授予 AWS IoT 所需的访问权限 - AWS IoT
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

授予 AWS IoT 所需的访问权限

您可以使用 IAM 角色来控制每个规则可以访问的 AWS 资源。在创建规则之前,您必须创建一个 IAM 角色,并对其应用允许访问所需 AWS 资源的策略。执行规则时,AWS IoT 代入该角色。

创建 IAM 角色 (AWS CLI)

  1. 将以下信任策略文档(用于授予 AWS IoT 代入此角色的权限)保存到名为 iot-role-trust.json 的文件: 

    {
  "Version":"2012-10-17",
  "Statement":[{
      "Effect": "Allow",
      "Principal": {
        "Service": "iot.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
  }]
}

    使用 create-role 命令,指定 iot-role-trust.json 文件,创建 IAM 角色: 

    aws iam create-role --role-name my-iot-role --assume-role-policy-document file://iot-role-trust.json

    此命令的输出如下所示:

    {
  "Role": {
    "AssumeRolePolicyDocument": "url-encoded-json",
    "RoleId": "AKIAIOSFODNN7EXAMPLE",
    "CreateDate": "2015-09-30T18:43:32.821Z",
    "RoleName": "my-iot-role",
    "Path": "/",
    "Arn": "arn:aws:iam::123456789012:role/my-iot-role"
  }
}

  2. 将以下 JSON 保存到名为 iot-policy.json 的文件中。 

    {
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "dynamodb:*",
    "Resource": "*"
  }]
}

    该 JSON 是授予 AWS IoT 管理员对 DynamoDB 的访问权限的示例策略文档。

    使用 create-policy 命令授予 AWS IoT 在代入该角色后访问您的 AWS 资源的权限,并传入 iot-policy.json 文件: 

    aws iam create-policy --policy-name my-iot-policy --policy-document file://my-iot-policy.json

    有关如何在 AWS IoT 的策略中授予对 AWS 服务的访问权限的更多信息,请参阅 创建 AWS IoT 规则

    create-policy 命令的输出中包含该策略的 ARN。您需要将该策略附加到角色。 

    {
  "Policy": {
    "PolicyName": "my-iot-policy",
    "CreateDate": "2015-09-30T19:31:18.620Z",
    "AttachmentCount": 0,
    "IsAttachable": true,
    "PolicyId": "ZXR6A36LTYANPAI7NJ5UV",
    "DefaultVersionId": "v1",
    "Path": "/",
    "Arn": "arn:aws:iam::123456789012:policy/my-iot-policy",
    "UpdateDate": "2015-09-30T19:31:18.620Z"
  }
}

  3. 使用 attach-role-policy 命令将您的策略附加到角色: 

    aws iam attach-role-policy --role-name my-iot-role --policy-arn "arn:aws:iam::123456789012:policy/my-iot-policy"