创建 OTA 用户策略

您必须授予 IAM 用户执行无线更新的权限。IAM 用户必须具备以下权限：

访问存储固件更新的 S3 存储桶。
访问存储在 AWS Certificate Manager 中的证书。
访问 AWS IoT 流服务。
访问 FreeRTOS OTA 更新。
访问 AWS IoT 作业。
访问 IAM。
访问 Code Signing for AWS IoT。请参阅。
列出 FreeRTOS 硬件平台。

要授予 IAM 用户所需的权限，可创建 OTA 用户策略，然后将其附加到 IAM 用户。有关更多信息，请参阅 IAM 策略。

创建 OTA 用户策略

打开 https://console.amazonaws.cn/iam/ 控制台。
在导航窗格中，选择 Users。
从列表中选择 IAM 用户。
选择 Add permissions。
选择直接附加现有策略。
选择 Create policy。

选择 JSON 选项卡，然后将以下策略文档复制并粘贴到策略编辑器中：


{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListAllMyBuckets",
                "s3:CreateBucket",
                "s3:PutBucketVersioning",
                "s3:GetBucketLocation",
                "s3:GetObjectVersion",
                "acm:ImportCertificate",
                "acm:ListCertificates",
                "iot:*",
                "iam:ListRoles",
                "freertos:ListHardwarePlatforms",
                "freertos:DescribeHardwarePlatform"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws-cn:s3:::example-bucket/*"
        },
        {   
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws-cn:iam::your-account-id:role/role-name"
        }
    ]
}

将 example-bucket 替换为 Amazon S3 存储桶的名称，该存储桶即存储 OTA 更新固件映像的位置。将 your-account-id 替换为您的 AWS 账户 ID。您可以在控制台右上角找到 AWS 账户 ID。在输入账户 ID 时，请删除任何短划线 (-)。将 role-name 替换为刚创建的 IAM 服务角色的名称。

选择查看策略。
为新的 OTA 用户策略输入名称，然后选择 Create policy (创建策略)。

将 OTA 用户策略附加到 IAM 用户

在 IAM 控制台的导航窗格中，选择 Users (用户)，然后选择您的用户。
选择 Add permissions。
选择直接附加现有策略。
搜索刚创建的 OTA 用户策略，然后选中旁边的复选框。
选择 Next: Review (下一步: 审核)。
选择 Add permissions (添加权限)。

Javascript 在您的浏览器中被禁用或不可用。

要使用 AWS 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

创建 OTA 更新服务角色

创建代码签名证书