终止支持通知: Amazon 将于 2025 年 12 月 15 日终止对的支持 Amazon IoT Analytics。2025 年 12 月 15 日之后,您将无法再访问 Amazon IoT Analytics 控制台或 Amazon IoT Analytics 资源。有关更多信息,请参阅[Amazon IoT Analytics 终止支持](https://docs.amazonaws.cn/iotanalytics/latest/userguide/iotanalytics-end-of-support.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 如何 Amazon IoT Analytics 与 IAM 配合使用
在使用 IAM 管理访问权限之前 Amazon IoT Analytics,您应该了解哪些可用的 IAM 功能 Amazon IoT Analytics。要全面了解如何 Amazon IoT Analytics 和其他 Amazon 服务与 IAM 配合使用,请参阅 IAM *用户指南中的与 IAM* [配合使用的Amazon 服务](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**Topics**
+ [Amazon IoT Analytics 基于身份的策略](#iam-id-based-policies)
+ [Amazon IoT Analytics 基于资源的政策](#iam-resource-based-policies)
+ [基于 Amazon IoT Analytics 标签的授权](#iam-tags)
+ [Amazon IoT Analytics IAM 角色](#iam-roles)
## Amazon IoT Analytics 基于身份的策略
借助 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源,以及允许或拒绝操作的条件。 Amazon IoT Analytics 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》中的 [IAM JSON 策略元素参考](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements.html)**。
### 操作
基于 IAM 身份的策略的 `Action` 元素描述该策略将允许或拒绝的特定操作。策略操作通常与关联的 Amazon API 操作同名。此操作用于策略中以授予执行关联操作的权限。
策略操作在操作前 Amazon IoT Analytics 使用以下前缀:`iotanalytics:`例如,要授予某人使用 Amazon IoT Analytics `CreateChannel` API 操作创建 Amazon IoT Analytics 频道的权限,您需要将该`iotanalytics:BatchPuMessage`操作包含在他们的策略中。策略声明必须包含`Action`或`NotAction`元素。 Amazon IoT Analytics 定义了自己的一组操作,这些操作描述了您可以使用此服务执行的任务。
要在单个语句中指定多项 操作,请使用逗号将它们隔开,如下所示。
```
"Action": [
"iotanalytics:action1",
"iotanalytics:action2"
]
```
您也可以使用通配符 (\$1) 指定多个操作。例如,要指定以单词 `Describe` 开头的所有操作,请包括以下操作。
```
"Action": "iotanalytics:Describe*"
```
要查看 Amazon IoT Analytics 操作列表,请参阅 *IAM 用户指南 Amazon IoT Analytics*中[定义的操作](https://docs.amazonaws.cn/iotanalytics/latest/userguide/list_awsiotanalytics.html#awsiotanalytics-actions-as-permissions)。
### Resources(资源)
`Resource` 元素指定要向其应用操作的对象。语句必须包含 `Resource` 或 `NotResource` 元素。您可使用 ARN 来指定资源,或使用通配符 (\$1) 以指明该语句适用于所有资源。
Amazon IoT Analytics 数据集资源具有以下 ARN。
```
arn:${Partition}:iotanalytics:${Region}:${Account}:dataset/${DatasetName}
```
有关格式的更多信息 ARNs,请参阅 [Amazon 资源名称 (ARNs) 和 Amazon 服务命名空间](https://docs.amazonaws.cn/general/latest/gr/aws-arns-and-namespaces.html)。
例如,要在语句中指定 `Foobar` 数据集,请使用以下 ARN。
```
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:dataset/Foobar"
```
要指定属于特定账户的所有实例,请使用通配符 (\$1)。
```
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:dataset/*"
```
某些 Amazon IoT Analytics 操作(例如创建资源的操作)无法对特定资源执行。在这些情况下,您必须使用通配符 (\$1)。
```
"Resource": "*"
```
某些 Amazon IoT Analytics API 操作涉及多个资源。例如,`CreatePipeline` 引用通道和数据集,因此,用户必须具有使用通道和数据集的权限。要在单个语句中指定多个资源,请 ARNs 用逗号分隔。
```
"Resource": [
"resource1",
"resource2"
]
```
要查看 Amazon IoT Analytics 资源类型及其列表 ARNs,请参阅 *IAM 用户指南 Amazon IoT Analytics*中[定义的资源](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_awsiotanalytics.html#awsiotanalytics-resources-for-iam-policies)。要了解可以在哪些操作中指定每个资源的 ARN,请参阅 [Amazon IoT Analytics定义的操作](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_awsiotanalytics.html#awsiotanalytics-actions-as-permissions)。
### 条件键
在 `Condition` 元素(或 `Condition` *块*)中,可以指定语句生效的条件。`Condition` 元素是可选的。您可以构建使用[条件运算符](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。
如果您在一个语句中指定多个 `Condition` 元素,或在单个 `Condition` 元素中指定多个键,则 Amazon 使用逻辑 `AND` 运算评估它们。如果您为单个条件键指定多个值,则 Amazon 使用逻辑 `OR` 运算来评估条件。在授予语句的权限之前必须满足所有的条件。
在指定条件时,您也可以使用占位符变量。例如,仅当用户使用其用户名进行标记时,您才可为其授予访问资源的权限。有关更多信息,请参阅 *IAM 用户指南* 中的 [IAM policy 元素:变量和标签](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_variables.html)。
Amazon IoT Analytics 不提供任何特定于服务的条件键,但它确实支持使用某些全局条件键。要查看所有 Amazon 全局条件键,请参阅 *IAM 用户指南*中的[Amazon 全局条件上下文密钥](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
### 示例
要查看 Amazon IoT Analytics 基于身份的策略的示例,请参阅。[Amazon IoT Analytics 基于身份的策略示例](security_iam_id-based-policy-examples.md)
## Amazon IoT Analytics 基于资源的政策
Amazon IoT Analytics 不支持基于资源的策略。要查看详细的基于资源的策略页面的示例,请参阅*Amazon Lambda 开发人员指南*中[为 Amazon Lambda使用基于资源的策略](https://docs.amazonaws.cn/lambda/latest/dg/access-control-resource-based.html)。
## 基于 Amazon IoT Analytics 标签的授权
您可以为 Amazon IoT Analytics 资源附加标签或在请求中传递标签 Amazon IoT Analytics。要根据标签控制访问,您需要在策略的[条件元素](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition.html)中使用 `iotanalytics:ResourceTag/{key-name}, aws:RequestTag/{key-name}` 或 `aws:TagKeys` 条件键提供标签信息。有关为 Amazon IoT Analytics 资源添加标签的更多信息,请参阅为资源[添加 Amazon IoT Analytics 标签](https://docs.amazonaws.cn/iotanalytics/latest/userguide/tagging.html#aws-iot-analytics-tagging)。
要查看基于身份的策略示例,该策略用于根据资源上的标签限制对该资源的访问权限,请参阅[根据标签查看 Amazon IoT Analytics 频道](https://docs.amazonaws.cn/iotanalytics/latest/userguide/security.html#security-iam-id-based-policy-examples-view-input-tags)。
## Amazon IoT Analytics IAM 角色
[IAM 角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles.html)是 Amazon Web Services 账户 中具有特定权限的实体。
### 使用临时凭证和 Amazon IoT Analytics
可以使用临时凭证进行联合身份验证登录,分派 IAM 角色或分派跨账户角色。您可以通过调用 Amazon Security Token Service (Amazon STS) API 操作(例如[AssumeRole](https://docs.amazonaws.cn/STS/latest/APIReference/API_AssumeRole.html)或)来获取临时安全证书[GetFederationToken](https://docs.amazonaws.cn/STS/latest/APIReference/API_GetFederationToken.html)。
Amazon IoT Analytics 不支持使用临时证书。
### 服务相关角色
[服务线角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 Amazon 服务访问其他服务中的资源以代表您完成操作。服务相关角色显示在 IAM 账户中,并归该服务所有。IAM 管理员可以查看但不能编辑服务相关角色的权限。
Amazon IoT Analytics 不支持服务相关角色。
### 服务角色
此功能允许服务代表您担任[服务角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在 IAM 账户中,并归该账户所有。这意味着,IAM 管理员可以更改该角色的权限。但是,这样做可能会中断服务的功能。
Amazon IoT Analytics 支持服务角色。