AWS 物联网托管集成的操作、资源和条件密钥

AWS IoT 托管集成（服务前缀:iotmanagedintegrations）提供以下特定于服务的资源、操作和条件上下文密钥，用于 IAM 权限策略。

参考：

了解如何配置该服务。
查看适用于该服务的 API 操作列表。
了解如何使用 IAM 权限策略保护该服务及其资源。

主题

由 AWS IoT 托管集成定义的操作
由 AWS IoT 托管集成定义的资源类型
AWS 物联网托管集成的条件密钥

由 AWS IoT 托管集成定义的操作

您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 AWS中执行操作的权限。您在策略中使用一项操作时，通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下，单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

“操作” 表的 “访问级别” 列描述了如何对操作进行分类（列出、读取、权限管理或标记）。此分类可以帮助您了解当您在策略中使用操作时，相应操作授予的访问级别。有关访问级别的更多信息，请参阅策略摘要中的访问级别。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值，您必须在策略语句的 Resource 元素中指定策略应用的所有资源（“*”）。通过在 IAM policy 中使用条件来筛选访问权限，以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源，则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限，则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的（未指示为必需），则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息，请参阅资源类型表的条件键列。

“操作” 表格的 “依赖操作” 列显示成功调用操作所需的其他权限。除了操作本身的权限外，还需要这些权限。当操作指定依赖操作时，这些依赖关系可能适用于为该操作定义的其他资源，而不仅仅是表格中列出的第一个资源。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型（* 为必需）列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列，这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息，请参阅操作表。

操作	描述	访问级别	资源类型（* 为必需）	条件键
CreateAccountAssociation	授予创建新账户关联的权限	写入		aws:RequestTag/${TagKey} aws:TagKeys iotmanagedintegrations:connectorDestinationId
CreateCloudConnector	授予创建新云连接器的权限	写入
CreateConnectorDestination	授予创建新连接器目标的权限	写入		iotmanagedintegrations:cloudConnectorId
CreateCredentialLocker	授予创建产品凭证柜的权限	写入		aws:RequestTag/${TagKey} aws:TagKeys
CreateDestination	授予创建新目的地的权限	写入
CreateEventLogConfiguration	授予创建新事件配置的权限	写入
CreateManagedThing	授予创建新的托管事物的权限	写入	credential-locker
CreateManagedThing	授予创建新的托管事物的权限	写入		aws:RequestTag/${TagKey} aws:TagKeys
CreateNotificationConfiguration	授予创建新通知配置的权限	写入
CreateOtaTask	授予创建新 ota 任务的权限	写入		aws:RequestTag/${TagKey} aws:TagKeys
CreateOtaTaskConfiguration	授予创建新 ota 任务配置的权限	写入
CreateProvisioningProfile	授予创建新配置文件的权限	写入		aws:RequestTag/${TagKey} aws:TagKeys
DeleteAccountAssociation	授予删除账户关联的权限	写入	account-association*
DeleteCloudConnector	授予删除云连接器的权限	写入		iotmanagedintegrations:cloudConnectorId
DeleteConnectorDestination	授予删除连接器目标的权限	写入
DeleteCredentialLocker	授予删除凭证柜的权限	写入	credential-locker*
DeleteDestination	授予删除目标的权限	写入
DeleteEventLogConfiguration	授予删除事件日志配置的权限	写入
DeleteManagedThing	授予删除托管事物的权限	写入	managed-thing*
DeleteNotificationConfiguration	授予删除通知配置的权限	写入
DeleteOtaTask	授予删除 ota 任务的权限	写入	ota-task*
DeleteOtaTaskConfiguration	授予删除 ota 任务配置的权限	写入
DeleteProvisioningProfile	授予删除配置文件的权限	写入	provisioning-profile*
DeregisterAccountAssociation	授予取消注册账户关联的权限	写入	account-association*
DeregisterAccountAssociation	授予取消注册账户关联的权限	写入	managed-thing*
GetAccountAssociation	授予获取账户关联信息的权限	读取	account-association*
GetCloudConnector	授予获取云连接器相关信息的权限	读取
GetConnectorDestination	授予获取有关云端目标信息的权限	读取
GetCredentialLocker	授予获取有关凭证柜信息的权限	读取	credential-locker*
GetCustomEndpoint	授予获取有关自定义终端节点信息的权限	读取
GetDefaultEncryptionConfiguration	授予获取有关默认加密配置信息的权限	读取
GetDestination	授予获取有关目的地信息的权限	读取
GetDeviceDiscovery	授予获取有关设备发现信息的权限	读取
GetEventLogConfiguration	授予获取有关事件日志配置信息的权限	读取
GetHubConfiguration	授予获取有关集线器配置信息的权限	读取
GetManagedThing	授予获取有关托管事物的信息的权限	读取	managed-thing*
GetManagedThingCapabilities	授予获取托管事物的能力报告的权限	读取	managed-thing*
GetManagedThingConnectivityData	授予获取托管事物的连接数据的权限	读取	managed-thing*
GetManagedThingMetaData	授予获取托管事物的元数据信息的权限	读取	managed-thing*
GetManagedThingState	授予获取托管事物的设备状态信息的权限	读取	managed-thing*
GetNotificationConfiguration	授予获取通知配置信息的权限	读取
GetOtaTask	授予获取 ota 任务信息的权限	读取	ota-task*
GetOtaTaskConfiguration	授予获取 ota 任务配置信息的权限	读取
GetProvisioningProfile	授予获取配置文件信息的权限	读取	provisioning-profile*
GetRuntimeLogConfiguration	授予获取运行时日志配置信息的权限	读取
GetSchemaVersion	授予获取架构版本信息的权限	读取
ListAccountAssociations	授予列出账户关联信息的权限	列表
ListCloudConnectors	授予列出云连接器信息的权限	列表
ListConnectorDestinations	授予列出连接器目标信息的权限	列表
ListCredentialLockers	授予列出凭证储物柜信息的权限	列表
ListDestinations	授予列出目的地信息的权限	列表
ListDeviceDiscoveries	授予列出设备发现信息的权限	列表
ListDiscoveredDevices	授予列出在设备发现中发现的设备信息的权限	读取
ListEventLogConfigurations	授予列出事件日志配置信息的权限	读取
ListManagedThingAccountAssociations	授予列出托管事物与账户关联之间关联信息的权限	列表
ListManagedThingSchemas	授予列出与托管事物关联的架构的权限	读取	managed-thing*
ListManagedThings	授予列出托管事物的信息的权限	列表
ListNotificationConfigurations	授予列出通知配置信息的权限	读取
ListOtaTaskConfigurations	授予列出 ota 任务配置信息的权限	读取
ListOtaTaskExecutions	授予列出 ota 任务执行信息的权限	读取	ota-task*
ListOtaTasks	授予列出 ota 任务信息的权限	列表
ListProvisioningProfiles	授予列出置备配置文件信息的权限	列表
ListSchemaVersions	授予列出架构信息的权限	列表
ListTagsForResource	授予列出指定资源的标签的权限	读取	account-association
			credential-locker
			managed-thing
			ota-task
			provisioning-profile
				aws:ResourceTag/${TagKey}
PutDefaultEncryptionConfiguration	授予更新加密配置默认设置的权限	写入
PutHubConfiguration	授予更新集线器配置的权限	写入
PutRuntimeLogConfiguration	授予更新运行时日志配置的权限	写入
RegisterAccountAssociation	授予注册与托管事物的账户关联的权限	写入	account-association*
RegisterAccountAssociation	授予注册与托管事物的账户关联的权限	写入	managed-thing*
RegisterCustomEndpoint	授予注册自定义终端节点的权限	写入
ResetRuntimeLogConfiguration	授予重置运行时日志配置的权限	写入
SendConnectorEvent	授予发送连接器事件的权限	写入
SendManagedThingCommand	授予向托管事物发送命令的权限	写入	managed-thing*
SendManagedThingCommand	授予向托管事物发送命令的权限	写入	account-association
StartAccountAssociationRefresh	授予开始刷新与账户关联关联的访问令牌的权限	写入	account-association*
StartDeviceDiscovery	授予启动设备发现的权限	写入	account-association
StartDeviceDiscovery	授予启动设备发现的权限	写入	managed-thing
TagResource	授予为指定资源添加标签的权限	标记	account-association
			credential-locker
			managed-thing
			ota-task
			provisioning-profile
				aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys
UntagResource	授予删除指定资源标签的权限	标记	account-association
			credential-locker
			managed-thing
			ota-task
			provisioning-profile
				aws:ResourceTag/${TagKey} aws:TagKeys
UpdateAccountAssociation	授予更新账户关联的权限	写入	account-association*
UpdateCloudConnector	授予更新云连接器的权限	写入		iotmanagedintegrations:cloudConnectorId
UpdateConnectorDestination	授予更新连接器目标的权限	写入
UpdateDestination	授予权限以更新目标	写入
UpdateEventLogConfiguration	授予更新事件日志配置的权限	写入
UpdateManagedThing	授予更新托管事物的权限	写入	managed-thing*
UpdateManagedThing	授予更新托管事物的权限	写入	credential-locker
UpdateNotificationConfiguration	授予更新通知配置的权限	写入
UpdateOtaTask	授予更新 ota 任务的权限	写入	ota-task*

由 AWS IoT 托管集成定义的资源类型

以下资源类型是由该服务定义的，可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键，从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息，请参阅资源类型表。

资源类型	ARN	条件键
account-association	`arn:${Partition}:iotmanagedintegrations:${Region}:${Account}:account-association/${AccountAssociationId}`	aws:ResourceTag/${TagKey}
credential-locker	`arn:${Partition}:iotmanagedintegrations:${Region}:${Account}:credential-locker/${Identifier}`	aws:ResourceTag/${TagKey}
managed-thing	`arn:${Partition}:iotmanagedintegrations:${Region}:${Account}:managed-thing/${Identifier}`	aws:ResourceTag/${TagKey}
ota-task	`arn:${Partition}:iotmanagedintegrations:${Region}:${Account}:ota-task/${Identifier}`	aws:ResourceTag/${TagKey}
provisioning-profile	`arn:${Partition}:iotmanagedintegrations:${Region}:${Account}:provisioning-profile/${Identifier}`	aws:ResourceTag/${TagKey}

AWS 物联网托管集成的条件密钥

AWS IoT 托管集成定义了以下条件键，这些条件键可用于 IAM 策略的Condition元素。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息，请参阅条件键表。

要查看适用于所有服务的全局条件密钥，请参阅AWS 全局条件上下文密钥。

条件键	描述	类型
aws:RequestTag/${TagKey}	按请求中允许的标签键值对筛选访问	字符串
aws:ResourceTag/${TagKey}	按某个资源的标签键值对筛选访问	字符串
aws:TagKeys	按请求中传递的标签键筛选访问权限	ArrayOfString
iotmanagedintegrations:cloudConnectorId	按以下方式筛选访问权限 CloudConnectorId	字符串
iotmanagedintegrations:connectorDestinationId	按以下方式筛选访问权限 ConnectorDestinationId	字符串

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

AWS 物联网职位 DataPlane

AWS IoT SiteWise