終止支援通知:在 2025 年 12 月 15 日, AWS 將終止對 的支援 AWS IoT Analytics。2025 年 12 月 15 日之後,您將無法再存取 AWS IoT Analytics 主控台或 AWS IoT Analytics 資源。如需詳細資訊,請參閱[AWS IoT Analytics 終止支援](https://docs.aws.amazon.com/iotanalytics/latest/userguide/iotanalytics-end-of-support.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS IoT Analytics 如何使用 IAM
在您使用 IAM 管理對 的存取之前 AWS IoT Analytics,您應該了解可使用哪些 IAM 功能 AWS IoT Analytics。若要全面了解 AWS IoT Analytics 和其他 AWS 服務如何與 IAM 搭配使用,請參閱《[AWS IAM 使用者指南》中的與 IAM 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。 **
**Topics**
+ [AWS IoT Analytics 身分型政策](#iam-id-based-policies)
+ [AWS IoT Analytics 資源型政策](#iam-resource-based-policies)
+ [以 AWS IoT Analytics 標籤為基礎的授權](#iam-tags)
+ [AWS IoT Analytics IAM 角色](#iam-roles)
## AWS IoT Analytics 身分型政策
透過 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及允許或拒絕動作的條件。 AWS IoT Analytics 支援特定動作、資源和條件索引鍵。若要了解您在 JSON 政策中使用的所有元素,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 動作
IAM 身分類型政策的 `Action` 元素會描述政策將允許或拒絕的特定動作。政策動作通常具有與相關聯 AWS API 操作相同的名稱。動作用於政策中,以授予執行相關聯操作的許可。
中的政策動作在動作之前 AWS IoT Analytics 使用以下字首:`iotanalytics:`例如,若要授予某人使用 API 操作建立 AWS IoT Analytics 頻道的 AWS IoT Analytics `CreateChannel`許可,請在其政策中包含 `iotanalytics:BatchPuMessage`動作。政策陳述式必須包含 `Action`或 `NotAction`元素。 AWS IoT Analytics 會定義自己的一組動作,描述您可以使用此服務執行的任務。
若要在單一陳述式中指定多個 動作,請用逗號分隔,如下所示。
```
"Action": [
"iotanalytics:action1",
"iotanalytics:action2"
]
```
您也可以使用萬用字元 (\*) 來指定多個動作。例如,如需指定開頭是 `Describe` 文字的所有動作,請包含以下動作:
```
"Action": "iotanalytics:Describe*"
```
若要查看 AWS IoT Analytics 動作清單,請參閱《*IAM 使用者指南*》中的 [定義的動作 AWS IoT Analytics](https://docs.aws.amazon.com/iotanalytics/latest/userguide/list_awsiotanalytics.html#awsiotanalytics-actions-as-permissions)。
### Resources
`Resource` 元素可指定動作套用的物件。陳述式必須包含 `Resource` 或 `NotResource` 元素。您可以使用 ARN 來指定資源,或是使用萬用字元 (\*) 來指定陳述式套用到所有資源。
AWS IoT Analytics 資料集資源具有下列 ARN。
```
arn:${Partition}:iotanalytics:${Region}:${Account}:dataset/${DatasetName}
```
如需 ARN 格式的詳細資訊,請參閱 [Amazon Resource Name (ARN) 和 AWS 服務命名空間](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。
例如,若要在陳述式中指定 `Foobar` 資料集,請使用以下 ARN。
```
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:dataset/Foobar"
```
如需指定屬於特定帳戶的所有執行個體,請使用萬用字元 (\*)。
```
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:dataset/*"
```
有些 AWS IoT Analytics 動作無法對特定資源執行,例如用於建立資源的動作。在這些情況下,您必須使用萬用字元 (\*)。
```
"Resource": "*"
```
有些 AWS IoT Analytics API 動作涉及多個資源。例如,`CreatePipeline`參考 做為頻道和資料集,因此使用者必須具有使用頻道和資料集的許可。若要在單一陳述式中指定多項資源,請使用逗號分隔 ARN。
```
"Resource": [
"resource1",
"resource2"
]
```
若要查看 AWS IoT Analytics 資源類型及其 ARNs的清單,請參閱《*IAM 使用者指南*》中的 [ 定義的資源 AWS IoT Analytics](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotanalytics.html#awsiotanalytics-resources-for-iam-policies)。若要了解您可以使用哪些動作指定每個資源的 ARN,請參閱 [AWS IoT Analytics定義的動作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotanalytics.html#awsiotanalytics-actions-as-permissions)。
### 條件索引鍵
`Condition` 元素 (或 `Condition` *區塊*) 可讓您指定使陳述式生效的條件。`Condition` 元素是選用項目。您可以建置使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件表達式 (例如等於或小於),來比對政策中的條件和請求中的值。
若您在陳述式中指定多個 `Condition` 元素,或是在單一 `Condition` 元素中指定多個索引鍵, AWS 會使用邏輯 `AND` 操作評估他們。若您為單一條件索引鍵指定多個值, AWS 會使用邏輯 `OR` 操作評估條件。必須符合所有條件,才會授與陳述式的許可。
您也可以在指定條件時使用預留位置變數。例如,您可以只在使用者使用其使用者名稱標記時,將存取資源的許可授予該使用者。如需詳細資訊,請參閱*「IAM 使用者指南」*中的 [IAM 政策元素:變數和標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。
AWS IoT Analytics 不提供任何 Sevice 特定條件金鑰,但支援使用一些全域條件金鑰。若要查看所有 AWS 全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
### 範例
若要檢視 AWS IoT Analytics 身分型政策的範例,請參閱 [AWS IoT Analytics 身分型政策範例](security_iam_id-based-policy-examples.md)。
## AWS IoT Analytics 資源型政策
AWS IoT Analytics 不支援以資源為基礎的政策。若要檢視詳細資源型政策頁面的範例,請參閱《 *AWS Lambda 開發人員指南*》中的[針對 使用資源型政策 AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html)。
## 以 AWS IoT Analytics 標籤為基礎的授權
您可以將標籤連接至 AWS IoT Analytics 資源,或在請求中將標籤傳遞至其中 AWS IoT Analytics。若要根據標籤控制存取,請使用 `iotanalytics:ResourceTag/{key-name}, aws:RequestTag/{key-name}`或 [條件索引鍵,在政策的條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供標籤資訊。 `aws:TagKeys`如需標記 AWS IoT Analytics 資源的詳細資訊,請參閱[標記資源 AWS IoT Analytics](https://docs.aws.amazon.com/iotanalytics/latest/userguide/tagging.html#aws-iot-analytics-tagging)。
若要檢視以身分為基礎的政策範例,以根據資源上的標籤限制對資源的存取,請參閱[根據標籤檢視 AWS IoT Analytics 頻道](https://docs.aws.amazon.com/iotanalytics/latest/userguide/security.html#security-iam-id-based-policy-examples-view-input-tags)。
## AWS IoT Analytics IAM 角色
[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您 AWS 帳戶 中具備特定許可的實體。
### 搭配 使用臨時登入資料 AWS IoT Analytics
您可以搭配聯合使用暫時憑證、擔任 IAM 角色,或是擔任跨帳戶角色。您取得暫時安全登入資料的方式是透過呼叫 AWS Security Token Service (AWS STS) API 操作 (例如,[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 或 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html))。
AWS IoT Analytics 不支援使用臨時登入資料。
### 服務連結角色
[服務定義角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)可讓 AWS 服務存取其他 服務中的資源,以代表您完成 動作。服務連結角色會顯示在您的 IAM 帳戶中,並由該服務所擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
AWS IoT Analytics 不支援服務連結角色。
### 服務角色
此功能可讓服務代表您擔任[服務角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色可讓服務存取其他服務中的資源,以代表您完成動作。服務角色會出現在您的 IAM 帳戶中,且由該帳戶所擁有。這表示 IAM 管理員可以變更此角色的許可。不過,這樣可能會破壞此服務的功能。
AWS IoT Analytics 支援服務角色。