向 Amazon IoT 规则授予所需的访问权限
您可以使用 IAM 角色来控制每个规则可以访问的Amazon资源。在创建规则之前,您必须创建一个 IAM 角色,并对其应用允许访问所需Amazon资源的策略。执行规则时,Amazon IoT 将代入该角色。
创建用于向 Amazon IoT 规则授予所需访问权限的 IAM 角色和 Amazon IoT 策略 (Amazon CLI)
-
将以下信任策略文档(用于授予 Amazon IoT 代入此角色的权限)保存到名为
iot-role-trust.json的文件。此示例包括一个全局条件上下文密钥,用于防止混淆代理问题。对于 Amazon IoT 规则,您的
aws:SourceArn必须符合格式arn:aws:iot:。确保region:account-id:*区域与您的 Amazon IoT 区域匹配,account-id与您的客户账户 ID 相匹配。{ "Version":"2012-10-17", "Statement":[{ "Effect": "Allow", "Principal": { "Service": "iot.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:iot:us-east-1:123456789012:*" } } }] }使用 create-role 命令,指定
iot-role-trust.json文件,创建 IAM 角色:aws iam create-role --role-namemy-iot-role--assume-role-policy-document file://iot-role-trust.json此命令的输出如下所示:
{ "Role": { "AssumeRolePolicyDocument": "url-encoded-json", "RoleId": "AKIAIOSFODNN7EXAMPLE", "CreateDate": "2015-09-30T18:43:32.821Z", "RoleName": "my-iot-role", "Path": "/", "Arn": "arn:aws:iam::123456789012:role/my-iot-role" } } -
将以下 JSON 保存到名为
my-iot-policy.json的文件中。{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "dynamodb:*", "Resource": "*" }] }该 JSON 是授予 Amazon IoT 管理员对 DynamoDB 的访问权限的示例策略文档。
使用 create-policy 命令授予 Amazon IoT 在代入该角色后访问您的 Amazon 资源的权限,并传入
my-iot-policy.json文件:aws iam create-policy --policy-namemy-iot-policy--policy-document file://my-iot-policy.json有关如何在 Amazon IoT 的策略中授予对 Amazon 服务的访问权限的更多信息,请参阅 创建 Amazon IoT 规则。
create-policy 命令的输出中包含该策略的 ARN。您需要将该策略附加到角色。
{ "Policy": { "PolicyName": "my-iot-policy", "CreateDate": "2015-09-30T19:31:18.620Z", "AttachmentCount": 0, "IsAttachable": true, "PolicyId": "ZXR6A36LTYANPAI7NJ5UV", "DefaultVersionId": "v1", "Path": "/", "Arn": "arn:aws:iam::123456789012:policy/my-iot-policy", "UpdateDate": "2015-09-30T19:31:18.620Z" } } -
使用 attach-role-policy 命令将您的策略附加到角色:
aws iam attach-role-policy --role-namemy-iot-role--policy-arn "arn:aws:iam::123456789012:policy/my-iot-policy"