终止支持通知：2026 年 5 月 20 日， AWS 将终止对的支持。 AWS IoT Events 2026 年 5 月 20 日之后，您将无法再访问 AWS IoT Events 控制台或 AWS IoT Events 资源。有关更多信息，请参阅[AWS IoT Events 终止支持](https://docs.aws.amazon.com/iotevents/latest/developerguide/iotevents-end-of-support.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 的身份和访问管理 AWS IoT Events
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) 是一项 AWS 服务，可帮助管理员安全地控制对 AWS 资源的访问。IAM 管理员控制谁可以*进行身份验证*（登录）和*授权*（拥有权限）使用 AWS IoT Events 资源。IAM 是一项无需额外付费即可使用的 AWS 服务。

**Topics**
+ [受众](#security_iam_audience)
+ [使用身份进行身份验证](security_iam_authentication.md)
+ [使用策略管理访问](security_iam_access-manage.md)
+ [有关身份和访问管理的更多信息](#security_iam_learn-more)
+ [如何 AWS IoT Events 与 IAM 配合使用](#security_iam_service-with-iam)
+ [AWS IoT Events 基于身份的策略示例](security_iam_id-based-policy-examples.md)
+ [跨服务混淆了副手的预防 AWS IoT Events](cross-service-confused-deputy-prevention.md)
+ [对 AWS IoT Events 身份和访问进行故障排除](security_iam_troubleshoot.md)

## 受众
<a name="security_iam_audience"></a>

您的使用方式 AWS Identity and Access Management (IAM) 因您的角色而异：
+ **服务用户**：如果您无法访问功能，请从管理员处请求权限（请参阅[对 AWS IoT Events 身份和访问进行故障排除](security_iam_troubleshoot.md)）
+ **服务管理员**：确定用户访问权限并提交权限请求（请参阅[如何 AWS IoT Events 与 IAM 配合使用](#security_iam_service-with-iam)）
+ **IAM 管理员**：编写用于管理访问权限的策略（请参阅[AWS IoT Events 基于身份的策略示例](security_iam_id-based-policy-examples.md)）

## 有关身份和访问管理的更多信息
<a name="security_iam_learn-more"></a>

有关身份和访问管理的更多信息 AWS IoT Events，请继续访问以下页面：
+ [如何 AWS IoT Events 与 IAM 配合使用](#security_iam_service-with-iam)
+ [对 AWS IoT Events 身份和访问进行故障排除](security_iam_troubleshoot.md)

## 如何 AWS IoT Events 与 IAM 配合使用
<a name="security_iam_service-with-iam"></a>

在使用 IAM 管理访问权限之前 AWS IoT Events，您应该了解哪些可用的 IAM 功能 AWS IoT Events。要全面了解如何 AWS IoT Events 和其他 AWS 服务与 IAM 配合使用，请参阅 IAM *用户指南中的与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。

**Topics**
+ [AWS IoT Events 基于身份的策略](#security_iam_service-with-iam-id-based-policies)
+ [AWS IoT Events 基于资源的政策](#security_iam_service-with-iam-resource-based-policies)
+ [基于 AWS IoT Events 标签的授权](#security_iam_service-with-iam-tags)
+ [AWS IoT Events IAM 角色](#security_iam_service-with-iam-roles)

### AWS IoT Events 基于身份的策略
<a name="security_iam_service-with-iam-id-based-policies"></a>

使用 IAM 基于身份的策略，您可以指定允许或拒绝的操作和资源，以及指定在什么条件下允许或拒绝操作。 AWS IoT Events 支持特定操作、资源和条件键。要了解在 JSON 策略中使用的所有元素，请参阅《IAM 用户指南》中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)**。

#### 操作
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

基于 IAM 身份的策略的 `Action` 元素描述该策略将允许或拒绝的特定操作。策略操作通常与关联的 AWS API 操作同名。此策略用于策略中以授予执行关联操作的权限。

正在执行的策略操作在操作前 AWS IoT Events 使用以下前缀:`iotevents:`. 例如，要授予某人使用 AWS IoT Events `CreateInput` API 操作创建 AWS IoT Events 输入的权限，您需要将该`iotevents:CreateInput`操作包含在他们的策略中。要授予某人 AWS IoT Events `BatchPutMessage`通过 API 操作发送输入的权限，您需要将该`iotevents-data:BatchPutMessage`操作包含在他们的策略中。策略声明必须包含`Action`或`NotAction`元素。 AWS IoT Events 定义了它自己的一组操作，这些操作描述了您可以使用此服务执行的任务。

要在单个语句中指定多项操作，请使用逗号将它们隔开，如下所示：

```
"Action": [
      "iotevents:action1",
      "iotevents:action2"
```

您也可以使用通配符 （\*) 指定多个操作。例如，要指定以单词 `Describe` 开头的所有操作，包括以下操作：

```
"Action": "iotevents:Describe*"
```



要查看 AWS IoT Events 操作列表，请参阅 *IAM 用户指南 AWS IoT Events*中的[定义操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotevents.html#awsiotevents-actions-as-permissions)。

#### 资源
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

`Resource` 元素指定要向其应用操作的对象。语句必须包含 `Resource` 或 `NotResource` 元素。您可使用 ARN 来指定资源，或使用通配符 (\*) 以指明该语句适用于所有资源。



探 AWS IoT Events 测器模型资源具有以下 ARN：

```
arn:${Partition}:iotevents:${Region}:${Account}:detectorModel/${detectorModelName}
```

有关格式的更多信息 ARNs，请参阅[使用 Amazon 资源名称识别 AWS 资源 (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)。

例如，要在语句中指定 `Foobar` 探测器模型，请使用以下 ARN：

```
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/Foobar"
```

要指定属于特定账户的所有实例，请使用通配符 (\*)：

```
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/*"
```

某些 AWS IoT Events 操作（例如创建资源的操作）无法对特定资源执行。在这些情况下，您必须使用通配符（\*)。

```
"Resource": "*"
```

某些 AWS IoT Events API 操作涉及多个资源。例如，`CreateDetectorModel` 在其条件语句中引用输入，所以用户必须获得相应权限才能使用该输入和探测器模型。要在单个语句中指定多个资源，请 ARNs 用逗号分隔。

```
"Resource": [
      "resource1",
      "resource2"
```

要查看 AWS IoT Events 资源类型及其列表 ARNs，请参阅 *IAM 用户指南 AWS IoT Events*中的[由定义的资源](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotevents.html#awsiotevents-resources-for-iam-policies)。要了解您可以在哪些操作中指定每个资源的 ARN，请参阅 [AWS IoT Events定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotevents.html#awsiotevents-actions-as-permissions)。

#### 条件键
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

在 `Condition` 元素（或 `Condition` *块*）中，可以指定语句生效的条件。`Condition` 元素是可选的。您可以构建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)（例如，等于或小于）的条件表达式，以使策略中的条件与请求中的值相匹配。

如果您在一个语句中指定多个 `Condition` 元素，或在单个 `Condition` 元素中指定多个键，则 AWS 使用逻辑 `AND` 运算评估它们。如果您为单个条件键指定多个值，则使用逻辑`OR`运算来 AWS 评估条件。在授予语句的权限之前必须满足所有的条件。

在指定条件时，您也可以使用占位符变量。例如，仅当用户使用其用户名进行标记时，您才可为其授予访问资源的权限。有关更多信息，请参阅 *IAM 用户指南* 中的 [IAM 策略元素：变量和标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。

AWS IoT Events 不提供任何特定于服务的条件密钥，但它确实支持使用某些全局条件密钥。要查看所有 AWS 全局条件键，请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。”

#### 示例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



要查看 AWS IoT Events 基于身份的策略的示例，请参阅。[AWS IoT Events 基于身份的策略示例](security_iam_id-based-policy-examples.md)

### AWS IoT Events 基于资源的政策
<a name="security_iam_service-with-iam-resource-based-policies"></a>

AWS IoT Events 不支持基于资源的策略。” 要查看详细的基于资源的策略页面示例，请参阅 [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html)。

### 基于 AWS IoT Events 标签的授权
<a name="security_iam_service-with-iam-tags"></a>

您可以为 AWS IoT Events 资源附加标签或在请求中传递标签 AWS IoT Events。要基于标签控制访问，您需要使用 `iotevents:ResourceTag/{{key-name}}``aws:RequestTag/{{key-name}}` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。有关标记 AWS IoT Events 资源的更多信息，请参阅 [标记您的资源 AWS IoT Events](tagging-iotevents.md)

要查看基于身份的策略（用于根据资源上的标签来限制对该资源的访问）的示例，请参阅 [根据标签查看 AWS IoT Events 输入](security_iam_id-based-policy-examples-view-input-tags.md)。

### AWS IoT Events IAM 角色
<a name="security_iam_service-with-iam-roles"></a>

I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您内部具有特定权限 AWS 账户 的实体。

#### 将临时证书与 AWS IoT Events
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

可以使用临时凭证进行联合身份验证登录，分派 IAM 角色或分派跨账户角色。您可以通过调用 AWS Security Token Service (AWS STS) API 操作（例如[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或）来获取临时安全证书[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。

AWS IoT Events 不支持使用临时证书。

#### 服务关联角色
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)允许 AWS 服务访问其他服务中的资源以代表您完成操作。服务关联角色显示在 IAM 账户中，并归该服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。

AWS IoT Events 不支持服务相关角色。

#### 服务角色
<a name="security_iam_service-with-iam-roles-service"></a>

此功能允许服务代表您担任[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在 IAM 账户中，并归该账户所有。这意味着，IAM 管理员可以更改该角色的权限。但是，这样做可能会中断服务的功能。

AWS IoT Events 支持服务角色。