授权 - AWS IoT
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

授权

授权是向经过身份验证的身份授予权限的过程。您可以使用 AWS IoT Core 和 IAM 策略授予 AWS IoT Core 中的权限。本主题介绍了 AWS IoT Core 策略。有关 IAM 策略的更多信息,请参阅适用于 AWS IoT 的 Identity and Access ManagementIAM 策略

AWS IoT Core 策略确定经过身份验证的身份可执行的操作。经身份验证的身份由设备、移动应用程序、Web 应用程序和桌面应用程序使用。经过身份验证的身份甚至可以是键入 AWS IoT Core CLI 命令的用户。仅当身份具有向其授予这些操作的权限的策略时,才能执行 AWS IoT Core 操作。

AWS IoT Core 策略和 IAM 策略都可用于 AWS IoT Core 来控制身份(也称作委托人)可以执行的操作。您使用的策略类型取决于向 AWS IoT Core 进行身份验证时使用的身份类型。

AWS IoT Core 操作分为两组:

  • 控制层面 API 允许您执行诸如创建或更新证书、事物、规则等管理任务。

  • 数据层面 API 允许您向 AWS IoT Core 发送数据以及从中接收数据。

您使用的策略类型取决于您使用的是控制层面 API 还是数据层面 API。

下表显示了身份类型、它们使用的协议和可用于授权的策略类型。

AWS IoT Core 数据层面 API 和策略类型
协议和身份验证机制 开发工具包 身份类型 策略类型
基于 TLS/TCP、TLS 双向身份验证的 MQTT(端口 8883 或 443 AWS IoT Core 设备软件开发工具包 X.509 证书 AWS IoT Core 策略
基于 HTTPS/WebSocket、AWS Sigv4 身份验证的 MQTT(端口 443) AWS 移动开发工具包 已经过验证的 Amazon Cognito 身份 IAM 和 AWS IoT Core 策略
未经验证的 Amazon Cognito 身份 IAM 策略
IAM 或联合身份 IAM 策略
HTTPS、AWS 签名版本 4 身份验证(端口 443) AWS CLI Amazon Cognito、IAM 或联合身份 IAM 策略
HTTPS、TLS 双向身份验证(端口 8443) 不支持开发工具包 X.509 证书 AWS IoT Core 策略
基于自定义身份验证的 HTTPS(端口 443) AWS IoT Core 设备软件开发工具包 自定义授权方 自定义授权方策略
AWS IoT Core 控制层面 API 和策略类型
协议和身份验证机制 开发工具包 身份类型 策略类型
HTTPS AWS 签名版本 4 身份验证(端口 443) AWS CLI Amazon Cognito 身份 IAM 策略
IAM 或联合身份 IAM 策略

AWS IoT Core 策略将附加到 X.509 证书或 Amazon Cognito 身份。IAM 策略将附加到 IAM 用户、组或角色。如果您使用 AWS IoT 控制台或 AWS IoT Core CLI 附加策略(附加到证书或 Amazon Cognito 身份),则应使用 AWS IoT Core 策略。否则,应使用 IAM 策略。

基于策略的授权功能强大。它使您能够完全控制设备、用户或应用程序可在 AWS IoT Core 中执行的操作。例如,以使用证书连接到 AWS IoT Core 的设备为例。您可以允许设备访问所有 MQTT 主题,也可以限制它的访问权限,只允许它访问一个主题。再举一例,假设用户在命令行中键入 CLI 命令。通过使用策略,您可以允许或拒绝用户访问任何命令或 AWS IoT Core 资源。此外,您还可以控制应用程序对 AWS IoT Core 资源的访问。