支援終止通知：2026 年 5 月 20 日， AWS 將終止對 的支援 AWS IoT Events。2026 年 5 月 20 日之後，您將無法再存取 AWS IoT Events 主控台或 AWS IoT Events 資源。如需詳細資訊，請參閱[AWS IoT Events 終止支援](https://docs.aws.amazon.com/iotevents/latest/developerguide/iotevents-end-of-support.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 的身分和存取管理 AWS IoT Events
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) 是一種 AWS 服務，可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可控制誰可以*進行驗證 *（登入） 和*授權* （具有許可） 來使用 AWS IoT Events 資源。IAM 是一項服務 AWS ，您可以免費使用。

**Topics**
+ [目標對象](#security_iam_audience)
+ [使用身分驗證](security_iam_authentication.md)
+ [使用政策管理存取權](security_iam_access-manage.md)
+ [有關身分和存取管理的更多資訊](#security_iam_learn-more)
+ [AWS IoT Events 如何使用 IAM](#security_iam_service-with-iam)
+ [AWS IoT Events 身分型政策範例](security_iam_id-based-policy-examples.md)
+ [的跨服務混淆代理人預防 AWS IoT Events](cross-service-confused-deputy-prevention.md)
+ [對 AWS IoT Events 身分和存取進行故障診斷](security_iam_troubleshoot.md)

## 目標對象
<a name="security_iam_audience"></a>

使用方式 AWS Identity and Access Management (IAM) 會根據您的角色而有所不同：
+ **服務使用者** — 若無法存取某些功能，請向管理員申請所需許可 (請參閱 [對 AWS IoT Events 身分和存取進行故障診斷](security_iam_troubleshoot.md))
+ **服務管理員** — 負責設定使用者存取權並提交相關許可請求 (請參閱 [AWS IoT Events 如何使用 IAM](#security_iam_service-with-iam))
+ **IAM 管理員** — 撰寫政策以管理存取控制 (請參閱 [AWS IoT Events 身分型政策範例](security_iam_id-based-policy-examples.md))

## 有關身分和存取管理的更多資訊
<a name="security_iam_learn-more"></a>

如需 的身分和存取管理的詳細資訊 AWS IoT Events，請繼續前往下列頁面：
+ [AWS IoT Events 如何使用 IAM](#security_iam_service-with-iam)
+ [對 AWS IoT Events 身分和存取進行故障診斷](security_iam_troubleshoot.md)

## AWS IoT Events 如何使用 IAM
<a name="security_iam_service-with-iam"></a>

在您使用 IAM 管理對 的存取之前 AWS IoT Events，您應該了解可使用哪些 IAM 功能 AWS IoT Events。若要全面了解 AWS IoT Events 和其他 AWS 服務如何與 IAM 搭配使用，請參閱《[AWS IAM 使用者指南》中的與 IAM 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。 **

**Topics**
+ [AWS IoT Events 身分型政策](#security_iam_service-with-iam-id-based-policies)
+ [AWS IoT Events 資源型政策](#security_iam_service-with-iam-resource-based-policies)
+ [以 AWS IoT Events 標籤為基礎的授權](#security_iam_service-with-iam-tags)
+ [AWS IoT Events IAM 角色](#security_iam_service-with-iam-roles)

### AWS IoT Events 身分型政策
<a name="security_iam_service-with-iam-id-based-policies"></a>

使用 IAM 身分類型政策，您可以指定允許或拒絕的動作和資源，以及在何種條件下會允許或拒絕動作。 AWS IoT Events 支援特定動作、資源及條件索引鍵。若要了解您在 JSON 政策中使用的所有元素，請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。

#### 動作
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

IAM 身分類型政策的 `Action` 元素會描述政策將允許或拒絕的特定動作。政策動作通常具有與相關聯 AWS API 操作相同的名稱。政策會使用動作來授予執行相關聯操作的許可。

中的政策動作在動作之前 AWS IoT Events 使用下列字首：`iotevents:`。例如，若要授予某人使用 API AWS IoT Events `CreateInput`操作建立 AWS IoT Events 輸入的許可，請在其政策中包含 `iotevents:CreateInput`動作。若要授予某人使用 API AWS IoT Events `BatchPutMessage`操作傳送輸入的許可，請在其政策中包含 `iotevents-data:BatchPutMessage`動作。政策陳述式必須包含 `Action`或 `NotAction`元素。 AWS IoT Events 會定義自己的一組動作，描述您可以使用此服務執行的任務。

若要在單一陳述式中指定多個動作，請用逗號分隔，如下所示：

```
"Action": [
      "iotevents:action1",
      "iotevents:action2"
```

您也可以使用萬用字元 (\*) 來指定多個動作。例如，若要指定開頭是 `Describe` 文字的所有動作，請包含以下動作：

```
"Action": "iotevents:Describe*"
```



若要查看 AWS IoT Events 動作清單，請參閱《*IAM 使用者指南*》中的 [定義的動作 AWS IoT Events](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotevents.html#awsiotevents-actions-as-permissions)。

#### Resources
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

`Resource` 元素可指定動作套用的物件。陳述式必須包含 `Resource` 或 `NotResource` 元素。您可以使用 ARN 來指定資源，或是使用萬用字元 (\*) 來指定陳述式套用到所有資源。



 AWS IoT Events 偵測器模型資源具有下列 ARN：

```
arn:${Partition}:iotevents:${Region}:${Account}:detectorModel/${detectorModelName}
```

如需 ARNs 格式的詳細資訊，請參閱[使用 Amazon Resource Name (ARNs) 識別 AWS 資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)。

例如，若要在陳述式中指定`Foobar`偵測器模型，請使用下列 ARN：

```
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/Foobar"
```

若要指定屬於特定帳戶的所有執行個體，請使用萬用字元 (\*)：

```
"Resource": "arn:aws:iotevents:us-east-1:123456789012:detectorModel/*"
```

有些 AWS IoT Events 動作無法對特定資源執行，例如用於建立資源的動作。在這些情況下，您必須使用萬用字元 (\*)。

```
"Resource": "*"
```

有些 AWS IoT Events API 動作涉及多個資源。例如， 會在其條件陳述式中`CreateDetectorModel`參考輸入，因此使用者必須具有使用輸入和偵測器模型的許可。若要在單一陳述式中指定多項資源，請使用逗號分隔 ARN。

```
"Resource": [
      "resource1",
      "resource2"
```

若要查看 AWS IoT Events 資源類型及其 ARNs的清單，請參閱《*IAM 使用者指南*》中的 [定義的資源 AWS IoT Events](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotevents.html#awsiotevents-resources-for-iam-policies)。若要了解您可以使用哪些動作指定每個資源的 ARN，請參閱 [AWS IoT Events定義的動作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotevents.html#awsiotevents-actions-as-permissions)。

#### 條件索引鍵
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

`Condition` 元素 (或 `Condition` *區塊*) 可讓您指定使陳述式生效的條件。`Condition` 元素是選用項目。您可以建置使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件表達式 (例如等於或小於)，來比對政策中的條件和請求中的值。

若您在陳述式中指定多個 `Condition` 元素，或是在單一 `Condition` 元素中指定多個索引鍵， AWS 會使用邏輯 `AND` 操作評估他們。如果您為單一條件索引鍵指定多個值， 會使用邏輯`OR`操作 AWS 評估條件。必須符合所有條件，才會授與陳述式的許可。

您也可以在指定條件時使用預留位置變數。例如，您可以只在使用者使用其使用者名稱標記時，將存取資源的許可授予該使用者。如需詳細資訊，請參閱*「IAM 使用者指南」*中的 [IAM 政策元素：變數和標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。

AWS IoT Events 不提供任何服務特定的條件金鑰，但支援使用一些全域條件金鑰。若要查看所有 AWS 全域條件索引鍵，請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。」

#### 範例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



若要檢視 AWS IoT Events 身分型政策的範例，請參閱 [AWS IoT Events 身分型政策範例](security_iam_id-based-policy-examples.md)。

### AWS IoT Events 資源型政策
<a name="security_iam_service-with-iam-resource-based-policies"></a>

AWS IoT Events 不支援以資源為基礎的政策。」 若要檢視詳細資源類型政策頁面的範例，請參閱 [https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html)。

### 以 AWS IoT Events 標籤為基礎的授權
<a name="security_iam_service-with-iam-tags"></a>

您可以將標籤連接至 AWS IoT Events 資源，或在請求中將標籤傳遞至其中 AWS IoT Events。如需根據標籤控制存取，請使用 `iotevents:ResourceTag/{{key-name}}`、`aws:RequestTag/{{key-name}}` 或 `aws:TagKeys` 條件索引鍵，在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中，提供標籤資訊。如需標記 AWS IoT Events 資源的詳細資訊，請參閱 [標記您的 AWS IoT Events 資源](tagging-iotevents.md)。

若要檢視身分型原則範例，以根據該資源上的標籤來限制存取資源，請參閱[根據標籤檢視 AWS IoT Events 輸入](security_iam_id-based-policy-examples-view-input-tags.md)。

### AWS IoT Events IAM 角色
<a name="security_iam_service-with-iam-roles"></a>

[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是 中具有特定許可 AWS 帳戶 的實體。

#### 搭配 使用臨時登入資料 AWS IoT Events
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

您可以搭配聯合使用暫時憑證、擔任 IAM 角色，或是擔任跨帳戶角色。您可以透過呼叫 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) 或 [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html) 等 AWS Security Token Service AWS STS API 操作來取得臨時安全登入資料。

AWS IoT Events 不支援使用臨時登入資料。

#### 服務連結角色
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)可讓 AWS 服務存取其他服務中的資源，以代表您完成 動作。服務連結角色會顯示在您的 IAM 帳戶中，並由該服務所擁有。IAM 管理員可以檢視，但不能編輯服務連結角色的許可。

AWS IoT Events 不支援服務連結角色。

#### 服務角色
<a name="security_iam_service-with-iam-roles-service"></a>

此功能可讓服務代表您擔任[服務角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。此角色可讓服務存取其他服務中的資源，以代表您完成動作。服務角色會出現在您的 IAM 帳戶中，且由該帳戶所擁有。這表示 IAM 管理員可以變更此角色的許可。不過，這樣可能會破壞此服務的功能。

AWS IoT Events 支援服務角色。