本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS IoT 的操作、资源和条件键
AWS IoT(服务前缀:iot)提供以下特定于服务的资源、操作和条件上下文密钥以在 IAM 权限策略中使用。
参考:
AWS IoT 定义的操作
您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 AWS中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
“操作” 表的 “访问级别” 列描述了如何对操作进行分类(列出、读取、权限管理或标记)。此分类可以帮助您了解当您在策略中使用操作时,相应操作授予的访问级别。有关访问级别的更多信息,请参阅策略摘要中的访问级别。
操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。
操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。
“操作” 表格的 “依赖操作” 列显示成功调用操作可能需要的其他权限。除了操作本身的权限外,可能还需要这些权限。当操作指定依赖操作时,这些依赖关系可能适用于为该操作定义的其他资源,而不仅仅是表格中列出的第一个资源。
注意
资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。
有关下表中各列的详细信息,请参阅操作表。
| 操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
|---|---|---|---|---|---|
| AcceptCertificateTransfer | 授予接受待处理证书传输的权限 | 写入 | |||
| AddThingToBillingGroup | 授予向指定账单组添加事物的权限 | 写入 | |||
| AddThingToThingGroup | 授予向指定事物组添加事物的权限 | 写入 | |||
| AssociateSbomWithPackageVersion | 授予权限以将 SBOM 文件与软件包版本关联 | 写入 |
iot:GetIndexingConfiguration |
||
| AssociateTargetsWithJob | 授予将组与连续作业关联的权限 | 写入 | |||
| AttachPolicy | 授予将策略附加到指定目标的权限 | 权限管理 | |||
| AttachPrincipalPolicy | 授予将指定的策略附加到指定的委托人(证书或其他凭证)的权限 | 权限管理 | |||
| AttachSecurityProfile | 授予将 Device Defender 安全配置文件与事物组或此账户关联的权限 | 写入 | |||
| AttachThingPrincipal | 授予将指定委托人附加到指定事物的权限 | 写入 | |||
| CancelAuditMitigationActionsTask | 授予取消正在进行的缓解操作任务的权限 | 写入 | |||
| CancelAuditTask | 授予权限以取消正在进行的审计。审核可能是计划审核,也可能是按需审核 | 写入 | |||
| CancelCertificateTransfer | 授予取消指定证书的待处理传输的权限 | 写入 | |||
| CancelDetectMitigationActionsTask | 授予取消 Device Defender ML Detect 缓解操作的权限 | 写入 | |||
| CancelJob | 授予取消作业的权限 | 写入 | |||
| CancelJobExecution | 授予在特定设备上取消作业执行的权限 | 写入 | |||
| ClearDefaultAuthorizer | 授予清除默认授权者的权限 | 写入 | |||
| CloseTunnel | 授予关闭隧道的权限 | 写入 | |||
| ConfirmTopicRuleDestination | 授予确认 http 网址的权限 TopicRuleDestinationDestination | 写入 | |||
| Connect | 授予作为指定客户端进行连接的权限 | 写入 | |||
| CreateAuditSuppression | 授予创建 Device Defender 审核抑制的权限 | 写入 | |||
| CreateAuthorizer | 授予创建授权方的权限 | 写入 | |||
| CreateBillingGroup | 授予创建账单组的权限 | 写入 | |||
| CreateCertificateFromCsr | 授予使用指定的证书签名请求创建 X.509 证书的权限 | 写入 | |||
| CreateCertificateProvider | 授予权限以创建证书提供程序 | 写入 | |||
| CreateCommand | 授予创建命令的权限,该命令可用于启动针对设备的新执行 | 写入 | |||
| CreateCustomMetric | 授予创建用于设备端指标报告和监控的自定义指标的权限 | 写入 | |||
| CreateDimension | 授予权限以定义一个维度,该维度可用于限制安全配置文件中使用的指标的范围 | 写入 | |||
| CreateDomainConfiguration | 授予创建域配置的权限 | 写入 | |||
| CreateDynamicThingGroup | 授予创建动态事物组的权限 | Write | |||
| CreateFleetMetric | 授予创建队列指标的权限 | 写入 | |||
| CreateJob | 授予权限以创建作业 | 写入 | |||
| CreateJobTemplate | 授予创建作业模板的权限 | 写入 | |||
| CreateKeysAndCertificate | 授予权限以创建 2048 位 RSA 密钥对,并使用已发布公有密钥颁发 X.509 证书 | 写入 | |||
| CreateMitigationAction | 授予权限以定义可应用于审计结果的操作 StartAuditMitigationActionsTask | 写入 | |||
| CreateOTAUpdate | 授予创建 OTA 更新作业的权限 | 写入 | |||
| CreatePackage | 授予权限以创建可部署到设备上的软件程序包 | 写入 |
iot:GetIndexingConfiguration |
||
| CreatePackageVersion | 授予权限以在指定的程序包下创建版本 | 写入 |
iot:GetIndexingConfiguration s3:GetObjectVersion |
||
| CreatePolicy | 授予创建 AWS IoT 策略的权限 | 权限管理 | |||
| CreatePolicyVersion | 授予创建指定 AWS IoT 策略新版本的权限 | 权限管理 | |||
| CreateProvisioningClaim | 授予创建预置要求的权限 | 写入 | |||
| CreateProvisioningTemplate | 授予创建队列预置模板的权限 | 写入 |
iam:PassRole |
||
| CreateProvisioningTemplateVersion | 授予创建队列预置模板新版本的权限 | 写入 | |||
| CreateRoleAlias | 授予创建角色别名的权限 | 写入 |
iam:PassRole |
||
| CreateScheduledAudit | 授予权限以创建计划审核,使之按指定的时间间隔运行 | 写入 | |||
| CreateSecurityProfile | 授予创建 Device Defender 安全配置文件的权限 | 写入 | |||
| CreateStream | 授予创建新 AWS IoT 流的权限 | 写入 | |||
| CreateThing | 授予在事物注册表中创建事物的权限 | 写入 | |||
| CreateThingGroup | 授予权限以创建事物组 | 写入 | |||
| CreateThingType | 授予权限以创建新的事物类型 | 写入 | |||
| CreateTopicRule | 授予权限以创建规则 | 写入 | |||
| CreateTopicRuleDestination | 授予创建 TopicRuleDestination | 写入 | |||
| DeleteAccountAuditConfiguration | 授予删除与账户关联的审核配置的权限 | 写入 | |||
| DeleteAuditSuppression | 授予删除 Device Defender 审核抑制的权限 | 写入 | |||
| DeleteAuthorizer | 授予删除指定授权方的权限 | 写入 | |||
| DeleteBillingGroup | 授予权限以删除指定的账单组 | 写入 | |||
| DeleteCACertificate | 授予删除已注册 CA 证书的权限 | 写入 | |||
| DeleteCertificate | 授予删除指定证书的权限 | 写入 | |||
| DeleteCertificateProvider | 授予权限以删除证书提供程序 | 写入 | |||
| DeleteCommand | 授予删除命令的权限 | 写入 | |||
| DeleteCommandExecution | 授予删除命令执行的权限 | 写入 | |||
| DeleteConnection | 授予断开指定连接的权限 | 写入 | |||
| DeleteCustomMetric | 授予从您的中删除指定自定义指标的权限 AWS 账户 | 写入 | |||
| DeleteDimension | 授予从您的维度中移除指定维度的权限 AWS 账户 | 写入 | |||
| DeleteDomainConfiguration | 授予权限以删除域配置 | 写入 | |||
| DeleteDynamicThingGroup | 授予删除指定动态事物组的权限 | Write | |||
| DeleteFleetMetric | 授予删除指定队列指标的权限 | 写入 | |||
| DeleteJob | 授予删除作业及其相关作业执行的权限 | 写入 | |||
| DeleteJobExecution | 授予删除作业执行的权限 | 写入 | |||
| DeleteJobTemplate | 授予删除作业模板的权限 | 写入 | |||
| DeleteMitigationAction | 授予从您的中删除已定义的缓解操作的权限 AWS 账户 | 写入 | |||
| DeleteOTAUpdate | 授予删除 OTA 更新作业的权限 | 写入 | |||
| DeletePackage | 授予删除软件包的权限 | 写入 | |||
| DeletePackageVersion | 授予权限以删除指定程序包的版本 | 写入 | |||
| DeletePolicy | 授予删除指定策略的权限 | 权限管理 | |||
| DeletePolicyVersion | 授予删除指定策略的指定版本的权限 | 权限管理 | |||
| DeleteProvisioningTemplate | 授予删除队列预置模板的权限 | 写入 | |||
| DeleteProvisioningTemplateVersion | 授予删除队列预置模板版本的权限 | 写入 | |||
| DeleteRegistrationCode | 授予删除 CA 证书注册代码的权限 | 写入 | |||
| DeleteRoleAlias | 授予删除指定的角色别名的权限 | 写入 | |||
| DeleteScheduledAudit | 授予删除计划审核的权限 | 写入 | |||
| DeleteSecurityProfile | 授予删除 Device Defender 安全配置文件的权限 | 写入 | |||
| DeleteStream | 授予删除指定流的权限 | 写入 | |||
| DeleteThing | 授予删除指定事物的权限 | 写入 | |||
| DeleteThingGroup | 授予删除指定事物组的权限 | 写入 | |||
| DeleteThingShadow | 授予删除指定事物影子的权限 | 写入 | |||
| DeleteThingType | 授予删除指定事物类型的权限 | 写入 | |||
| DeleteTopicRule | 授予删除指定规则的权限 | 写入 | |||
| DeleteTopicRuleDestination | 授予删除权限 TopicRuleDestination | 写入 | |||
| DeleteV2LoggingLevel | 授予删除指定的 v2 日志记录级别的权限 | 写入 | |||
| DeprecateThingType | 授予弃用指定事物类型的权限 | 写入 | |||
| DescribeAccountAuditConfiguration | 授予获取有关账户审核配置信息的权限 | 读取 | |||
| DescribeAuditFinding | 授予权限以获取有关单个审计发现的信息。属性包括不合规的原因、问题的严重性以及返回该结果的审核的开始时间 | 读取 | |||
| DescribeAuditMitigationActionsTask | 授予权限以获取有关审核缓解任务的信息,该任务用于向一组审核结果应用缓解操作 | 读取 | |||
| DescribeAuditSuppression | 授予获取有关 Device Defender 审核抑制的信息的权限 | 读取 | |||
| DescribeAuditTask | 授予获取有关 Device Defender 审核的信息的权限 | 读取 | |||
| DescribeAuthorizer | 授予描述授权者的权限 | 读取 | |||
| DescribeBillingGroup | 授予获取有关指定账单组的信息的权限 | 读取 | |||
| DescribeCACertificate | 授予描述已注册 CA 证书的权限 | 读取 | |||
| DescribeCertificate | 授予获取有关指定证书信息的权限 | 读取 | |||
| DescribeCertificateProvider | 授予权限以描述证书提供程序 | 读取 | |||
| DescribeCustomMetric | 授予描述您在中定义的自定义指标的权限 AWS 账户 | 读取 | |||
| DescribeDefaultAuthorizer | 授予描述默认授权方的权限 | 读取 | |||
| DescribeDetectMitigationActionsTask | 授予描述 Device Defender ML Detect 缓解操作的权限 | 读取 | |||
| DescribeDimension | 授予权限以获取有关您在中定义的维度的详细信息 AWS 账户 | 读取 | |||
| DescribeDomainConfiguration | 授予获取有关域配置信息的权限 | 读取 | |||
| DescribeEncryptionConfiguration | 授予描述账户加密配置的权限 | 读取 | |||
| DescribeEndpoint | 授予获取特定于 AWS 账户 进行呼叫的唯一端点的权限 | 读取 | |||
| DescribeEventConfigurations | 授予获取账户事件配置的权限 | 读取 | |||
| DescribeFleetMetric | 授予获取有关指定队列指标信息的权限 | 读取 | |||
| DescribeIndex | 授予获取有关指定索引信息的权限 | 读取 | |||
| DescribeJob | 授予描述作业的权限 | 读取 | |||
| DescribeJobExecution | 授予描述作业执行的权限 | 读取 | |||
| DescribeJobTemplate | 授予描述作业模板的权限 | 读取 | |||
| DescribeManagedJobTemplate | 授予描述托管任务模板的权限 | 读取 | |||
| DescribeMitigationAction | 授予获取有关缓解操作的信息的权限 | 读取 | |||
| DescribeProvisioningTemplate | 授予获取有关队列预置模板信息的权限 | 读取 | |||
| DescribeProvisioningTemplateVersion | 授予获取有关队列预置模板版本信息的权限 | 读取 | |||
| DescribeRoleAlias | 授予描述角色别名的权限 | 读取 | |||
| DescribeScheduledAudit | 授予获取有关计划审核信息的权限 | 读取 | |||
| DescribeSecurityProfile | 授予获取有关 Device Defender 安全配置文件信息的权限 | 读取 | |||
| DescribeStream | 授予获取有关指定流信息的权限 | 读取 | |||
| DescribeThing | 授予获取有关指定事物信息的权限 | 读取 | |||
| DescribeThingGroup | 授予权限以获取有关指定事物组的信息 | 读取 | |||
| DescribeThingRegistrationTask | 授予获取有关批量事物注册任务信息的权限 | 读取 | |||
| DescribeThingType | 授予获取有关指定事物类型信息的权限 | 读取 | |||
| DescribeTunnel | 授予描述隧道的权限 | 读取 | |||
| DetachPolicy | 授予权限以将策略从指定的目标中分离 | 权限管理 | |||
| DetachPrincipalPolicy | 授予从指定证书中删除指定策略的权限 | 权限管理 | |||
| DetachSecurityProfile | 授予取消 Device Defender 安全配置文件与事物组或此账户的关联的权限 | 写入 | |||
| DetachThingPrincipal | 授予将指定委托人与指定事物分离的权限 | 写入 | |||
| DisableTopicRule | 授予禁用指定规则的权限 | 写入 | |||
| DisassociateSbomFromPackageVersion | 授予权限以取消 SBOM 文件与软件包版本的关联 | 写入 | |||
| EnableTopicRule | 授予启用指定规则的权限 | 写入 | |||
| GetBehaviorModelTrainingSummaries | 授予获取 Device Defender ML Detect 安全配置文件训练模型状态的权限 | 列表 | |||
| GetBucketsAggregation | 授予获取 IoT 队列索引的存储桶聚合的权限 | Read | |||
| GetCardinality | 授予获取 IoT 队列索引基数的权限 | 读取 | |||
| GetCommand | 授予获取命令相关信息的权限 | 读取 | |||
| GetCommandExecution | 授予获取命令执行信息的权限 | 读取 | |||
| GetEffectivePolicies | 授予获取有效策略的权限 | 读取 | |||
| GetIndexingConfiguration | 授予获取当前队列索引配置的权限 | 读取 | |||
| GetJobDocument | 授予获取作业文档的权限 | 读取 | |||
| GetLoggingOptions | 授予获取日志记录选项的权限 | 读取 | |||
| GetOTAUpdate | 授予获取 OTA 更新作业信息的权限 | 读取 | |||
| GetPackage | 授予权限以获取有关程序包的信息 | 读取 | |||
| GetPackageConfiguration | 授予权限以获取账户的程序包配置 | 读取 | |||
| GetPackageVersion | 授予权限以获取程序包的版本 | 读取 | |||
| GetPercentiles | 授予获取 IoT 队列索引百分位数的权限 | 读取 | |||
| GetPolicy | 授予权限以获取具有默认版本策略文档的指定策略的相关信息 | 读取 | |||
| GetPolicyVersion | 授予获取有关指定策略版本的信息的权限 | 读取 | |||
| GetRegistrationCode | 授予获取用于向 AWS IoT 注册 CA 证书的注册码的权限 | 读取 | |||
| GetRetainedMessage | 授予权限以获取指定主题上的保留邮件 | 读取 | |||
| GetStatistics | 授予获取 IoT 队列索引统计数据的权限 | 读取 | |||
| GetThingConnectivityData | 授予获取事物连接数据的权限 | 读取 | |||
| GetThingShadow | 授予获取事物影子的权限 | 读取 | |||
| GetTopicRule | 授予获取有关指定规则的信息的权限 | 读取 | |||
| GetTopicRuleDestination | 授予获取 TopicRuleDestination | 读取 | |||
| GetV2LoggingOptions | 授予获取 v2 日志记录选项的权限 | 读取 | |||
| ListActiveViolations | 授予权限以列出给定 Device Defender 安全配置文件或事物的活动违规 | 列表 | |||
| ListAttachedPolicies | 授予列出附加到指定事物组的策略的权限 | 列表 | |||
| ListAuditFindings | 授予权限以列出 Device Defender 审核的结果或在指定时间段内审核执行的结果 | 列表 | |||
| ListAuditMitigationActionsExecutions | 授予获取已执行审核缓解操作任务状态的权限 | 列表 | |||
| ListAuditMitigationActionsTasks | 授予获取与指定的筛选条件匹配的审核缓解操作任务的列表 | 列表 | |||
| ListAuditSuppressions | 授予列出 Device Defender 审核抑制的权限 | 列表 | |||
| ListAuditTasks | 授予列出已在指定时间段内执行的 Device Defender 审核的权限 | 列表 | |||
| ListAuthorizers | 授予列出在您的账户中注册的授权方的权限 | 列表 | |||
| ListBillingGroups | 授予列出所有账单组的权限 | 列表 | |||
| ListCACertificates | 授予列出为你注册的 CA 证书的权限 AWS 账户 | 列表 | |||
| ListCertificateProviders | 授予权限以在账户中列出证书提供程序 | 列表 | |||
| ListCertificates | 授予列出证书的权限 | 列表 | |||
| ListCertificatesByCA | 授予列出由指定 CA 证书签名的设备证书的权限 | 列表 | |||
| ListCommandExecutions | 授予列出账户中命令执行次数的权限 | 列表 | |||
| ListCommands | 授予在账户中列出命令的权限 | 列表 | |||
| ListCustomMetrics | 授予在您的中列出自定义指标的权限 AWS 账户 | 列表 | |||
| ListDetectMitigationActionsExecutions | 授予列出 Device Defender ML Detect 安全配置文件的缓解操作执行的权限 | 列表 | |||
| ListDetectMitigationActionsTasks | 授予列出 Device Defender ML Detect 缓解操作任务的权限 | 列表 | |||
| ListDimensions | 授予列出为你定义的维度的权限 AWS 账户 | 列表 | |||
| ListDomainConfigurations | 授予列出由您创建的域配置的权限 AWS 账户 | 列表 | |||
| ListFleetMetrics | 授予在您的账户中列出队列指标的权限 | 列表 | |||
| ListIndices | 授予列出队列索引的所有索引的权限 | 列表 | |||
| ListJobExecutionsForJob | 授予列出作业的作业执行的权限 | 列表 | |||
| ListJobExecutionsForThing | 授予列出指定事物的作业执行的权限 | 列表 | |||
| ListJobTemplates | 授予列出作业模板的权限 | 列表 | |||
| ListJobs | 授予列出作业的权限 | 列表 | |||
| ListManagedJobTemplates | 授予列出托管任务模板的权限 | 列表 | |||
| ListMetricValues | 授予权限以根据 metricName 和维度(如果已指定)列出事物的指标值 | 列表 | |||
| ListMitigationActions | 授予权限以获取与指定筛选条件匹配的所有缓解操作的列表 | 列表 | |||
| ListNamedShadowsForThing | 授予列出给定事物的所有已命名影子的权限 | 列表 | |||
| ListOTAUpdates | 授予在账户中列出 OTA 更新作业的权限 | 列表 | |||
| ListOutgoingCertificates | 授予列出正在传输但尚未接受的证书的权限 | 列表 | |||
| ListPackageVersions | 授予权限以列出账户中程序包的版本 | 列表 | |||
| ListPackages | 授予权限以列出账户中的程序包 | 列表 | |||
| ListPolicies | 授予列出策略的权限 | 列表 | |||
| ListPolicyPrincipals | 授予列出与指定策略关联的委托人的权限 | 列表 | |||
| ListPolicyVersions | 授予列出指定策略版本的权限,并标识默认版本 | 列表 | |||
| ListPrincipalPolicies | 授予权限以列出附加到指定委托人的策略。如果您使用 Amazon Cognito 身份,ID 需要使用 Amazon Cognito 身份格式 | 列表 | |||
| ListPrincipalThings | 授予列出与指定委托人关联的事物的权限 | 列表 | |||
| ListPrincipalThingsV2 | 授予列出与指定委托人关联的事物的权限 | 列表 | |||
| ListProvisioningTemplateVersions | 授予获取队列预置模板版本列表的权限 | 列表 | |||
| ListProvisioningTemplates | 授予在您的中列出队列出队列出配置模板的权限 AWS 账户 | 列表 | |||
| ListRelatedResourcesForAuditFinding | 授予权限以列出单个审计查找结果的相关项目 | 列表 | |||
| ListRetainedMessages | 授予权限以列出账户保留的邮件 | 列表 | |||
| ListRoleAliases | 授予列出角色别名的权限 | 列表 | |||
| ListSbomValidationResults | 授予权限以列出软件包版本的 SBOM 验证结果 | 列表 | |||
| ListScheduledAudits | 授予列出所有计划审核的权限 | 列表 | |||
| ListSecurityProfiles | 授予列出您创建的 Device Defender 安全配置文件的权限 | 列表 | |||
| ListSecurityProfilesForTarget | 授予列出附加到目标的 Device Defender 安全配置文件的权限 | 列表 | |||
| ListStreams | 授予列出您的账户中的流的权限 | 列表 | |||
| ListTagsForResource | 授予权限以列出给定资源的所有标签 | 读取 | |||
| ListTargetsForPolicy | 授予列出指定策略的目标的权限 | 列表 | |||
| ListTargetsForSecurityProfile | 授予列出与给定 Device Defender 安全配置文件关联的目标的权限 | 列表 | |||
| ListThingGroups | 授予列出所有事物组的权限 | 列表 | |||
| ListThingGroupsForThing | 授予列出指定事物所属的事物组的权限 | 列表 | |||
| ListThingPrincipals | 授予列出与指定事物关联的委托人的权限 | 列表 | |||
| ListThingPrincipalsV2 | 授予列出与指定事物关联的委托人的权限 | 列表 | |||
| ListThingRegistrationTaskReports | 授予列出有关批量事物注册任务的信息的权限 | 列表 | |||
| ListThingRegistrationTasks | 授予列出批量事物注册任务的权限 | 列表 | |||
| ListThingTypes | 授予列出所有事物类型的权限 | 列表 | |||
| ListThings | 授予列出所有事物的权限 | 列表 | |||
| ListThingsInBillingGroup | 授予列出指定账单组中所有事物的权限 | 列表 | |||
| ListThingsInThingGroup | 授予列出指定事物组中所有事物的权限 | 列表 | |||
| ListTopicRuleDestinations | 授予列出所有内容的权限 TopicRuleDestinations | 列表 | |||
| ListTopicRules | 授予列出特定主题的规则的权限 | 列表 | |||
| ListTunnels | 授予列出隧道的权限 | 列表 | |||
| ListV2LoggingLevels | 授予列出 v2 日志记录级别的权限 | 列表 | |||
| ListViolationEvents | 授予权限以列出在指定时间段内发现的 Device Defender 安全配置文件违规事件 | 列表 | |||
| OpenTunnel | 授予打开隧道的权限 | 写入 | |||
| Publish | 授予发布到指定主题的权限 | 写入 | |||
| PutVerificationStateOnViolation | 授予将违规置于验证状态的权限 | 写入 | |||
| Receive | 授予从指定主题接收的权限 | 写入 | |||
| RegisterCACertificate | 授予向 AWS IoT 注册 CA 证书的权限 | 写入 |
iam:PassRole |
||
| RegisterCertificate | 授予向 AWS IoT 注册设备证书的权限 | 写入 | |||
| RegisterCertificateWithoutCA | 授予在没有注册 CA(证书颁发机构)的情况下向 AWS IoT 注册设备证书的权限 | 写入 | |||
| RegisterThing | 授予注册您的事物的权限 | 写入 | |||
| RejectCertificateTransfer | 授予拒绝待处理证书传输的权限 | 写入 | |||
| RemoveThingFromBillingGroup | 授予从指定账单组中删除事物的权限 | 写入 | |||
| RemoveThingFromThingGroup | 授予从指定事物组中删除事物的权限 | 写入 | |||
| ReplaceTopicRule | 授予替换指定规则的权限 | 写入 | |||
| RetainPublish | 授予将保留邮件发布到指定主题的权限 | 写入 | |||
| RotateTunnelAccessToken | 授予轮换隧道访问令牌的权限 | 写入 | |||
| SearchIndex | 授予搜索 IoT 队列索引的权限 | Read | |||
| SetDefaultAuthorizer | 授予权限以设置默认授权方。如果在没有指定授权方的情况下进行 websocket 连接,则将使用此项 | 权限管理 | |||
| SetDefaultPolicyVersion | 授予权限以将指定策略的指定版本设置为策略的默认(有效)版本 | 权限管理 | |||
| SetLoggingOptions | 授予设置日志记录选项的权限 | 写入 | |||
| SetV2LoggingLevel | 授予设置 v2 日志记录级别的权限 | 写入 | |||
| SetV2LoggingOptions | 授予设置 v2 日志记录选项的权限 | 写入 | |||
| StartAuditMitigationActionsTask | 授予启动将一组缓解操作应用于指定目标的任务的权限 | 写入 | |||
| StartCommandExecution | 授予开始执行新命令的权限 | 写入 | |||
|
iot:CommandExecutionParameterString/${CommandParameterName} iot:CommandExecutionParameterBoolean/${CommandParameterName} |
|||||
| StartDetectMitigationActionsTask | 授予启动 Device Defender ML Detect 缓解操作任务的权限 | 写入 | |||
| StartOnDemandAuditTask | 授予启动按需 Device Defender 审核的权限 | 写入 | |||
| StartThingRegistrationTask | 授予启动批量事物注册任务的权限 | 写入 | |||
| StopThingRegistrationTask | 授予停止批量事物注册任务的权限 | 写入 | |||
| Subscribe | 授予订阅指定内容的权限 TopicFilter | 写入 | |||
| TagResource | 授予标记指定资源的权限 | Tagging | |||
| TestAuthorization | 授予测试组策略的策略评估的权限 | 读取 | |||
| TestInvokeAuthorizer | 授予测试调用指定的自定义授权方以用于测试目的的权限 | 读取 | |||
| TransferCertificate | 授予将指定证书转移到指定证书的权限 AWS 账户 | 写入 | |||
| UntagResource | 授予取消标记指定资源的权限 | 标记 | |||
| UpdateAccountAuditConfiguration | 授予配置或重新配置此账户的 Device Defender 审核设置的权限 | 写入 | |||
| UpdateAuditSuppression | 授予更新 Device Defender 审核抑制的权限 | 写入 | |||
| UpdateAuthorizer | 授予更新授权方的权限 | 写入 | |||
| UpdateBillingGroup | 授予更新与指定账单组关联的信息的权限 | 写入 | |||
| UpdateCACertificate | 授予更新已注册 CA 证书的权限 | 写入 |
iam:PassRole |
||
| UpdateCertificate | 授予权限以更新指定证书的状态。此操作是幂等的 | 写入 | |||
| UpdateCertificateProvider | 授予权限以更新证书提供程序 | 写入 | |||
| UpdateCommand | 授予更新命令的权限 | 写入 | |||
| UpdateCustomMetric | 授予更新指定自定义指标的权限 | 写入 | |||
| UpdateDimension | 授予更新维度定义的权限 | 写入 | |||
| UpdateDomainConfiguration | 授予权限以更新域配置 | 写入 | |||
| UpdateDynamicThingGroup | 授予更新动态事物组的权限 | 写入 | |||
| UpdateEncryptionConfiguration | 授予更新账户加密配置的权限 | 写入 | |||
| UpdateEventConfigurations | 授予更新事件配置的权限 | 写入 | |||
| UpdateFleetMetric | 授予更新队列指标的权限 | Write | |||
| UpdateIndexingConfiguration | 授予更新队列索引配置的权限 | 写入 | |||
| UpdateJob | 授予权限以更新作业 | 写入 | |||
| UpdateMitigationAction | 授予更新指定缓解操作的定义的权限 | 写入 | |||
| UpdatePackage | 授予权限以更新程序包 | 写入 |
iot:GetIndexingConfiguration |
||
| UpdatePackageConfiguration | 授予权限以更新账户的程序包配置 | 写入 |
iam:PassRole |
||
| UpdatePackageVersion | 授予权限以更新指定程序包的版本 | 写入 |
iot:GetIndexingConfiguration s3:GetObjectVersion |
||
| UpdateProvisioningTemplate | 授予更新队列预置模板的权限 | 写入 |
iam:PassRole |
||
| UpdateRoleAlias | 授予更新角色别名的权限 | 写入 |
iam:PassRole |
||
| UpdateScheduledAudit | 授予权限以更新计划审核,包括执行的检查和审核执行的频率 | 写入 | |||
| UpdateSecurityProfile | 授予更新 Device Defender 安全配置文件的权限 | 写入 | |||
| UpdateStream | 授予更新流数据的权限 | 写入 | |||
| UpdateThing | 授予更新与指定事物关联的信息的权限 | 写入 | |||
| UpdateThingGroup | 授予更新与指定事物组关联的信息的权限 | 写入 | |||
| UpdateThingGroupsForThing | 授予更新事物所属的事物组的权限 | 写入 | |||
| UpdateThingShadow | 授予更新事物影子的权限 | 写入 | |||
| UpdateThingType | 授予更新与指定事物类型关联的信息的权限 | 写入 | |||
| UpdateTopicRuleDestination | 授予更新权限 TopicRuleDestination | 写入 | |||
| ValidateSecurityProfileBehaviors | 授予验证 Device Defender 安全配置文件行为规范的权限 | 读取 |
AWS IoT 定义的资源类型
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
| 资源类型 | ARN | 条件键 |
|---|---|---|
| client |
arn:${Partition}:iot:${Region}:${Account}:client/${ClientId}
|
|
| index |
arn:${Partition}:iot:${Region}:${Account}:index/${IndexName}
|
|
| fleetmetric |
arn:${Partition}:iot:${Region}:${Account}:fleetmetric/${FleetMetricName}
|
|
| job |
arn:${Partition}:iot:${Region}:${Account}:job/${JobId}
|
|
| jobtemplate |
arn:${Partition}:iot:${Region}:${Account}:jobtemplate/${JobTemplateId}
|
|
| tunnel |
arn:${Partition}:iot:${Region}:${Account}:tunnel/${TunnelId}
|
|
| thing |
arn:${Partition}:iot:${Region}:${Account}:thing/${ThingName}
|
|
| thinggroup |
arn:${Partition}:iot:${Region}:${Account}:thinggroup/${ThingGroupName}
|
|
| billinggroup |
arn:${Partition}:iot:${Region}:${Account}:billinggroup/${BillingGroupName}
|
|
| dynamicthinggroup |
arn:${Partition}:iot:${Region}:${Account}:thinggroup/${ThingGroupName}
|
|
| thingtype |
arn:${Partition}:iot:${Region}:${Account}:thingtype/${ThingTypeName}
|
|
| topic |
arn:${Partition}:iot:${Region}:${Account}:topic/${TopicName}
|
|
| topicfilter |
arn:${Partition}:iot:${Region}:${Account}:topicfilter/${TopicFilter}
|
|
| rolealias |
arn:${Partition}:iot:${Region}:${Account}:rolealias/${RoleAlias}
|
|
| authorizer |
arn:${Partition}:iot:${Region}:${Account}:authorizer/${AuthorizerName}
|
|
| policy |
arn:${Partition}:iot:${Region}:${Account}:policy/${PolicyName}
|
|
| cert |
arn:${Partition}:iot:${Region}:${Account}:cert/${Certificate}
|
|
| cacert |
arn:${Partition}:iot:${Region}:${Account}:cacert/${CACertificate}
|
|
| stream |
arn:${Partition}:iot:${Region}:${Account}:stream/${StreamId}
|
|
| otaupdate |
arn:${Partition}:iot:${Region}:${Account}:otaupdate/${OtaUpdateId}
|
|
| scheduledaudit |
arn:${Partition}:iot:${Region}:${Account}:scheduledaudit/${ScheduleName}
|
|
| mitigationaction |
arn:${Partition}:iot:${Region}:${Account}:mitigationaction/${MitigationActionName}
|
|
| securityprofile |
arn:${Partition}:iot:${Region}:${Account}:securityprofile/${SecurityProfileName}
|
|
| custommetric |
arn:${Partition}:iot:${Region}:${Account}:custommetric/${MetricName}
|
|
| dimension |
arn:${Partition}:iot:${Region}:${Account}:dimension/${DimensionName}
|
|
| rule |
arn:${Partition}:iot:${Region}:${Account}:rule/${RuleName}
|
|
| destination |
arn:${Partition}:iot:${Region}:${Account}:ruledestination/${DestinationType}/${Uuid}
|
|
| provisioningtemplate |
arn:${Partition}:iot:${Region}:${Account}:provisioningtemplate/${ProvisioningTemplate}
|
|
| domainconfiguration |
arn:${Partition}:iot:${Region}:${Account}:domainconfiguration/${DomainConfigurationName}/${Id}
|
|
| package |
arn:${Partition}:iot:${Region}:${Account}:package/${PackageName}
|
|
| packageversion |
arn:${Partition}:iot:${Region}:${Account}:package/${PackageName}/version/${VersionName}
|
|
| certificateprovider |
arn:${Partition}:iot:${Region}:${Account}:certificateprovider/${CertificateProviderName}
|
|
| command |
arn:${Partition}:iot:${Region}:${Account}:command/${CommandId}
|
AWS IoT 的条件键
AWS IoT 定义了以下条件键,这些条件键可用于 IAM 策略的Condition元素。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表。
要查看适用于所有服务的全局条件密钥,请参阅AWS 全局条件上下文密钥。
| 条件键 | 描述 | 类型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 按请求中包含的标签键筛选访问 | 字符串 |
| aws:ResourceTag/${TagKey} | 按与请求中的 IoT 资源关联的标签的标签键组成筛选访问 | 字符串 |
| aws:TagKeys | 按请求中与 IoT 资源关联的标签键的列表筛选访问 | ArrayOfString |
| iot:ClientMode | 按客户端模式对 IoT 隧道的访问权限进行筛选 | 字符串 |
| iot:CommandExecutionParameterBoolean/${CommandParameterName} | 按命令参数名称和布尔值筛选访问权限 | 布尔型 |
| iot:CommandExecutionParameterNumber/${CommandParameterName} | 按命令参数名称和数值筛选访问权限 | 数值 |
| iot:CommandExecutionParameterString/${CommandParameterName} | 按命令参数名称和字符串值筛选访问权限 | 字符串 |
| iot:Delete | 通过一个标志筛选访问权限,该标志指示在发出 iot: CloseTunnel 请求时是否还要立即删除物联网隧道 | 布尔型 |
| iot:DomainName | 根据物联网的域名筛选访问权限 DomainConfiguration | 字符串 |
| iot:ThingGroupArn | 按物联网隧道目标物联网事物所属的物联网事物组 ARNs 列表筛选访问权限 | ArrayOfARN |
| iot:TunnelDestinationService | 按 IoT 隧道的目标服务列表筛选访问 | ArrayOfString |
| iot:thingArn | 按物联网事物的 ARN 筛选访问权限 | ARN |
