AWS IoT SiteWise。 AWS IoT SiteWise 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》中的 IAM JSON 策略元素参考。
策略操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个主体可以对什么资源执行操作,以及在什么条件下执行。
JSON 策略的 Action 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
正在执行的策略操作在操作前 AWS IoT SiteWise 使用以下前缀:iotsitewise:. 例如,要授予某人BatchPutAssetPropertyValue通过 API 操作将资产属性数据上传到 AWS IoT SiteWise 的权限,您需要将该iotsitewise:BatchPutAssetPropertyValue操作包含在他们的策略中。策略声明必须包含Action或NotAction元素。 AWS IoT SiteWise 定义了它自己的一组操作,这些操作描述了您可以使用此服务执行的任务。
要在单个语句中指定多项 操作,请使用逗号将它们隔开,如下所示。
"Action": [ "iotsitewise:action1", "iotsitewise:action2" ]
您也可以使用通配符 (*) 指定多个操作。例如,要指定以单词 Describe 开头的所有操作,请包括以下操作。
"Action": "iotsitewise:Describe*"
要查看 AWS IoT SiteWise 操作列表,请参阅 IAM 用户指南 AWS IoT SiteWise中定义的操作。
BatchPutAssetPropertyValue 授权
AWS IoT SiteWise 以一种不寻常的方式授权访问BatchPutAssetPropertyValue操作。对于大多数操作而言,当您允许或拒绝访问时,如果未授予权限,则该操作将返回错误。通过 BatchPutAssetPropertyValue,您可以在单个 API 请求中将多个数据条目发送到不同的资产和资产属性。 AWS IoT SiteWise
会单独向每个数据条目授权。对于请求中未通过授权的任何单个条目, AWS IoT SiteWise 请在返回的错误列表AccessDeniedException中包含一个。 AWS IoT SiteWise 接收任何授权并成功的条目的数据,即使同一请求中的另一个条目失败也是如此。
重要
在将数据摄取到数据流之前,请执行以下操作:
-
如果您使用属性别名来标识数据流,请对
time-series资源进行授权。 -
如果您使用资产 ID 来识别包含关联资产属性的资产,请对
asset资源进行授权。
策略资源
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个主体可以对什么资源执行操作,以及在什么条件下执行。
Resource JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 Amazon 资源名称(ARN)指定资源。对于不支持资源级权限的操作,请使用通配符 (*) 表示该语句适用于所有资源。
"Resource": "*"
每个 IAM 政策声明都适用于您使用其指定的资源 ARNs。ARN 具有以下一般语法。
arn:${Partition}:${Service}:${Region}:${Account}:${ResourceType}/${ResourcePath}
有关格式的更多信息 ARNs,请参阅使用 Amazon 资源名称识别 AWS 资源 (ARNs)。
例如,要在语句中指定 ID 为 a1b2c3d4-5678-90ab-cdef-22222EXAMPLE 的资产,请使用以下 ARN。
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE"
要指定属于特定账户的所有数据流,请使用通配符 (*):
"Resource": "arn:aws:iotsitewise:region:123456789012:time-series/*"
要指定属于特定账户的所有资产,请使用通配符 (*):
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/*"
某些 AWS IoT SiteWise 操作(例如创建资源的操作)无法对特定资源执行。在这些情况下,您必须使用通配符 (*)。
"Resource": "*"
要在单个语句中指定多个资源,请 ARNs 用逗号分隔。
"Resource": [ "resource1", "resource2" ]
要查看 AWS IoT SiteWise 资源类型及其列表 ARNs,请参阅 IAM 用户指南 AWS IoT SiteWise中定义的资源类型。要了解可以在哪些操作中指定每个资源的 ARN,请参阅 AWS IoT SiteWise定义的操作。
策略条件键
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个主体可以对什么资源执行操作,以及在什么条件下执行。
该Condition元素指定语句何时根据定义的标准执行。您可以创建使用条件运算符(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 IAM 用户指南中的AWS 全局条件上下文密钥。
重要
许多条件键是特定于某个资源的,而某些 API 操作会使用多个资源。如果您使用条件键编写策略语句,请使用该语句的 Resource 元素指定要将该条件键应用于的资源。如果您没有这样做,该策略可能会完全阻止用户执行操作,因为针对未应用条件键的资源的条件检查失败。如果您不想指定资源,或者如果您已将策略的 Action 元素编写为包含多个 API 操作,则必须使用 ...IfExists 条件类型以确保对不使用条件键的资源忽略条件键。有关更多信息,请参阅... IfExists IAM 用户指南中的条件。
AWS IoT SiteWise 定义自己的条件键集,还支持使用一些全局条件键。要查看所有 AWS 全局条件键,请参阅 IAM 用户指南中的AWS 全局条件上下文密钥。
| 条件键 | 说明 | 类型 |
|---|---|---|
iotsitewise:isAssociatedWithAssetProperty |
数据流是否与资产属性相关联。使用此条件键根据数据流的关联资产属性的存在来定义权限。 示例值: |
字符串 |
iotsitewise:assetHierarchyPath |
资产的层次结构路径,这是一串由正斜杠分 IDs 隔的资产。使用此条件键可根据您账户中所有资产的层次结构子集来定义权限。 示例值: |
字符串 |
iotsitewise:propertyId |
资产属性的 ID。使用此条件键可根据指定的资产模型属性来定义权限。此条件键适用于该模型的所有资产。 示例值: |
字符串 |
iotsitewise:childAssetId |
作为子级关联到其他资产的资产 ID。使用此条件键可根据子资产来定义权限。要根据父资产定义权限,请使用策略语句的资源部分。 示例值: |
字符串 |
iotsitewise:iam |
列出访问策略时 IAM 身份的 ARN。使用此条件键可定义 IAM 身份的访问策略权限。 示例值: |
字符串,Null |
iotsitewise:propertyAlias |
标识资产属性或数据流的别名。使用此条件键可根据别名来定义权限。 |
字符串 |
iotsitewise:user |
列出访问策略时的 IAM Identity Center 用户 ID。使用此条件键可定义 IAM Identity Center 用户的访问策略权限。 示例值: |
字符串,Null |
iotsitewise:group |
列出访问策略时的 IAM Identity Center 组 ID。使用此条件键可定义 IAM Identity Center 组的访问策略权限。 示例值: |
字符串,Null |
iotsitewise:portal |
访问策略中的门户 ID。使用此条件键可根据门户来定义访问策略权限。 示例值: |
字符串,Null |
iotsitewise:project |
访问策略中的项目 ID 或控制面板的项目 ID。使用此条件键可根据项目来定义控制面板或访问策略权限。 示例值: |
字符串,Null |
要了解可以使用条件键的操作和资源,请参阅由定义的操作 AWS IoT SiteWise。
示例
要查看 AWS IoT SiteWise 基于身份的策略的示例,请参阅。AWS IoT SiteWise 基于身份的策略示例
